Segurança Cibernética

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

A Fortinet divulgou atualizações de segurança para corrigir duas vulnerabilidades críticas em seus produtos FortiSandbox e FortiAuthenticator, que podem permitir que atacantes executem comandos ou códigos arbitrários em sistemas não corrigidos. A primeira vulnerabilidade, identificada como CVE-2026-44277, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) FortiAuthenticator, permitindo que um atacante não autenticado execute código não autorizado por meio de requisições manipuladas. Essa falha foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. A segunda vulnerabilidade, CVE-2026-26083, refere-se ao FortiSandbox e pode ser explorada para execução remota de código em sistemas vulneráveis, permitindo que atacantes não autenticados executem comandos não autorizados via requisições HTTP. Embora a Fortinet não tenha indicado que essas falhas estejam sendo ativamente exploradas, a empresa tem um histórico de vulnerabilidades que são frequentemente utilizadas em ataques de ransomware e espionagem cibernética. A CISA, agência de segurança cibernética dos EUA, já adicionou 24 vulnerabilidades da Fortinet ao seu catálogo de falhas ativamente exploradas nos últimos anos, destacando a necessidade de atenção e ação imediata por parte das organizações.

Uma nova campanha de malvertising está explorando o Google Ads e chats compartilhados do Claude.ai para disseminar malware entre usuários de macOS. Pesquisadores identificaram que ao buscar por ‘Claude mac download’, os usuários podem encontrar anúncios patrocinados que direcionam para um guia de instalação malicioso disfarçado de suporte oficial da Apple. O ataque foi descoberto por Berk Albayrak, engenheiro de segurança do Trendyol Group, que alertou sobre a presença de chats compartilhados que contêm instruções para executar comandos no Terminal do macOS, resultando na instalação silenciosa de malware.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Pesquisas recentes da Fortinet e Palo Alto Networks revelam que atores de ameaças estão explorando falhas de segurança em dispositivos TBK DVR e roteadores TP-Link fora de suporte para implantar variantes da botnet Mirai. A vulnerabilidade CVE-2024-3721, que afeta modelos de DVR, permite a injeção de comandos e a instalação de um malware chamado Nexcorium. Este malware é projetado para persistir e realizar ataques de negação de serviço (DDoS). Além disso, a CVE-2023-33538, que impacta roteadores TP-Link, também está sendo alvo de tentativas de exploração, embora com abordagens falhas. Os dispositivos afetados, como o TL-WR940N e TL-WR841N, não recebem mais suporte, o que aumenta o risco para os usuários. Especialistas alertam que a combinação de credenciais padrão e vulnerabilidades conhecidas torna os dispositivos IoT alvos fáceis para ataques. A recomendação é que os usuários substituam esses dispositivos por modelos mais novos e seguros.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Recentemente, três vulnerabilidades de segurança do Windows estão sendo exploradas por atores maliciosos para obter permissões de administrador ou SYSTEM. O pesquisador de segurança conhecido como ‘Chaotic Eclipse’ divulgou códigos de exploração para essas falhas, em protesto à forma como o Centro de Resposta a Segurança da Microsoft (MSRC) lidou com o processo de divulgação. As vulnerabilidades, chamadas BlueHammer e RedSun, são falhas de escalonamento de privilégios locais no Microsoft Defender, enquanto a terceira, UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender. No momento da divulgação, essas falhas eram consideradas zero-days, pois não havia patches disponíveis. Pesquisadores da Huntress Labs relataram que as três explorações estão sendo usadas ativamente, com a BlueHammer sendo explorada desde 10 de abril. Embora a Microsoft tenha corrigido a vulnerabilidade BlueHammer, as falhas RedSun e UnDefend ainda não têm patches disponíveis. A RedSun, por exemplo, permite que atacantes obtenham privilégios SYSTEM em sistemas Windows 10, 11 e Server 2019 e posteriores, mesmo após a aplicação de correções anteriores. A Microsoft reafirmou seu compromisso em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

Uma operação internacional de aplicação da lei, chamada Operação PowerOFF, resultou na desativação de 53 domínios e na prisão de quatro indivíduos envolvidos em operações comerciais de negação de serviço distribuído (DDoS). Esses serviços eram utilizados por mais de 75.000 cibercriminosos. A ação, que contou com a participação de 21 países, incluindo o Brasil, teve como objetivo interromper o acesso a serviços de DDoS por contratação, desmantelar a infraestrutura técnica que os sustentava e acessar bancos de dados com mais de 3 milhões de contas de usuários criminosos. A Europol destacou que esses serviços permitem que até mesmo pessoas com pouco conhecimento técnico realizem ataques maliciosos em larga escala, causando danos significativos a empresas. A operação também incluiu o envio de avisos a usuários identificados e a emissão de 25 mandados de busca. A atividade de DDoS é considerada uma das tendências mais acessíveis e prolíficas do cibercrime, com motivações que vão desde extorsão até hacktivismo. A operação é um passo importante na luta contra a criminalidade cibernética, especialmente após a desativação de uma botnet chamada RapperBot em agosto de 2025, que havia realizado ataques em mais de 80 países desde 2021.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

O Escritório do FBI em Atlanta, em colaboração com autoridades indonésias, desmantelou a plataforma global de phishing conhecida como W3LL, resultando na apreensão de infraestrutura e na prisão do suposto desenvolvedor. A W3LL Store era um kit de phishing e um mercado online que permitia a cibercriminosos roubar milhares de credenciais, resultando em tentativas de fraude que ultrapassaram 20 milhões de dólares. O kit, que era vendido por 500 dólares, possibilitava a criação de réplicas convincentes de portais de login corporativos, permitindo a captura de tokens de sessão de autenticação e a elisão de autenticações multifatoriais. Entre 2019 e 2023, o marketplace facilitou a venda de mais de 25 mil contas comprometidas. Mesmo após o fechamento da W3LL Store, as operações continuaram através de plataformas de mensagens criptografadas. O FBI destacou que a plataforma não se limitava ao phishing, mas funcionava como um serviço completo de cibercrime, com implicações sérias para a segurança cibernética global.

A Rockstar Games confirmou ter sido alvo de um vazamento de dados, relacionado a um incidente de segurança na Anodot, uma empresa de detecção de anomalias de dados. O grupo de extorsão ShinyHunters divulgou informações roubadas, alegando que mais de 78,6 milhões de registros foram comprometidos. Os dados vazados incluem métricas internas de análise, informações sobre receitas de jogos e comportamento dos jogadores, além de dados de suporte ao cliente. A Rockstar afirmou que a quantidade de informações acessadas é limitada e que não houve impacto significativo em suas operações ou para os jogadores. O incidente é parte de uma campanha maior de roubo de dados, onde os atacantes utilizaram tokens de autenticação roubados para acessar dados armazenados em ambientes Snowflake, S3 e Amazon Kinesis. A empresa Snowflake já havia detectado atividades incomuns em algumas contas de clientes e tomou medidas para proteger os dados. Este incidente ressalta a vulnerabilidade de integrações de terceiros e a importância de uma segurança robusta em ambientes de nuvem.

O FBI, em colaboração com a Polícia Nacional da Indonésia, desmantelou uma operação global de phishing que utilizava um kit chamado W3LL para roubar credenciais de contas de milhares de vítimas, resultando em tentativas de fraude que ultrapassam US$ 20 milhões. A operação levou à prisão do suposto desenvolvedor, identificado como G.L., e à apreensão de domínios-chave associados ao esquema. O kit W3LL permitia que criminosos criassem páginas de login falsas, enganando as vítimas para que entregassem suas credenciais. Vendido por cerca de US$ 500, o kit oferecia uma plataforma completa de cibercrime, incluindo ferramentas personalizadas de phishing e listas de e-mails. Desde 2017, o operador do W3LL Store, que atendia cerca de 500 cibercriminosos, facilitou a venda de mais de 25.000 contas comprometidas. O FBI destacou que a operação não apenas visava credenciais do Microsoft 365, mas também utilizava técnicas avançadas para contornar autenticações multifatoriais. Apesar do fechamento do W3LL Store em 2023, a operação continuou a operar por meio de plataformas de mensagens criptografadas, atingindo mais de 17.000 vítimas em um ano.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

Os ataques de phishing que abusam do fluxo de autorização de dispositivo do OAuth 2.0 aumentaram mais de 37 vezes em 2023. Nesse tipo de ataque, o criminoso envia um pedido de autorização de dispositivo a um provedor de serviços e recebe um código, que é enviado à vítima sob diversos pretextos. A vítima é enganada a inserir o código em uma página de login legítima, autorizando assim o dispositivo do atacante a acessar sua conta. Essa técnica, documentada pela primeira vez em 2020, tem sido amplamente adotada por cibercriminosos, incluindo hackers estatais e motivados financeiramente. A Push Security observou um aumento significativo na detecção de páginas de phishing relacionadas a esses ataques, com o kit EvilTokens se destacando como um dos principais responsáveis por essa tendência. Outros kits, como VENOM e SHAREFILE, também estão emergindo no mercado, oferecendo ferramentas para cibercriminosos de baixa habilidade. Para mitigar esses ataques, recomenda-se que os usuários desativem o fluxo de autorização de dispositivo quando não necessário e monitorem logs em busca de eventos de autenticação inesperados.

O cibercrime no Reino Unido aumentou quase 88% nos últimos anos, com os casos subindo de 774 mil para mais de 1,4 milhão. Em contraste, o efetivo policial dedicado a crimes cibernéticos cresceu apenas 31% no mesmo período, resultando em uma carga de trabalho significativamente maior para cada policial. Essa disparidade entre o aumento de incidentes e a capacidade de resposta das forças de segurança gera preocupações sobre a eficácia no combate a fraudes e crimes relacionados ao uso de computadores. Além disso, novas legislações estão sendo discutidas no Parlamento, como o Cyber Security and Resilience Bill, que visa fortalecer a resiliência cibernética nacional e introduzir penalidades mais severas para organizações que não cumprirem as novas normas. As propostas incluem a proibição de pagamentos de resgates em casos de ransomware, o que pode complicar ainda mais a situação para as empresas, que podem se ver pressionadas a tomar decisões difíceis em situações críticas. A combinação do aumento do cibercrime com regulamentações mais rigorosas impõe um ônus adicional às organizações, especialmente aquelas com capacidades de segurança interna limitadas.

Pesquisadores de segurança da Kaspersky alertam sobre o CrystalX RAT, um novo malware como serviço (MaaS) que combina funcionalidades avançadas de espionagem com recursos de ‘prankware’. Este malware permite acesso remoto a sistemas, execução de comandos, roubo de dados e até captura de áudio e vídeo. Além disso, possui características que visam perturbar as vítimas, como alterar papéis de parede e esconder ícones da área de trabalho. O CrystalX RAT é promovido principalmente através do Telegram e YouTube, visando novatos na área de hacking. A Kaspersky observa que o malware já afetou dezenas de vítimas, principalmente na Rússia, e prevê um aumento significativo no número de afetados devido à sua campanha de marketing agressiva. O uso de engenharia social para disseminação do malware, como cracks de software e serviços premium falsos, é uma preocupação crescente. O impacto potencial inclui não apenas o roubo de credenciais, mas também o uso de dados para chantagem, o que representa uma ameaça significativa à privacidade e segurança dos usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

A TP-Link anunciou a correção de várias vulnerabilidades em sua série de roteadores Archer NX, incluindo uma falha de gravidade crítica, identificada como CVE-2025-15517. Essa vulnerabilidade permite que atacantes contornem a autenticação e façam upload de novos firmwares, afetando os modelos Archer NX200, NX210, NX500 e NX600. A falha se origina de uma verificação de autenticação ausente em certos endpoints CGI do servidor HTTP, permitindo acesso não autenticado a ações que deveriam ser restritas a usuários autenticados. Além disso, a TP-Link removeu uma chave criptográfica hardcoded (CVE-2025-15605) que permitia a atacantes autenticados descriptografar e modificar arquivos de configuração. Outras duas vulnerabilidades de injeção de comando (CVE-2025-15518 e CVE-2025-15519) também foram corrigidas, permitindo que administradores executassem comandos arbitrários. A empresa recomenda fortemente que os usuários atualizem para a versão mais recente do firmware para evitar possíveis ataques. A CISA já havia classificado outras falhas da TP-Link como exploradas em ataques, destacando a necessidade de atenção contínua à segurança desses dispositivos.

Um novo ataque de malvertising, focado na temporada de declaração de impostos nos Estados Unidos, está sendo utilizado por hackers para disseminar ransomware. Especialistas da Huntress alertam que, com a proximidade do prazo de 15 de abril, muitos usuários apressam-se em buscar formulários fiscais, o que os torna vulneráveis a sites falsos promovidos por anúncios do Google. Esses sites maliciosos instalam o ScreenConnect, uma ferramenta legítima de acesso remoto, que é utilizada para fins maliciosos. Antes de ativar essa ferramenta, os atacantes instalam um driver de kernel que desativa as proteções de segurança, como o Windows Defender. A campanha não se limita apenas a iscas relacionadas a impostos; também foram identificadas páginas falsas de atualização do Chrome, sugerindo um arsenal de engenharia social mais amplo. O ataque parece ser uma fase inicial de uma campanha mais complexa, onde os criminosos buscam estabelecer uma base e coletar credenciais, possivelmente preparando o terreno para a implementação de ransomware.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

A LastPass, renomada empresa de gerenciamento de senhas, emitiu um alerta sobre uma nova campanha de phishing que visa roubar credenciais de usuários. Os criminosos estão se passando por funcionários do suporte técnico, enviando e-mails que alegam haver atividades suspeitas nas contas dos usuários. Com um tom urgente, os golpistas incentivam as vítimas a clicarem em links que prometem alterar o endereço de e-mail da conta para evitar invasões. As mensagens incluem frases como ‘denunciar atividade suspeita’ e ‘desconectar e bloquear o cofre’, criando uma falsa sensação de urgência e segurança. Ao clicar nos links, os usuários são direcionados a páginas falsas de login hospedadas em domínios fraudulentos, como ‘verify-lastpass[.]com’, onde suas credenciais são coletadas. A LastPass garantiu que sua infraestrutura não foi comprometida e que nunca solicitará senhas diretamente aos usuários. A empresa também está trabalhando com parceiros para remover os sites fraudulentos. Este incidente destaca a importância da conscientização sobre segurança cibernética e a necessidade de verificar a autenticidade de comunicações recebidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

Pesquisadores de segurança da Oasis descobriram uma vulnerabilidade de alta gravidade na plataforma OpenClaw, um agente de IA de código aberto amplamente utilizado, que permite a atacantes obter controle total sobre dispositivos afetados. A falha, chamada ‘ClawJacked’, permite que sites maliciosos realizem ataques de força bruta na autenticação do gateway local, bastando que a vítima acesse um site comprometido. O OpenClaw, que possui mais de 100 mil estrelas no GitHub, conecta-se a aplicativos de mensagens e calendários, facilitando a interação do usuário com suas funcionalidades. A vulnerabilidade reside no próprio sistema, sem necessidade de plugins ou extensões, tornando-a facilmente explorável. Após a divulgação responsável, um patch foi disponibilizado em 24 horas, e os usuários são aconselhados a atualizar para a versão 2026.2.25 ou superior. A falha destaca a importância de práticas robustas de segurança, especialmente em plataformas populares que lidam com dados sensíveis.

Uma nova campanha de phishing está utilizando uma página falsa de segurança de conta do Google para distribuir um aplicativo web malicioso. Este aplicativo, que se aproveita de recursos de Progressive Web App (PWA), é capaz de roubar códigos de verificação de uso único (OTP), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do atacante através dos navegadores das vítimas. Os criminosos cibernéticos utilizam o domínio google-prism[.]com, que simula um serviço legítimo do Google, e enganam os usuários a conceder permissões arriscadas sob a falsa promessa de aumentar a segurança de seus dispositivos. O aplicativo malicioso pode exfiltrar dados de contatos, informações de localização em tempo real e conteúdos da área de transferência. Além disso, ele atua como um proxy de rede, permitindo que os atacantes realizem requisições através do navegador da vítima. A campanha também inclui um APK para Android que promete proteção adicional, mas que na verdade compromete ainda mais a segurança do dispositivo. Especialistas alertam que o Google não realiza verificações de segurança através de pop-ups e que todas as ferramentas de segurança estão disponíveis no site oficial da conta do Google. A remoção do aplicativo malicioso é recomendada, e os usuários devem estar atentos a sinais de comprometimento.

Uma falha de segurança recentemente divulgada e corrigida pela Microsoft, identificada como CVE-2026-21513, apresenta uma gravidade alta (CVSS 8.8) e afeta o MSHTML Framework. Segundo a Akamai, essa vulnerabilidade pode ter sido explorada pelo grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28. A falha permite que atacantes não autorizados contornem mecanismos de segurança ao manipular arquivos HTML ou de atalho (LNK) enviados por e-mail ou links maliciosos. Ao abrir esses arquivos, o sistema operacional pode executar código malicioso, comprometendo a segurança do usuário. A Microsoft, em sua nota, confirmou que a vulnerabilidade foi utilizada em ataques reais antes de ser corrigida no Patch Tuesday de fevereiro de 2026. A Akamai também identificou um artefato malicioso associado à APT28, que foi detectado em uma análise do VirusTotal. A falha reside na lógica do arquivo ‘ieframe.dll’, que não valida adequadamente URLs, permitindo que entradas controladas por atacantes alcancem caminhos de código que invocam a execução de comandos fora do contexto de segurança do navegador. Essa situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos associados a vulnerabilidades conhecidas.

A Shadowserver Foundation revelou que mais de 900 instâncias do Sangoma FreePBX estão infectadas com web shells, resultado de ataques que exploraram uma vulnerabilidade de injeção de comando, identificada como CVE-2025-64328, com uma pontuação CVSS de 8.6. Essa falha de segurança, que permite a execução de comandos arbitrários por usuários com acesso ao painel de administração do FreePBX, foi descoberta em dezembro de 2025 e afeta versões do FreePBX a partir da 17.0.2.36. A vulnerabilidade foi corrigida na versão 17.0.3. Entre as instâncias comprometidas, 401 estão localizadas nos Estados Unidos e 51 no Brasil. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) devido à sua exploração ativa. A Fortinet FortiGuard Labs também relatou que um grupo de atacantes, conhecido como INJ3CTOR3, está utilizando essa vulnerabilidade para implantar um web shell chamado EncystPHP, que permite a execução de comandos com privilégios elevados e a realização de chamadas externas através do ambiente PBX. Os usuários do FreePBX são aconselhados a atualizar suas implementações para a versão mais recente para mitigar os riscos associados a essa ameaça.

A Polícia Civil de São Paulo, em colaboração com o Ministério Público, lançou a Operação Interestadual Fim da Fábula, visando desmantelar uma quadrilha envolvida em fraudes digitais. A operação, realizada em 24 de fevereiro de 2026, resultou no cumprimento de 173 mandados judiciais, incluindo 120 de busca e apreensão e 53 de prisão temporária, abrangendo os estados de São Paulo, Minas Gerais e o Distrito Federal. Os criminosos são suspeitos de aplicar golpes como o ‘falso advogado’, que causou prejuízos superiores a R$ 8 milhões, e o ‘golpe da mão fantasma’, que utiliza engenharia social para acessar remotamente os celulares das vítimas. Além disso, a quadrilha também está sendo investigada por fraudes relacionadas ao INSS e por movimentar valores obtidos ilegalmente através de plataformas de apostas e fintechs. A Justiça determinou o bloqueio de até R$ 100 milhões em contas de pessoas físicas e jurídicas ligadas aos suspeitos. Um dos principais alvos da operação é o cantor de funk João Vitor Ribeiro, conhecido como MC Negão Original, que ainda não foi localizado pela polícia.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade, identificada como CVE-2026-25108, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS v4 de 8.7, essa falha de injeção de comandos do sistema operacional pode permitir que um usuário autenticado execute comandos arbitrários através de requisições HTTP especialmente elaboradas. A vulnerabilidade afeta as versões 4.2.1 a 4.2.8 e 5.0.0 a 5.0.10 do FileZen, um produto de transferência de arquivos da Soliton Systems K.K. A exploração bem-sucedida dessa falha só é possível se a opção de verificação de antivírus do FileZen estiver ativada. A empresa já recebeu relatos de danos causados por essa vulnerabilidade. Para mitigar o risco, os usuários são aconselhados a atualizar para a versão 5.0.11 ou posterior e a trocar todas as senhas de usuários, uma vez que um atacante pode logar com contas reais. A CISA recomenda que as agências federais dos EUA apliquem as correções necessárias até 17 de março de 2026.

A Anthropic, empresa de inteligência artificial, lançou uma nova funcionalidade chamada Claude Code Security, que permite a análise de códigos de software em busca de vulnerabilidades e sugere correções. Atualmente, essa ferramenta está disponível em uma prévia de pesquisa limitada para clientes das categorias Enterprise e Team. Segundo a empresa, a Claude Code Security utiliza inteligência artificial para identificar falhas que métodos tradicionais podem não detectar, oferecendo uma vantagem aos defensores contra ataques automatizados. A funcionalidade vai além da análise estática, raciocinando sobre o código como um pesquisador humano, compreendendo a interação entre componentes e rastreando fluxos de dados. Cada vulnerabilidade identificada passa por um processo de verificação em múltiplas etapas para minimizar falsos positivos e é classificada quanto à severidade, permitindo que as equipes priorizem as correções. Os resultados são apresentados em um painel, onde os analistas podem revisar e aprovar as sugestões. A Anthropic destaca que a decisão final sempre fica a cargo dos desenvolvedores, garantindo um controle humano sobre as ações recomendadas.

Três indivíduos, incluindo duas ex-engenheiras do Google, foram indiciados nos EUA por roubo de segredos comerciais. Samaneh Ghandali, de 41 anos, e sua irmã Soroor Ghandali, de 32 anos, junto com o marido de Samaneh, Mohammad Khosravi, de 40 anos, são acusados de conspirar para roubar informações confidenciais da gigante da tecnologia e transferi-las para locais não autorizados, incluindo o Irã. O Departamento de Justiça dos EUA informou que os réus usaram suas posições em empresas de tecnologia para acessar dados sensíveis, como segredos relacionados à segurança de processadores e criptografia. Eles teriam transferido centenas de arquivos para plataformas de comunicação de terceiros e dispositivos pessoais. Após a detecção das atividades suspeitas, a Google alertou as autoridades e implementou medidas de segurança adicionais. Se condenados, cada um pode enfrentar até 10 anos de prisão por roubo de segredos comerciais e até 20 anos por obstrução da justiça. Este caso destaca a crescente preocupação com ameaças internas e espionagem corporativa no setor de tecnologia.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

Os infostealers modernos têm ampliado o roubo de credenciais, coletando não apenas nomes de usuário e senhas, mas também dados de sessão e atividades dos usuários. Um estudo da Specops analisou mais de 90.000 vazamentos de infostealers, totalizando mais de 800 milhões de registros, que incluem credenciais, cookies de navegador e histórico de navegação. Essa coleta de dados permite que atacantes associem informações técnicas a usuários reais, tornando uma única infecção valiosa mesmo após a violação inicial. O maior risco é a facilidade com que os dados roubados conectam múltiplas contas e comportamentos a uma única pessoa, desmoronando a barreira entre identidade pessoal e profissional. A política de senhas da Specops ajuda a mitigar esse risco, bloqueando credenciais já comprometidas. Os dados vazados incluem informações de serviços profissionais como LinkedIn e GitHub, além de plataformas pessoais como Facebook e YouTube, facilitando ataques direcionados. A exposição de credenciais em dispositivos pessoais pode rapidamente escalar para riscos em ambientes corporativos, especialmente devido à reutilização de senhas. Portanto, a implementação de políticas de senhas mais robustas e a conscientização sobre a segurança são essenciais para proteger tanto identidades pessoais quanto corporativas.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade de alta severidade no Chrome, identificada como CVE-2026-2441, que está sendo explorada em ataques zero-day. Essa falha, relatada pelo pesquisador de segurança Shaheen Fazim, é uma vulnerabilidade do tipo use-after-free, resultante de um erro de invalidação de iterador no CSSFontFeatureValuesMap, que pode causar falhas no navegador, problemas de renderização, corrupção de dados e comportamentos indefinidos. O patch foi considerado urgente, sendo implementado em versões estáveis do Chrome para Windows, macOS e Linux, com a atualização sendo disponibilizada globalmente nos próximos dias. Embora o Google tenha confirmado a exploração ativa dessa vulnerabilidade, não foram divulgados detalhes adicionais sobre os ataques. A empresa também indicou que o problema imediato foi resolvido, mas que ainda há trabalho a ser feito, sugerindo que a solução pode ser temporária. Essa é a primeira vulnerabilidade do Chrome explorada ativamente a ser corrigida em 2026, após um ano em que o Google tratou de oito zero-days, muitos deles relacionados a ataques de spyware contra indivíduos de alto risco.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

Um add-in do Microsoft Outlook, conhecido como AgreeTo, foi sequestrado por hackers para criar um kit de phishing que visa roubar contas de usuários. O AgreeTo, que era um agendador de reuniões desenvolvido por um pesquisador independente e disponível na loja de add-ins do Microsoft Office desde dezembro de 2022, foi abandonado e sua URL foi capturada por um ator malicioso. Quando os usuários abrem o add-in, são direcionados a uma página de login falsa do Microsoft, onde suas credenciais podem ser comprometidas. Pesquisadores da Koi descobriram que mais de 4.000 contas da Microsoft foram roubadas, além de dados de cartões de crédito e respostas de segurança bancária, o que pode facilitar transferências fraudulentas. A Microsoft já removeu o add-in de sua loja e recomenda que os usuários redefinam suas senhas e monitorem suas atividades financeiras. Este incidente marca a primeira vez que um malware foi encontrado no Marketplace oficial da Microsoft, destacando a necessidade de vigilância constante em relação a add-ins e extensões de software.