Windows

Erro no Windows exibe nomes de arquivos confusos ao excluir itens

A Microsoft confirmou um bug no Windows que causa confusão ao excluir arquivos da Lixeira. Quando um usuário tenta deletar permanentemente um item, a janela de confirmação mostra um nome de arquivo interno (como $Rxxxxx.ext) em vez do nome original do arquivo. Apesar disso, a Lixeira exibe corretamente o nome original, e a restauração do item também utiliza o nome correto. Este problema afeta todas as versões suportadas do Windows, tanto em plataformas cliente quanto servidor, após a instalação das atualizações de segurança de junho de 2026. As versões afetadas incluem diversas edições do Windows 10 e Windows 11, além de várias versões do Windows Server. A Microsoft está ciente do problema e trabalha em uma correção, que será disponibilizada em uma atualização futura. Enquanto isso, uma solução temporária está disponível para empresas que contatarem o suporte da Microsoft. Além desse bug, a empresa também confirmou um problema que impede aplicativos de terceiros de abrir documentos do Office após as atualizações de junho de 2026.

Campanha de malware clippers ataca usuários do Windows desde fevereiro de 2026

A Microsoft revelou uma campanha de malware clippers que tem afetado usuários do Windows desde fevereiro de 2026. Este tipo de malware é projetado para monitorar e roubar informações sensíveis copiadas para a área de transferência, especialmente endereços de carteiras de criptomoedas. A análise da Microsoft Defender Security Research Team destaca que o clippers utiliza lógica baseada no Windows Script Host e ActiveX para lançar um proxy Tor e se conectar a um servidor de comando e controle (C2) oculto. O malware realiza roubo de clipboard em alta frequência, exfiltra capturas de tela e substitui endereços de carteiras.

Microsoft investiga falha em aplicativos de terceiros com Office

A Microsoft está investigando um problema que impede aplicativos de terceiros de abrir o Microsoft Office em sistemas Windows atualizados. Este problema afeta aplicações como Word, Excel e PowerPoint quando iniciadas a partir de softwares de terceiros que utilizam automação OLE. Usuários relataram que aplicativos como CCH Engagement, Zotero e softwares odontológicos, como Dentrix e Softdent, estão entre os afetados. A falha ocorre após a instalação de atualizações do Windows lançadas a partir de 9 de junho de 2026, e, em muitos casos, os aplicativos ou documentos do Office não abrem sem exibir mensagens de erro. A Microsoft ainda não possui uma solução definitiva, mas recomenda que os usuários abram os aplicativos do Office diretamente como uma alternativa temporária. Clientes empresariais podem contatar o suporte da Microsoft para obter uma solução que possa ser aplicada em toda a organização. A empresa informou que uma resolução está em andamento e será incluída em uma futura atualização do Windows. Este incidente se soma a uma série de problemas recentes enfrentados por usuários do Office, incluindo falhas em abrir arquivos na versão web e problemas com atualizações do Windows.

Novas variantes do malware SprySOCKS afetam Windows

Pesquisadores de cibersegurança identificaram duas variantes do malware SprySOCKS, anteriormente conhecido como um backdoor exclusivo para Linux, agora adaptadas para Windows. As variantes, denominadas WIN_DRV e WIN_PLUS, possuem configurações de comando e controle (C&C) embutidas e suportam comunicação via TCP, UDP e WebSocket. Ambas as versões permitem a execução de mais de 30 comandos, incluindo coleta de informações do sistema e gerenciamento de processos. A variante WIN_DRV utiliza drivers de kernel para ocultar conexões de rede e processos, enquanto a WIN_PLUS se aproveita do serviço de spooler de impressão do Windows para iniciar o backdoor. As evidências sugerem que essas variantes foram implantadas em ataques direcionados a organizações governamentais em países como Honduras, Taiwan e Paquistão entre 2023 e 2024. A descoberta dessas versões para Windows representa uma expansão significativa das capacidades do grupo de espionagem cibernética conhecido como FishMonger, que está associado a um ator de ameaças patrocinado pelo estado chinês. A análise revela que a arquitetura central do SprySOCKS foi preservada, mas com melhorias na furtividade e na adaptação a mecanismos nativos do Windows.

Novas variantes do malware SprySOCKS atacam organizações governamentais

Pesquisadores da ESET identificaram variantes do malware SprySOCKS, originalmente desenvolvido para Linux, sendo utilizadas em ataques direcionados a organizações governamentais em Taiwan, Tailândia, Paquistão e Honduras entre 2023 e 2024. O malware está associado ao grupo de ameaças chinês conhecido como Earth Lusca, que também é rastreado como FishMonger. As novas variantes para Windows, denominadas WIN_DRV e WIN_PLUS, apresentam capacidades avançadas de furtividade em nível de kernel, permitindo que os operadores ocultem artefatos de malware e se comuniquem com o backdoor através de tráfego redirecionado de portas TCP arbitrárias. O WIN_DRV inclui drivers de kernel para funcionalidades semelhantes a rootkits, enquanto o WIN_PLUS é uma versão mais simples. Ambas as variantes podem executar uma ampla gama de comandos, coletar informações do sistema e gerenciar arquivos. Além disso, a ESET observou indícios de um componente de bootkit UEFI que pode explorar uma vulnerabilidade conhecida como CVE-2023-24932. A descoberta dessas variantes indica que o Earth Lusca está ampliando seu arsenal para atingir uma variedade mais diversificada de sistemas, representando uma ameaça significativa para a segurança cibernética global.

Microsoft corrige vulnerabilidades críticas em sistemas Windows

Na última terça-feira, a Microsoft lançou correções para três vulnerabilidades zero-day que permitiam a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. As falhas, conhecidas como ‘GreenPlasma’ (CVE-2026-45586) e ‘MiniPlasma’ (CVE-2020-17103), foram identificadas no Collaborative Translation Framework (CTFMON) e no Cloud Files Mini Filter Driver. Ambas permitem que atacantes locais adquiram um shell com permissões elevadas. A terceira vulnerabilidade, chamada ‘YellowKey’ (CVE-2026-45585), atua como uma porta dos fundos no Windows Recovery Environment (WinRE), permitindo que atacantes com acesso físico contornem a proteção do BitLocker em sistemas Windows 11 e Windows Server 2022/2025 não corrigidos. A Microsoft também divulgou medidas de mitigação para a vulnerabilidade YellowKey, enquanto criticou a divulgação pública do conceito de prova, que violou as melhores práticas de coordenação de vulnerabilidades. Este incidente destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em um cenário onde as falhas são exploradas ativamente por atacantes. As correções foram disponibilizadas como parte das atualizações de Patch Tuesday de junho de 2026.

Microsoft lança terminal inteligente com suporte a IA

A Microsoft lançou uma versão open-source do Windows Terminal chamada “Intelligent Terminal”, que integra inteligência artificial (IA) diretamente na interface do terminal. Essa nova ferramenta permite que os usuários recebam assistência em tempo real para explicar erros, elaborar comandos e solucionar problemas sem sair da sessão do terminal. Ao abrir o Intelligent Terminal pela primeira vez, o usuário pode escolher entre diferentes agentes de IA, como GitHub Copilot, Claude, Codex e Gemini, com opções para detectar e sugerir correções automáticas para erros. Uma das principais funcionalidades é a gestão de sessões, que permite ao usuário retomar trabalhos anteriores sem perder o progresso. O Intelligent Terminal é uma aplicação separada e ainda não está incluída nas instalações padrão do Windows, mas pode ser baixada pela Microsoft Store ou GitHub. Embora a ferramenta seja promissora, a Microsoft reconhece que não é adequada para todos os usuários, o que justifica sua distribuição como um aplicativo separado.

Microsoft corrige falha que permitiu atualizações indesejadas no Windows

Na quarta-feira, a Microsoft anunciou a correção de um problema que permitiu que alguns dispositivos Windows instalassem atualizações de drivers sem aviso, apesar de políticas configuradas para impedir atualizações automáticas. De acordo com um relatório de incidente do centro de administração (MO1332784), a empresa atribuiu a falha a uma má configuração no serviço de cache do Windows Update, que temporariamente descartou informações de registro de dispositivos. Isso fez com que alguns dispositivos fossem tratados como não registrados, impedindo a aplicação correta dos controles de aprovação de drivers. A equipe de suporte do Intune também reconheceu o problema nas redes sociais, afirmando que estava trabalhando ativamente para mitigá-lo. A Microsoft garantiu que os drivers instalados eram aprovados e não representavam uma ameaça à segurança. Após a atualização do cache do serviço afetado e a confirmação de que o problema foi resolvido, a empresa continua a investigar a causa da falha para evitar recorrências. Embora a Microsoft não tenha divulgado quantas regiões ou clientes foram afetados, administradores de Windows relataram que dezenas de milhares de dispositivos receberam atualizações inesperadas, causando problemas em dispositivos de áudio e vídeo.

Microsoft lança Coreutils para Windows, trazendo utilitários Linux nativos

Durante a Build 2026, a Microsoft anunciou o lançamento do Coreutils para Windows, que traz uma série de utilitários de linha de comando do Linux como aplicações nativas. Baseado no projeto open-source uutils, que reescreve as GNU coreutils em Rust, o Coreutils visa facilitar a transição de desenvolvedores entre diferentes plataformas, como Linux, macOS e Windows, sem a necessidade de alterar seus fluxos de trabalho. O pacote inclui comandos populares como cat, cp, find, grep, ls, e rm, permitindo que scripts sejam utilizados no Windows sem modificações. A instalação é feita através do WinGet, e a Microsoft criou um único executável coreutils.exe que contém todas as funcionalidades dos comandos. No entanto, alguns comandos do Linux não foram incluídos devido a conflitos com comandos existentes no Windows. A Microsoft também alertou sobre possíveis diferenças de funcionalidade entre os sistemas, como permissões de arquivos e suporte a POSIX. Essa iniciativa faz parte da estratégia da Microsoft para tornar o Windows uma plataforma mais amigável para desenvolvedores.

Vulnerabilidade crítica do Windows Netlogon está sendo explorada

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Análise de Vulnerabilidades em Drivers do Windows Riscos e Explorações

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Vulnerabilidade MiniPlasma permite elevação de privilégios no Windows

O pesquisador de segurança Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a elevação de privilégios para SYSTEM em sistemas Windows totalmente atualizados. A falha, que afeta o driver ‘cldflt.sys’ (Windows Cloud Files Mini Filter Driver), foi inicialmente reportada ao Microsoft por James Forshaw, do Google Project Zero, em setembro de 2020. Embora a Microsoft tenha supostamente corrigido a vulnerabilidade em dezembro de 2020, Chaotic Eclipse descobriu que o problema persiste sem correção. A PoC original funcionou sem alterações, e o pesquisador conseguiu criar uma versão armada que abre um shell SYSTEM. A vulnerabilidade parece afetar todas as versões do Windows, com testes indicando que funciona de forma confiável em sistemas Windows 11 com as atualizações mais recentes. A Microsoft já havia abordado outra falha de elevação de privilégios no mesmo componente em dezembro de 2025, mas a MiniPlasma continua sem solução. A situação é preocupante, pois a exploração dessa vulnerabilidade pode permitir que atacantes obtenham controle total sobre sistemas vulneráveis.

Exploit MiniPlasma permite escalonamento de privilégios no Windows

Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. O exploit foi publicado por Chaotic Eclipse, que alega que a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada em 2020, identificada como CVE-2020-17103, que afeta o driver ‘cldflt.sys’. O pesquisador afirma que a falha ainda está presente e pode ser explorada, permitindo a criação de chaves de registro sem as devidas verificações de acesso. Testes realizados confirmaram que o exploit funciona em versões atualizadas do Windows 11, mas não na versão Insider Preview. Chaotic Eclipse também criticou o processo de recompensa por bugs da Microsoft, alegando que sua experiência com a empresa foi negativa. O MiniPlasma é o mais recente de uma série de divulgações de zero-days que incluem outras vulnerabilidades, como BlueHammer e RedSun, que já foram exploradas em ataques. A Microsoft foi contatada para comentar sobre a nova vulnerabilidade, mas ainda não respondeu.

Dell confirma falhas no SupportAssist que causam telas azuis

A Dell confirmou que seu software SupportAssist está provocando falhas de tela azul em alguns sistemas Windows, após um aumento de relatos de reinicializações aleatórias em dispositivos Dell. O SupportAssist é uma suíte de software desenvolvida pela Dell, pré-instalada na maioria dos novos computadores Dell que operam com Windows 10 ou Windows 11. Um representante da Dell informou que a atualização mais recente do serviço de Remediação do SupportAssist é a responsável pelos erros 0xEF_DellSupportAss_BUGCHECK_CRITICAL_PROCESS, recomendando que os usuários removam o serviço para resolver os problemas. A versão 5.5.16.0 do serviço de Remediação está causando as telas azuis, e a Dell sugere desativar ou desinstalar o aplicativo como solução temporária. Contudo, é importante ressaltar que pontos de recuperação do sistema criados pelo Dell OS SupportAssist Recovery podem não estar disponíveis após a desinstalação. A empresa também alertou que, caso os problemas persistam após a remoção do serviço, os usuários devem entrar em contato com o suporte. Este não é o primeiro incidente desse tipo, já que atualizações anteriores do software da Dell também causaram problemas significativos, incluindo falhas de inicialização em diversos modelos de laptops e desktops.

Pesquisador vaza exploits de vulnerabilidades do Windows

Um pesquisador de cibersegurança, conhecido como Chaotic Eclipse, divulgou exploits de prova de conceito (PoC) para duas vulnerabilidades não corrigidas do Microsoft Windows, chamadas YellowKey e GreenPlasma. A vulnerabilidade YellowKey é um bypass do BitLocker, que permite acesso não autorizado a volumes protegidos, enquanto GreenPlasma é uma falha de escalonamento de privilégios que pode conceder permissões de sistema a usuários não privilegiados. O pesquisador alega que a vulnerabilidade YellowKey funciona como uma porta dos fundos, pois está presente apenas no Ambiente de Recuperação do Windows (WinRE). A divulgação pública dessas falhas foi motivada pela insatisfação com a forma como a Microsoft lida com relatórios de bugs. Chaotic Eclipse prometeu continuar vazando exploits para vulnerabilidades não documentadas, levantando preocupações sobre a segurança dos sistemas Windows, especialmente no Brasil, onde muitas empresas utilizam essas tecnologias. A Microsoft, por sua vez, afirmou estar comprometida em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

GhostLock nova técnica de ataque bloqueia acesso a arquivos no Windows

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

Grupo hacker ScarCruft invade plataforma de jogos e infecta Android e Windows

O grupo hacker norte-coreano ScarCruft comprometeu a plataforma de jogos sqgame.net, utilizando um ataque de cadeia de suprimentos para disseminar o malware BirdCall, que transforma jogos em trojans. Inicialmente, o malware afetava apenas usuários do Windows, mas agora também impacta dispositivos Android, conforme relatado pela empresa de cibersegurança ESET. O foco principal dos ataques são coreanos residentes na China, especialmente desertores da Coreia do Norte, que utilizam a plataforma como um meio de comunicação e entretenimento. A campanha foi descoberta em outubro de 2025, mas os jogos infectados ainda estão disponíveis para download. O malware BirdCall permite que os hackers capturem telas, registrem teclas digitadas e acessem arquivos do dispositivo. Embora a versão para desktop não esteja infectada, os APKs disponíveis no site da plataforma estão comprometidos. A evolução do malware, que começou com o RokRAT, destaca a adaptação dos ataques para diferentes sistemas operacionais, incluindo macOS e Android. A situação é preocupante, pois qualquer jogador que tenha baixado os jogos pode estar em risco.

Microsoft corrige falha em avisos de segurança do Remote Desktop

A Microsoft anunciou a correção de um problema conhecido que afetava a exibição de avisos de segurança ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp) em sistemas Windows. Essa falha impactava todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, especialmente em dispositivos com múltiplos monitores e diferentes configurações de escala de exibição. A correção foi incluída na atualização cumulativa opcional KB5083631, liberada recentemente, que também trouxe outras 34 alterações. Os avisos de segurança foram introduzidos nas atualizações cumulativas de abril de 2026 para desativar recursos compartilhados arriscados por padrão, como uma medida contra ataques de phishing que abusam dos arquivos .rdp. Os usuários relataram que, após a instalação da atualização de segurança KB5083769, alguns aplicativos de backup de terceiros também apresentaram falhas devido a um tempo limite no Serviço de Cópia de Sombra de Volume (VSS). A Microsoft já havia liberado atualizações fora do ciclo regular para corrigir problemas que causavam loops de reinicialização e falhas na instalação de atualizações em servidores Windows. Essa situação destaca a importância de manter os sistemas atualizados e monitorar as atualizações de segurança para evitar vulnerabilidades.

CISA ordena proteção contra vulnerabilidade crítica do Windows

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

Problemas de segurança no Windows afetam arquivos RDP

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Microsoft implementa suporte a chaves de acesso para autenticação sem senha

A Microsoft anunciou que, a partir do final de abril, começará a implementar o suporte a chaves de acesso para autenticação sem senha e resistente a phishing em recursos protegidos pelo Microsoft Entra em dispositivos Windows. A funcionalidade deve estar disponível para o público geral até junho de 2026 e se estenderá a dispositivos Windows não gerenciados. As chaves de acesso permitirão que usuários criem chaves vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e autentiquem-se usando métodos como reconhecimento facial, impressão digital ou PIN. Isso visa fortalecer a segurança e reduzir a dependência de senhas em cenários que envolvem dispositivos corporativos, pessoais e compartilhados. A nova funcionalidade estará disponível para organizações que habilitarem o ‘Microsoft Entra ID com chaves de acesso’ nas políticas de métodos de autenticação, desde que as políticas de Acesso Condicional permitam. As chaves de acesso são criptograficamente vinculadas a cada dispositivo e não são transmitidas pela rede, o que dificulta a ação de atacantes em casos de phishing ou malware. Essa atualização surge em um contexto de crescente ataque a contas de SSO do Microsoft Entra, evidenciando a necessidade de medidas de segurança mais robustas.

Microsoft melhora controle de atualizações no Windows

A Microsoft está implementando melhorias nas atualizações do Windows, oferecendo aos usuários maior controle sobre a instalação de atualizações e reduzindo interrupções causadas por reinicializações frequentes. As mudanças, que estão sendo disponibilizadas para os Windows Insiders, surgem em resposta a feedbacks que destacaram problemas como a interrupção de fluxos de trabalho e a falta de controle sobre o momento das atualizações. Entre as novas funcionalidades, destaca-se a possibilidade de pausar atualizações por até 35 dias, com a opção de escolher uma data específica para isso. Além disso, o menu de energia agora separa as opções de desligamento e reinicialização das ações relacionadas a atualizações, permitindo que os usuários desliguem ou reiniciem seus dispositivos sem que atualizações sejam instaladas. A Microsoft também está tornando mais claro quais drivers estão sendo oferecidos nas atualizações, identificando o tipo de dispositivo diretamente no título da atualização. Por fim, a empresa está consolidando diferentes tipos de atualizações em uma única reinicialização mensal, o que deve diminuir a frequência de reboots necessários. Essas melhorias visam proporcionar uma experiência de usuário mais fluida e menos intrusiva, mantendo a segurança dos dispositivos.

Nova operação de ransomware Kyber ataca sistemas Windows e VMware ESXi

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Ameaças exploram vulnerabilidades do Windows para obter privilégios elevados

Recentemente, três vulnerabilidades de segurança do Windows estão sendo exploradas por atores maliciosos para obter permissões de administrador ou SYSTEM. O pesquisador de segurança conhecido como ‘Chaotic Eclipse’ divulgou códigos de exploração para essas falhas, em protesto à forma como o Centro de Resposta a Segurança da Microsoft (MSRC) lidou com o processo de divulgação. As vulnerabilidades, chamadas BlueHammer e RedSun, são falhas de escalonamento de privilégios locais no Microsoft Defender, enquanto a terceira, UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender. No momento da divulgação, essas falhas eram consideradas zero-days, pois não havia patches disponíveis. Pesquisadores da Huntress Labs relataram que as três explorações estão sendo usadas ativamente, com a BlueHammer sendo explorada desde 10 de abril. Embora a Microsoft tenha corrigido a vulnerabilidade BlueHammer, as falhas RedSun e UnDefend ainda não têm patches disponíveis. A RedSun, por exemplo, permite que atacantes obtenham privilégios SYSTEM em sistemas Windows 10, 11 e Server 2019 e posteriores, mesmo após a aplicação de correções anteriores. A Microsoft reafirmou seu compromisso em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

CISA alerta sobre vulnerabilidade crítica no Windows Task Host

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

Microsoft suspende contas de desenvolvedores de projetos open-source

A Microsoft suspendeu contas de desenvolvedores responsáveis por importantes projetos open-source, como WireGuard e VeraCrypt, sem notificação prévia. Os desenvolvedores relataram que não receberam explicações sobre a suspensão e enfrentaram dificuldades para contatar o suporte da empresa. A suspensão ocorreu devido à falha na verificação obrigatória de contas do Programa de Hardware do Windows, que começou em outubro de 2025. Apesar de a Microsoft afirmar que notificou todos os parceiros, os desenvolvedores afetados contestam essa alegação, destacando a gravidade da situação, especialmente em relação à segurança dos usuários do Windows. A falta de comunicação clara e a impossibilidade de apelação agravam a situação, pois impede a publicação de atualizações críticas de segurança. Após a repercussão na mídia, a Microsoft se comprometeu a revisar suas práticas de comunicação, reconhecendo que algumas notificações podem ter sido perdidas. Este incidente levanta preocupações sobre a gestão de contas de desenvolvedores e a segurança de software amplamente utilizado.

Microsoft descontinua ferramenta SaRA e recomenda nova opção

A Microsoft anunciou a descontinuação da ferramenta Support and Recovery Assistant (SaRA) a partir de 10 de março, afetando todas as versões do Windows que ainda recebem suporte. O SaRA, uma ferramenta gratuita que auxiliava na resolução de problemas comuns em Office, Microsoft 365, Outlook e Windows, será substituído pelo comando Get Help. Esta nova ferramenta, que pode ser utilizada via linha de comando ou scripts como PowerShell, oferece capacidades semelhantes, mas com uma infraestrutura de segurança aprimorada. A Microsoft orienta os administradores de TI a migrar para o Get Help, que promete identificar e corrigir problemas de forma automatizada ou fornecer instruções para soluções manuais. A mudança faz parte de uma série de desativações de serviços e aplicativos pela Microsoft, visando fortalecer a segurança de seus produtos. Além disso, a empresa já havia anunciado a descontinuação de outras funcionalidades e aplicativos, como o recurso de preenchimento automático de senhas do Microsoft Authenticator e o Microsoft Publisher, que será removido do Microsoft 365 em 2026.

Vulnerabilidade BlueHammer permite escalonamento de privilégios no Windows

Uma nova vulnerabilidade, chamada BlueHammer, foi divulgada por um pesquisador de segurança insatisfeito com a forma como a Microsoft lidou com o processo de divulgação. Essa falha de escalonamento de privilégios no Windows permite que atacantes obtenham permissões de SYSTEM ou administrador elevado. Sem um patch oficial disponível, a vulnerabilidade é considerada um zero-day. O pesquisador, que se identifica como Chaotic Eclipse, expressou frustração com a Microsoft e publicou um repositório no GitHub contendo o código de exploração. Embora a exploração exija acesso local, o risco é significativo, pois atacantes podem obter acesso local por meio de engenharia social ou outras vulnerabilidades. A falha combina um problema de TOCTOU (time-of-check to time-of-use) e confusão de caminho, permitindo acesso ao banco de dados Security Account Manager (SAM), que contém hashes de senhas. Especialistas confirmaram que, embora o exploit funcione, ele pode apresentar bugs que dificultam sua eficácia em algumas versões do Windows, como o Windows Server. A Microsoft ainda não se pronunciou sobre a questão.

Ex-engenheiro é condenado por extorsão em ataque a servidores

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

Toolkit de acesso remoto russo usa atalhos maliciosos no Windows

Pesquisadores de cibersegurança descobriram um toolkit de acesso remoto de origem russa, denominado CTRL, que é distribuído por meio de arquivos de atalho (LNK) maliciosos disfarçados como pastas de chaves privadas. O toolkit, desenvolvido em .NET, inclui executáveis que facilitam phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso via Fast Reverse Proxy (FRP). O ataque começa com um arquivo LNK que, ao ser clicado, inicia um processo em múltiplas etapas, levando à implantação do toolkit. O arquivo dropper aciona um comando PowerShell oculto que remove mecanismos de persistência existentes e baixa cargas úteis adicionais de um servidor remoto. O componente de coleta de credenciais simula uma janela de verificação de PIN do Windows, capturando informações sensíveis enquanto bloqueia tentativas de escape. O toolkit também permite o envio de notificações que imitam navegadores para roubo adicional de credenciais. A arquitetura do CTRL prioriza a segurança operacional, evitando padrões de comunicação detectáveis, o que representa um risco significativo para organizações que utilizam tecnologias Windows. A descoberta deste toolkit destaca a necessidade de vigilância contínua e medidas de segurança robustas para mitigar riscos associados a ataques de malware sofisticados.

Milhões de laptops empresariais atrasam atualizações, causando caos

Um estudo recente da Omnissa revelou que muitos laptops empresariais, especialmente aqueles com Windows, estão atrasados em suas atualizações, o que resulta em instabilidade e riscos de segurança. A pesquisa indica que dispositivos Windows enfrentam 3,1 vezes mais desligamentos forçados e 2,2 vezes mais falhas de aplicativos em comparação com sistemas macOS. Além disso, ambientes Windows experimentam 7,5 vezes mais travamentos de aplicativos, o que interrompe significativamente o fluxo de trabalho dos funcionários. A falta de atualizações não apenas compromete a estabilidade, mas também a segurança, com mais de 50% dos dispositivos em ambientes educacionais e de saúde permanecendo não criptografados. A crescente adoção de ferramentas de inteligência artificial, que aumentaram em quase 1000% no último ano, está pressionando ainda mais esses sistemas desatualizados, tornando-os mais suscetíveis a problemas de desempenho. O artigo destaca a necessidade urgente de dados de telemetria granular para orientar decisões de aquisição de dispositivos e garantir que os laptops empresariais atendam às exigências dos funcionários.

Cibersegurança Riscos do uso de autenticação em ambientes Windows

O artigo destaca que, apesar da implementação de autenticação multifator (MFA) em ambientes Windows, muitas organizações ainda enfrentam riscos significativos devido a caminhos de autenticação que não acionam MFA. Os atacantes continuam a comprometer redes usando credenciais válidas, especialmente em logons interativos e acessos diretos via RDP, que não são protegidos por controles de MFA. O uso de protocolos legados como NTLM e Kerberos também é explorado, permitindo ataques como ‘pass-the-hash’ e ‘pass-the-ticket’. Para mitigar esses riscos, o artigo sugere a adoção de políticas de senhas mais rigorosas, bloqueio de senhas comprometidas e auditoria de contas de serviço. Ferramentas como Specops Secure Access são mencionadas como soluções para reforçar a segurança em logons do Windows, VPN e RDP, dificultando o acesso não autorizado. A análise enfatiza a necessidade de uma abordagem proativa para proteger a autenticação no Windows, considerando a crescente sofisticação dos ataques cibernéticos.

Arquivo .scr é um vírus? Entenda o perigo e como bloquear no Windows

O arquivo com extensão .scr, que remete a protetores de tela no Windows, é frequentemente utilizado por cibercriminosos para disseminar malware. Em 2026, a probabilidade de receber um arquivo .scr malicioso por e-mail é de 99,9%. Isso ocorre porque o Windows trata arquivos .scr da mesma forma que arquivos executáveis (.exe), permitindo que um malware se disfarce como um documento legítimo, como um PDF. Os golpistas costumam usar camuflagens, como nomes de arquivos que parecem inofensivos, mas que na verdade contêm a extensão .scr oculta. Para se proteger, é recomendado ativar a exibição de extensões de arquivos no Windows Explorer, o que ajuda a identificar arquivos suspeitos. Além disso, uma solução prática é criar um arquivo .scr que abra no Bloco de Notas, impedindo a execução de qualquer código malicioso. Para usuários mais avançados, é aconselhável bloquear a execução de arquivos .scr fora da pasta do sistema. Essas medidas são essenciais para evitar que usuários desavisados sejam vítimas de ataques cibernéticos.

Páginas falsas de CAPTCHA enganam usuários para instalar malware

Cibercriminosos estão utilizando páginas falsas de CAPTCHA para disseminar malware, explorando uma vulnerabilidade no Windows. O ataque envolve a clonagem de páginas de CAPTCHA legítimas, levando os usuários a baixar um software malicioso conhecido como Stealthy StealC Information Stealer. O método é particularmente insidioso, pois as vítimas são induzidas a executar comandos no teclado que instalam o malware sem que percebam. Após abrir a janela ‘Executar’ do Windows, os usuários são instruídos a colar um comando malicioso que, ao ser executado, carrega um script do PowerShell, permitindo a instalação do malware. O objetivo principal é roubar informações de login de serviços populares, como Outlook, Steam e carteiras de criptomoedas. Especialistas alertam que qualquer solicitação para executar comandos desconhecidos em páginas de CAPTCHA deve ser vista com desconfiança, pois pode resultar em comprometimento de dados pessoais. A proteção contra esse tipo de ataque envolve a conscientização sobre as instruções que podem ser solicitadas em páginas de segurança, evitando a execução de comandos desconhecidos.

Microsoft corrige falha que bloqueava navegadores no Windows

A Microsoft anunciou a correção de um problema que afetava o serviço de controle parental Family Safety, impedindo usuários do Windows de abrir o Google Chrome e outros navegadores. O bug, identificado em junho de 2025, causava falhas no lançamento do Chrome em dispositivos com Windows 10 e 11, devido a uma ferramenta de filtragem da web que exigia aprovação dos pais para o uso de navegadores alternativos. Essa falha também bloqueava novas versões de navegadores previamente aprovados, resultando em encerramentos inesperados. A empresa confirmou que uma correção foi implementada em fevereiro de 2026, e os usuários afetados devem conectar seus dispositivos à internet para receber a atualização. Para aqueles sem acesso à internet, a ativação do recurso de ‘Relatório de Atividades’ no Family Safety permitirá que os pais aprovem novas versões de navegadores. A Microsoft está trabalhando para adicionar as versões mais recentes dos navegadores à lista de bloqueio, evitando problemas semelhantes no futuro.

Falha crítica no Bloco de Notas do Windows permite controle total do PC

Uma vulnerabilidade grave, identificada como CVE-2026-20841, foi descoberta no Bloco de Notas do Windows, permitindo que cibercriminosos assumam o controle total de computadores afetados. A falha, que se relaciona à execução remota de código, foi encontrada durante uma atualização de segurança em fevereiro de 2026, após a Microsoft ter implementado suporte ao Markdown no aplicativo. A exploração da vulnerabilidade ocorre quando um usuário abre um arquivo Markdown comprometido, que contém um link malicioso. Ao clicar nesse link, os hackers conseguem executar comandos não verificados, obtendo acesso a dados pessoais sem que o sistema emita alertas de segurança. A versão clássica do Bloco de Notas não foi afetada, mas as versões mais recentes, que possuem mais funcionalidades, estão em risco. A Microsoft já lançou uma atualização urgente para corrigir a falha, recomendando que os usuários atualizem suas versões para a 11.2510 ou superiores e mantenham cautela ao interagir com mensagens suspeitas.

Pesquisador revela vulnerabilidades em arquivos de atalho do Windows

Durante o Wild West Hackin’ Fest, o pesquisador de segurança Wietze Beukema apresentou várias vulnerabilidades em arquivos de atalho (.LNK) do Windows, que permitem a execução de payloads maliciosos. Beukema documentou quatro técnicas desconhecidas que manipulam esses arquivos para ocultar alvos maliciosos, enganando os usuários que verificam as propriedades do arquivo. Os arquivos LNK, introduzidos no Windows 95, utilizam um formato binário complexo que possibilita a criação de arquivos enganosos que parecem legítimos no Windows Explorer, mas que executam programas diferentes ao serem abertos. As falhas exploram inconsistências na priorização de caminhos de destino conflitantes dentro dos arquivos de atalho. A técnica mais poderosa envolve a manipulação da estrutura EnvironmentVariableDataBlock, permitindo que um alvo falso, como “invoice.pdf”, seja exibido, enquanto comandos maliciosos são executados. Apesar da gravidade das falhas, a Microsoft não as classificou como vulnerabilidades de segurança, argumentando que a exploração requer interação do usuário. Beukema, por sua vez, destacou que os usuários frequentemente ignoram avisos de segurança, o que torna esses ataques viáveis. Ele também lançou uma ferramenta de código aberto chamada “lnk-it-up” para testar e identificar arquivos LNK potencialmente maliciosos.

Hackers usam proteção de tela do Windows para aplicar golpes

Um novo tipo de ataque de spear-phishing está utilizando arquivos de proteção de tela do Windows (.scr) para contornar sistemas de segurança e infectar instituições. De acordo com uma pesquisa da ReliaQuest, os cibercriminosos estão enganando usuários ao enviar arquivos maliciosos disfarçados de documentos corporativos, como recibos ou resumos de projetos. Quando a vítima baixa e executa o arquivo .scr, que é um executável, as ferramentas de segurança geralmente não detectam a ameaça, pois essa extensão é menos monitorada em comparação com arquivos mais comuns, como .exe.

Campanha de malware DEADVAX utiliza técnicas avançadas para infiltração

Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova campanha de malware chamada DEAD#VAX, que utiliza uma combinação de técnicas sofisticadas para contornar mecanismos tradicionais de detecção. O ataque utiliza arquivos de disco virtual (VHD) hospedados na rede descentralizada InterPlanetary Filesystem (IPFS), disfarçados como arquivos PDF, para enganar as vítimas. O malware AsyncRAT, um trojan de acesso remoto, é injetado diretamente em processos confiáveis do Windows, operando totalmente na memória e evitando a criação de artefatos forenses no disco. A campanha é iniciada por meio de um e-mail de phishing que entrega o arquivo VHD. Uma vez montado, um script WSF é executado, que verifica as condições do ambiente antes de liberar o AsyncRAT. Essa abordagem de execução em memória e o uso de scripts ofuscados dificultam a detecção e a resposta a incidentes, tornando a campanha altamente eficaz. Os pesquisadores alertam que a evolução das campanhas de malware, que agora dependem de formatos de arquivo confiáveis e execução residente na memória, representa um desafio significativo para a segurança cibernética.

Microsoft anuncia descontinuação do NTLM em favor do Kerberos

A Microsoft revelou um plano em três fases para descontinuar o uso do New Technology LAN Manager (NTLM), uma tecnologia de autenticação considerada obsoleta e vulnerável a ataques cibernéticos. O NTLM foi oficialmente descontinuado em junho de 2024 e não recebe mais atualizações, devido a sua suscetibilidade a ataques como replay e man-in-the-middle, conforme explicado por Mariam Gewida, Gerente de Programa Técnico II da Microsoft. Apesar de sua descontinuação, o NTLM ainda é amplamente utilizado em ambientes corporativos, muitas vezes devido a dependências legadas e limitações de rede, o que expõe as organizações a riscos de segurança. Para mitigar esses problemas, a Microsoft implementou uma estratégia que inclui auditorias aprimoradas do NTLM, a introdução de recursos como IAKerb e um Centro de Distribuição de Chaves local, e, finalmente, a desativação do NTLM por padrão nas próximas versões do Windows Server. Essa transição é vista como um passo importante em direção a um futuro sem senhas e mais resistente a phishing, exigindo que as organizações realizem auditorias e migrações para o Kerberos. A mudança visa garantir que o Windows opere em um estado seguro por padrão, priorizando alternativas de autenticação mais modernas e seguras.

Microsoft oferece solução temporária para falhas no Outlook após atualizações

A Microsoft divulgou uma solução temporária para usuários do Outlook que estão enfrentando travamentos após a instalação das atualizações de segurança do Windows deste mês. O problema afeta especialmente usuários com contas de e-mail POP que instalaram a atualização KB5074109 em sistemas Windows 11 25H2 e 24H2. Os sintomas incluem a incapacidade de reabrir o Outlook sem encerrar o processo pelo Gerenciador de Tarefas, e-mails sendo baixados novamente, além de mensagens enviadas não aparecendo na pasta Itens Enviados. A Microsoft também alertou que qualquer aplicativo pode se tornar não responsivo ao abrir ou salvar arquivos em serviços de armazenamento em nuvem, como OneDrive ou Dropbox. Os usuários afetados foram aconselhados a acessar suas contas de e-mail via webmail ou a mover seus arquivos PST do Outlook para fora do OneDrive. Embora seja possível desinstalar as atualizações problemáticas, a Microsoft adverte que isso pode deixar os dispositivos vulneráveis a ameaças, já que as atualizações de segurança corrigem falhas exploráveis. A empresa está investigando a situação, mas ainda não forneceu um cronograma para uma solução permanente.

Microsoft corrige 100 vulnerabilidades no Windows, incluindo 3 zero-day

No dia 13 de janeiro de 2026, a Microsoft lançou uma atualização de segurança que corrigiu mais de 100 vulnerabilidades no Windows, incluindo três falhas zero-day. A CVE-2026-20805, uma das falhas zero-day, permite que hackers acessem informações sensíveis através de vazamentos de memória, facilitando ataques subsequentes. Outra vulnerabilidade, CVE-2026-21265, está relacionada à expiração de certificados do secure boot, afetando computadores adquiridos entre 2012 e 2025. Para mitigar essa falha, é necessário auditar o hardware e atualizar o firmware. A terceira falha, CVE-2023-31096, está ligada à elevação de privilégios em drivers de modem que têm sido parte do Windows por décadas. Das 114 vulnerabilidades corrigidas, 57 são de elevação de privilégios, 22 de execução remota de código e 22 de vazamento de informações. Embora apenas 8 sejam categorizadas como críticas, é essencial que usuários e empresas avaliem o impacto dessas falhas em seus sistemas.

Novo ciberataque ao Windows utiliza acesso remoto por script

Uma nova campanha de ciberataque, chamada SHADOW#REACTOR, está afetando usuários do Windows ao disseminar um malware de acesso remoto. Detectado por pesquisadores da Securonix, o ataque utiliza a ferramenta Remcos RAT para obter acesso remoto aos sistemas, estabelecendo uma persistência silenciosa. O processo inicia-se com um VBS Launcher, que se disfarça no Windows e executa um script para recuperar payloads fragmentados de um servidor remoto. Esses fragmentos são então reconstruídos em loaders, que são decodificados na memória do dispositivo. A execução final do malware é realizada através do MSBuild.exe, um processo legítimo do Windows, que permite ao Remcos RAT comprometer o sistema operacional. Os principais alvos são pequenas e médias empresas, com os hackers buscando vender o acesso a esses sistemas a outros agentes maliciosos. A disseminação do malware ocorre principalmente por meio de links maliciosos, que atraem as vítimas sem que elas percebam. A utilização de processos legítimos para a infecção torna o Remcos RAT resiliente e difícil de ser detectado por soluções de segurança.

Malware oculto no KMSAuto infecta quase 3 milhões de PCs

Um homem lituano de 29 anos foi preso por sua suposta participação na infecção de 2,8 milhões de sistemas com um malware disfarçado de KMSAuto, uma ferramenta popular para ativar o Windows e o Microsoft Office sem custos. As autoridades coreanas relataram que o criminoso enganou as vítimas a baixarem um ativador malicioso, que escaneava a área de transferência em busca de credenciais de criptomoeda, substituindo-as por endereços controlados por ele. O ataque resultou em um roubo de 1,7 bilhão de won coreano, equivalente a milhões de reais, através de 8,4 mil transações online. A investigação começou em agosto de 2020, após uma denúncia de cryptojacking, onde o malware alterava endereços de carteiras de criptomoeda sem o conhecimento dos usuários. O caso destaca a crescente ameaça de malware escondido em ferramentas piratas e a necessidade de conscientização sobre os riscos associados ao uso de software não autorizado.

Ferramenta falsa de ativação do Windows infecta PCs com malware

Um novo golpe de cibersegurança está em andamento, onde hackers estão utilizando um domínio falso do Microsoft Activation Scripts (MAS) para disseminar malware, especificamente o Cosmali Loader. Esse malware é ativado quando usuários digitam incorretamente o comando ‘get.activated.win’ no PowerShell, substituindo por ‘get.activate[.]win’, um domínio malicioso. Os usuários afetados relataram receber pop-ups informando sobre a infecção, que pode incluir um trojan de acesso remoto e funcionalidades de mineração de criptomoedas. Especialistas em cibersegurança alertam que a utilização de scripts de ativação não oficiais do Windows pode ser arriscada e recomendam cautela ao inserir comandos desconhecidos. A situação destaca a importância de verificar a autenticidade de ferramentas de ativação e a necessidade de educação contínua sobre segurança digital para evitar tais armadilhas.

Milhares baixam torrent e liberam malware AgentTesla em dispositivos Windows

Um novo ataque cibernético tem se espalhado por meio de um torrent fraudulento que promete conter o filme “One Battle After Another”, estrelado por Leonardo DiCaprio. Ao clicar em um atalho disfarçado como lançador do filme, os usuários inadvertidamente executam um script PowerShell malicioso que se oculta em arquivos de legenda. Esse script extrai e executa outros scripts maliciosos, resultando na instalação do AgentTesla, um trojan de acesso remoto que rouba credenciais de navegadores, clientes de e-mail e ferramentas de FTP. A campanha, observada por pesquisadores, destaca a vulnerabilidade dos usuários que, atraídos pela curiosidade por novos lançamentos, ignoram os riscos de segurança. O ataque não depende de falhas de software, mas sim da execução do usuário, o que permite contornar defesas básicas de antivírus. A disseminação de torrents por publicadores anônimos continua a ser um método comum para a entrega de malware, reforçando a necessidade de cautela ao baixar conteúdos não verificados.

Microsoft corrige falha grave em arquivos de atalho do Windows

A Microsoft lançou correções para uma vulnerabilidade crítica em arquivos de atalho do Windows, identificada como CVE-2025-9491. Essa falha, que já foi explorada em ataques por grupos de hackers e estados estrangeiros, permite que comandos maliciosos sejam ocultados em arquivos do tipo LNK. Para que a exploração ocorra, é necessária a interação do usuário, que deve abrir o arquivo. Os cibercriminosos costumam enviar esses arquivos disfarçados em anexos compactados, como ZIP, para evitar detecções. A vulnerabilidade se aproveita da forma como o Windows exibe os atalhos, permitindo que códigos maliciosos sejam executados sem que o usuário perceba, uma vez que o campo Target do atalho só mostra os primeiros 260 caracteres. Apesar da correção da Microsoft, que agora exibe todos os caracteres do campo Target, a falha não é completamente resolvida, pois os comandos maliciosos permanecem. A ACROS Security, por sua vez, lançou uma correção alternativa que limita os atalhos a 260 caracteres e alerta os usuários sobre potenciais perigos. Essa situação destaca a necessidade de vigilância constante e educação em segurança cibernética para evitar que usuários caiam em armadilhas.

Microsoft corrige vulnerabilidade crítica em arquivos de atalho do Windows

A Microsoft lançou um patch silencioso em novembro de 2025 para corrigir a vulnerabilidade CVE-2025-9491, que afeta arquivos de atalho (.LNK) do Windows. Essa falha, que existe desde 2017, permite que atacantes executem código remotamente ao manipular a interface do usuário, ocultando comandos maliciosos através de caracteres em branco. A vulnerabilidade foi explorada por grupos patrocinados por estados, incluindo nações como China, Irã, Coreia do Norte e Rússia, em campanhas de espionagem e roubo de dados. A falha foi inicialmente revelada em março de 2025, e, apesar de a Microsoft ter inicialmente decidido não corrigir o problema, a crescente exploração levou à liberação do patch. O novo comportamento do sistema agora exibe o comando completo no diálogo de propriedades, independentemente do seu comprimento, mitigando o risco de ocultação. A 0patch, por sua vez, oferece uma micropatch que alerta os usuários ao tentarem abrir arquivos .LNK com mais de 260 caracteres, destacando a necessidade de proteção contínua contra ataques que possam utilizar essa vulnerabilidade.

Falsa atualização do Windows oculta malware ClickFix em imagens

Pesquisadores de segurança da Huntress identificaram uma nova tática do malware ClickFix, que utiliza esteganografia para esconder códigos maliciosos em imagens PNG. Os cibercriminosos imitam atualizações críticas do Windows para enganar os usuários, que precisam copiar e colar comandos no prompt de comando para ativar o malware. Essa variante do ClickFix, que também inclui infostealers como LummaC2 e Rhadamantys, foi observada pela primeira vez em outubro de 2025. O ataque envolve a execução de código JavaScript através do binário nativo do Windows, mshta, e utiliza PowerShell e assembly .NET para extrair o payload malicioso. Apesar de parte da infraestrutura hacker ter sido desmantelada em uma operação em novembro, domínios falsos de atualização do Windows ainda estão ativos. Para se proteger, a Huntress recomenda monitorar processos suspeitos e desconfiar de comandos desconhecidos. A situação destaca a necessidade de vigilância constante contra técnicas de engenharia social cada vez mais sofisticadas.

Campanha de malvertising usa sites falsos para enganar usuários do Windows

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.