Um novo esquema de malware para macOS, conhecido como Infiniti Stealer, foi descoberto pela Malwarebytes. Este infostealer é distribuído através de um ataque de engenharia social chamado ClickFix, que engana as vítimas a executarem um código malicioso no Terminal do macOS. O ataque começa com um redirecionamento para um site que simula uma atualização de software, onde as vítimas são levadas a completar um CAPTCHA que, na verdade, é um código que instala o malware. O Infiniti Stealer é notável por ser escrito em Python e compilado com Nuitka, o que resulta em um executável nativo do macOS, dificultando sua detecção. O malware é capaz de roubar credenciais de navegadores, dados do Keychain do macOS, informações de carteiras de criptomoedas e até capturas de tela. A Malwarebytes alerta que, devido à natureza do ataque, muitas defesas tradicionais são contornadas, tornando os usuários vulneráveis. Para se proteger, recomenda-se cautela com comunicações recebidas, verificação de links e a utilização de autenticação multifator.

O grupo cibercriminoso conhecido como Inc reivindicou a responsabilidade por um ataque cibernético à cidade de Meriden, em Connecticut, que resultou em várias interrupções nos sistemas da cidade, incluindo atrasos na emissão de contas de água. O ataque, que começou a ser relatado em 17 de fevereiro, afetou serviços essenciais, como os escritórios do cartório e da arrecadação de impostos, que ainda estavam sendo restaurados mais de um mês após o incidente. Inc, um grupo de ransomware que surgiu em julho de 2023, utiliza métodos como phishing direcionado e exploração de vulnerabilidades conhecidas para invadir redes. O grupo já reivindicou 704 ataques, com 175 confirmados, sendo 25 direcionados a entidades governamentais. Embora os oficiais de Meriden não tenham confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem resultar em roubo de dados e paralisação de serviços. O impacto potencial desses ataques é significativo, pois pode levar a perdas financeiras e riscos de conformidade, especialmente em relação à proteção de dados pessoais.

A empresa de cibersegurança F5 Networks reclassificou uma vulnerabilidade no BIG-IP APM, anteriormente considerada uma falha de negação de serviço (DoS), como uma falha crítica de execução remota de código (RCE). Essa vulnerabilidade, identificada como CVE-2025-53521, permite que atacantes não privilegiados realizem execução remota de código em sistemas BIG-IP APM com políticas de acesso configuradas em um servidor virtual. A F5 alertou que a vulnerabilidade está sendo explorada ativamente, com a possibilidade de implantação de webshells em dispositivos não corrigidos. A organização também forneceu indicadores de comprometimento (IOCs) e recomendou que os administradores verifiquem os discos, logs e histórico de terminais de seus sistemas BIG-IP em busca de atividades maliciosas. A CISA dos EUA incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais garantissem a segurança de seus sistemas até 30 de março. A F5 enfatizou a importância de seguir as diretrizes de segurança corporativa e as melhores práticas forenses em caso de incidentes. Com mais de 240 mil instâncias do BIG-IP expostas online, a situação representa um risco significativo para a segurança das redes corporativas.

O mercado de Agentes SOC (Centro de Operações de Segurança) baseados em IA está em rápida expansão, com diversas startups prometendo revolucionar a forma como as equipes de segurança lidam com triagem de alertas, investigações e respostas. Um relatório recente da Gartner destaca que, embora 70% dos grandes SOCs planejem testar agentes de IA até 2028, apenas 15% conseguirão melhorias mensuráveis sem uma avaliação estruturada. O estudo sugere que muitas organizações estão fazendo as perguntas erradas ao considerar essas ferramentas. Entre os pontos críticos a serem avaliados estão a real redução do trabalho da equipe, a medição de resultados além do volume de alertas processados, a viabilidade financeira dos fornecedores e a capacidade de integração com sistemas existentes. Além disso, é essencial que as soluções de IA não apenas aumentem a eficiência, mas também aprimorem as habilidades dos analistas. A Gartner recomenda que as empresas avaliem a autonomia dos agentes de IA e a transparência das operações, garantindo que os analistas possam entender e aprender com as decisões tomadas pela IA. O relatório serve como um guia prático para líderes de cibersegurança que buscam implementar essas tecnologias de forma eficaz.

A Apple lançou uma nova funcionalidade de segurança na versão 26.4 do macOS Tahoe, que visa proteger os usuários contra ataques do tipo ClickFix. Essa técnica de engenharia social engana os usuários a colar comandos maliciosos no Terminal, acreditando que estão resolvendo um problema. A nova mecânica do sistema impede a execução imediata de comandos potencialmente prejudiciais, exibindo um alerta que informa sobre os riscos associados. O alerta é acionado quando comandos são copiados de navegadores, como o Safari, e colados no Terminal. Embora os usuários possam optar por ignorar o aviso, a Apple recomenda cautela, especialmente se a origem do comando for desconhecida. A funcionalidade foi relatada por usuários desde a versão candidata do sistema, mas não foi mencionada nas notas de lançamento oficiais. A Apple ainda não divulgou documentação de suporte sobre esse novo sistema de alertas, e a eficácia do mecanismo em identificar comandos arriscados permanece incerta. Especialistas em segurança recomendam que usuários de qualquer sistema operacional evitem executar comandos encontrados online sem total compreensão de suas funções.

O relatório State of Secrets Sprawl 2026 da GitGuardian revela um aumento alarmante de 34% nos segredos codificados expostos em 2025, totalizando 29 milhões de novos vazamentos. Este crescimento é impulsionado pela adoção de serviços de inteligência artificial (IA), que geraram 81% mais vazamentos em comparação ao ano anterior. A pesquisa destaca que repositórios internos são seis vezes mais propensos a vazamentos do que os públicos, com 32,2% dos repositórios internos contendo segredos críticos. Além disso, 28% dos vazamentos ocorreram fora do código, em ferramentas de colaboração como Slack e Jira, onde os segredos são frequentemente mais críticos. O estudo também aponta que 64% dos segredos vazados em 2022 ainda permanecem válidos, evidenciando a falha na rotação e revogação de credenciais. A segurança deve evoluir para uma governança contínua de identidades não humanas, eliminando credenciais estáticas e adotando práticas de gerenciamento de segredos mais robustas. A situação exige que as equipes de segurança se adaptem rapidamente a um cenário em constante mudança, onde a superfície de ataque se expande com a integração de novas tecnologias.

Recentemente, uma falha crítica no Citrix NetScaler ADC e Gateway (CVE-2026-3055) foi identificada e está sendo ativamente explorada, com um CVSS de 9.3, o que a torna uma vulnerabilidade de alto risco. Essa falha se deve à validação insuficiente de entradas, permitindo que atacantes acessem informações sensíveis, especialmente se o sistema estiver configurado como um Provedor de Identidade SAML. Além disso, o FBI confirmou o hack da conta de e-mail do diretor Kash Patel, atribuído ao grupo de hackers Handala, vinculado ao Irã, que alegou ter acessado documentos confidenciais. Outro incidente notável envolve o grupo Red Menshen, que implantou backdoors em infraestruturas de telecomunicações, utilizando ferramentas como o BPFDoor para monitorar tráfego sem ser detectado. O caso de Ilya Angelov, um hacker russo condenado a dois anos de prisão por gerenciar um botnet usado em ataques de ransomware, também destaca a persistência de ameaças cibernéticas. Por fim, a FCC dos EUA baniu a importação de novos roteadores fabricados no exterior devido a riscos de segurança, refletindo uma crescente preocupação com a segurança cibernética em nível governamental.

Um estudo recente com 501 CIOs e profissionais de segurança cibernética no Reino Unido revelou que, apesar de 96% dos entrevistados recomendarem a área como uma boa escolha profissional, 84% temem que uma violação grave possa custar seus empregos a qualquer momento. Além disso, 59% relatam altos níveis de estresse, e 34% se preocupam constantemente com erros que poderiam comprometer suas carreiras. O ambiente de trabalho em cibersegurança é descrito como de alta pressão, onde a responsabilidade individual e os prazos rigorosos aumentam a carga emocional. A pesquisa destaca que 64% dos profissionais lidaram com incidentes significativos, e 27% precisaram se afastar do trabalho devido a burnout ou ansiedade. Para mitigar esses problemas, as organizações devem repensar como apoiam suas equipes de segurança, implementando planos de resposta a incidentes que incluam a redução do estresse e a promoção de uma cultura de apoio. A liderança deve estar ciente de que a baixa moral pode afetar o desempenho geral da organização, especialmente em momentos críticos. Portanto, é essencial que as empresas adotem medidas para garantir a saúde mental e a resiliência de suas equipes de cibersegurança.

A Comissão Europeia (CE) confirmou ter sido alvo de um ciberataque que resultou na perda de dados sensíveis. O incidente foi detectado em 24 de março de 2026, quando atacantes não identificados acessaram a infraestrutura em nuvem que hospeda o site Europa.eu. Embora a CE tenha afirmado ter respondido rapidamente e contido o risco, dados foram efetivamente extraídos. A CE está investigando o impacto total do incidente e notificando entidades da União Europeia que possam ter sido afetadas. A natureza dos dados roubados não foi especificada, mas a CE indicou que se tratam de informações organizacionais, não pessoais. Os atacantes teriam acessado uma conta da Amazon Web Services (AWS), resultando na extração de mais de 350 GB de dados. A CE implementou medidas adicionais de segurança para proteger seus serviços e dados, sem interromper o funcionamento do site.

A Comissão Europeia confirmou um vazamento de dados após a invasão de sua plataforma web Europa.eu, atribuída ao grupo de extorsão ShinyHunters. O ataque afetou pelo menos uma conta da Comissão na Amazon Web Services (AWS), mas não causou interrupções nos sites da Europa. A Comissão está notificando entidades da União Europeia que possam ter sido impactadas e continua a investigar o alcance total do incidente. Os primeiros indícios sugerem que dados foram extraídos, incluindo bancos de dados e documentos confidenciais. O ShinyHunters alegou ter roubado mais de 350 GB de dados antes que seu acesso fosse bloqueado, e disponibilizou uma parte desse material em seu site de vazamentos na dark web. Este incidente ocorre em um contexto de crescente preocupação com a segurança cibernética na Europa, especialmente após a proposta de novas legislações para fortalecer a defesa contra grupos de cibercrime. A Comissão afirmou que seus sistemas internos não foram afetados e que medidas estão sendo tomadas para garantir a segurança de seus dados e sistemas.

Uma vulnerabilidade crítica, identificada como CVE-2026-21643, foi descoberta na plataforma FortiClient EMS da Fortinet e está sendo ativamente explorada por atacantes. Essa falha de injeção SQL permite que agentes mal-intencionados não autenticados executem comandos arbitrários em sistemas não corrigidos, utilizando ataques de baixa complexidade direcionados à interface web do FortiClient EMS. A vulnerabilidade afeta a versão 7.4.4 do FortiClient EMS e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior. Apesar de a CISA não ter listado a vulnerabilidade como explorada, dados recentes indicam que a exploração começou há apenas quatro dias. A empresa Fortinet ainda não atualizou seu aviso de segurança sobre a situação. Atualmente, cerca de 1.000 instâncias do FortiClient EMS estão expostas publicamente, com mais de 1.400 IPs localizados nos Estados Unidos e na Europa. A exploração de vulnerabilidades da Fortinet é comum em ataques de ransomware e campanhas de espionagem cibernética, o que torna a situação ainda mais crítica para as empresas que utilizam essa tecnologia.

A Microsoft suspendeu a distribuição da atualização cumulativa opcional KB5079391 para Windows 11, após a identificação de um erro de instalação que gera o código 0x80073712. Essa atualização, que começou a ser disponibilizada na quinta-feira, incluía 29 melhorias, como a confiabilidade do Windows Hello para impressão digital e melhorias na exibição. Os usuários afetados estão recebendo mensagens de erro indicando que ‘alguns arquivos de atualização estão faltando ou apresentam problemas’. A empresa não forneceu um cronograma para a correção, mas é provável que uma solução seja lançada antes do próximo Patch Tuesday, em 14 de abril. A interrupção foi uma medida preventiva para evitar impactos adicionais enquanto a questão é investigada. Recentemente, a Microsoft também lançou atualizações de emergência para resolver problemas de login em aplicativos da Microsoft, além de outras correções para dispositivos Windows 11 Enterprise. A situação destaca a importância de monitorar atualizações e a necessidade de intervenções rápidas em caso de falhas significativas.

Três grupos de atividade de ameaças associados à China têm como alvo uma organização governamental no Sudeste Asiático, em uma operação complexa e bem financiada. As campanhas resultaram na utilização de diversas famílias de malware, incluindo HIUPAN, PUBLOAD, e FluffyGh0st, entre outros. Os pesquisadores da Palo Alto Networks identificaram três clusters de atividade: Mustang Panda, CL-STA-1048 e CL-STA-1049, que demonstram sobreposição em táticas e técnicas, sugerindo uma coordenação entre os grupos. A atividade do Mustang Panda, registrada entre junho e agosto de 2025, utilizou malware USB para implantar backdoors, enquanto o CL-STA-1049 fez uso de um novo loader DLL, o Hypnosis Loader, para instalar o FluffyGh0st RAT. A intenção dos atacantes parece ser a obtenção de acesso persistente a redes governamentais sensíveis, em vez de causar apenas interrupções. A convergência dessas atividades destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações críticas.

Pesquisadores de cibersegurança descobriram um toolkit de acesso remoto de origem russa, denominado CTRL, que é distribuído por meio de arquivos de atalho (LNK) maliciosos disfarçados como pastas de chaves privadas. O toolkit, desenvolvido em .NET, inclui executáveis que facilitam phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso via Fast Reverse Proxy (FRP). O ataque começa com um arquivo LNK que, ao ser clicado, inicia um processo em múltiplas etapas, levando à implantação do toolkit. O arquivo dropper aciona um comando PowerShell oculto que remove mecanismos de persistência existentes e baixa cargas úteis adicionais de um servidor remoto. O componente de coleta de credenciais simula uma janela de verificação de PIN do Windows, capturando informações sensíveis enquanto bloqueia tentativas de escape. O toolkit também permite o envio de notificações que imitam navegadores para roubo adicional de credenciais. A arquitetura do CTRL prioriza a segurança operacional, evitando padrões de comunicação detectáveis, o que representa um risco significativo para organizações que utilizam tecnologias Windows. A descoberta deste toolkit destaca a necessidade de vigilância contínua e medidas de segurança robustas para mitigar riscos associados a ataques de malware sofisticados.

Os arquivos ZIP são frequentemente utilizados para enviar documentos importantes, mas também podem ser uma porta de entrada para malwares. O artigo destaca a importância de verificar a origem e o contexto de envio desses arquivos antes de abri-los. É fundamental analisar o remetente, o conteúdo do e-mail e sinais visuais que possam indicar uma tentativa de phishing, como nomes genéricos de arquivos ou mensagens com erros de gramática. O artigo também menciona que erros ao tentar extrair arquivos ZIP podem ser um sinal de malware, e recomenda o uso de antivírus para escanear os arquivos antes de abri-los. Além disso, sugere que os usuários evitem abrir arquivos desconhecidos em máquinas corporativas e sempre confirmem a natureza do documento com o remetente. A cautela é essencial, pois hackers podem invadir contas de conhecidos para enviar arquivos infectados. O principal objetivo é promover uma abordagem proativa e informada na identificação de arquivos ZIP suspeitos.

O Sky Go é um aplicativo que permite aos assinantes da Sky TV no Reino Unido assistirem a uma variedade de conteúdos, incluindo séries, filmes e eventos esportivos ao vivo, em dispositivos móveis. No entanto, o acesso ao Sky Go é restrito a usuários localizados no Reino Unido, o que pode ser frustrante para aqueles que viajam para o exterior. Para contornar essa limitação, o uso de uma VPN (Rede Privada Virtual) é recomendado. A VPN permite que os usuários se conectem a servidores localizados no Reino Unido, fazendo com que pareça que estão acessando o serviço de dentro do país. O artigo destaca a importância de escolher um serviço de VPN confiável, como o NordVPN, que oferece segurança e desempenho adequados para streaming. Além disso, o texto fornece informações sobre os planos de assinatura da Sky TV, que variam em preço e conteúdo, e sugere que os usuários considerem pacotes que incluem serviços adicionais, como Netflix e Disney Plus, para maximizar sua experiência de entretenimento. O uso de uma VPN não só facilita o acesso ao Sky Go, mas também protege a privacidade do usuário ao navegar na internet.

O grupo de hackers Handala, associado ao Irã, comprometeu a conta de e-mail pessoal do diretor do FBI, Kash Patel, divulgando fotos e documentos. O FBI confirmou a violação, esclarecendo que os dados roubados eram antigos e não continham informações governamentais. Os hackers alegaram que a invasão foi uma retaliação à apreensão de domínios do Handala e à recompensa de até US$ 10 milhões oferecida pelo governo dos EUA por informações sobre seus membros. Eles publicaram provas da invasão, incluindo correspondências e arquivos pessoais de Patel, afirmando que toda a informação confidencial estava disponível para download público. O FBI, por sua vez, declarou que tomou medidas para mitigar os riscos associados a essa atividade. O grupo Handala, que já havia atacado a gigante de tecnologia médica Stryker, é conhecido por suas operações de hacktivismo em nome do Ministério da Inteligência e Segurança do Irã. A situação destaca a vulnerabilidade de figuras públicas e a necessidade de proteção robusta de dados pessoais, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

Larry Fink, CEO da BlackRock, destacou a importância de profissões como eletricistas e encanadores em um cenário onde a inteligência artificial (IA) está transformando o mercado de trabalho. Ele argumenta que a sociedade tem supervalorizado empregos de colarinho branco, como os de bancos e advocacia, enquanto subestima o valor das profissões que exigem habilidades manuais. Fink acredita que a demanda por trabalhadores qualificados nessas áreas crescerá à medida que a IA se expande, mesmo com a incerteza em torno de algumas funções de escritório. Ele também criticou a forma como a cultura popular retrata essas profissões, sugerindo que é necessário reequilibrar a percepção social sobre elas. Além disso, Fink alertou para os altos custos de energia como um obstáculo significativo para a expansão da infraestrutura de IA, enfatizando a necessidade de investimentos em fontes de energia renováveis, como solar e nuclear. Ele mencionou que a BlackRock está investindo nesse setor, adquirindo centros de dados para apoiar o crescimento da IA.

Uma vulnerabilidade no plugin Smart Slider 3, utilizado em mais de 800 mil sites WordPress, permite que usuários autenticados, como assinantes, acessem arquivos arbitrários no servidor. A falha, identificada como CVE-2026-3098, foi descoberta pelo pesquisador Dmitrii Ignatyev e afeta todas as versões do plugin até a 3.5.1.33. O problema se origina da falta de verificações de capacidade nas ações de exportação AJAX do plugin, permitindo que qualquer usuário autenticado invoque funções que não validam o tipo ou a origem dos arquivos. Isso significa que arquivos sensíveis, como o wp-config.php, que contém credenciais do banco de dados, podem ser acessados, aumentando o risco de roubo de dados e comprometimento total do site. Embora a vulnerabilidade tenha recebido uma classificação de severidade média, ela ainda representa um risco significativo, especialmente para sites com opções de assinatura. A Nextendweb, desenvolvedora do plugin, lançou um patch em 24 de março, mas estima-se que cerca de 500 mil sites ainda estejam vulneráveis. Os administradores de sites devem agir rapidamente para mitigar os riscos associados a essa falha.

O aumento de sites falsos de viagens, especialmente durante períodos de alta demanda, representa um risco significativo para os consumidores. Cibercriminosos utilizam táticas de engenharia social para criar páginas que imitam companhias aéreas e agências de viagens, atraindo vítimas com ofertas de preços extremamente baixos. Para evitar fraudes, é essencial que os usuários verifiquem cuidadosamente o domínio do site, buscando por erros de digitação e variações suspeitas. Além disso, é importante prestar atenção a textos genéricos, falta de informações claras sobre atendimento e inconsistências nos preços. Os anúncios patrocinados podem ser uma armadilha, pois sites fraudulentos frequentemente aparecem no topo das buscas. Antes de realizar um pagamento via Pix, os consumidores devem confirmar se o nome do recebedor corresponde à empresa e verificar a reputação do site em plataformas como o Reclame Aqui. Caso uma fraude seja identificada, é crucial agir rapidamente, contatando o banco e registrando um boletim de ocorrência. O artigo destaca a importância da cautela e da verificação de informações para evitar cair em golpes.

Um grupo de hackers ligado ao Irã, conhecido como Handala Hack Team, invadiu a conta de e-mail pessoal de Kash Patel, diretor do FBI, e divulgou uma série de fotos e documentos na internet. O FBI confirmou que os e-mails de Patel foram alvo de ataque, mas assegurou que os dados vazados são de natureza histórica e não contêm informações governamentais. O Handala Hack é associado ao Ministério da Inteligência e Segurança do Irã e tem um histórico de ataques direcionados a provedores de serviços de TI, utilizando credenciais comprometidas para obter acesso inicial. Recentemente, o grupo também foi responsável por um ataque destrutivo à Stryker, uma empresa da Fortune 500, onde deletou dados e limpou dispositivos de funcionários. O ataque é considerado um marco na ameaça à cadeia de suprimentos, especialmente no setor de saúde. Em resposta a operações de combate ao cibercrime, o Handala Hack divulgou os e-mails de Patel, que incluem comunicações de 2010 a 2019. O governo dos EUA está oferecendo uma recompensa de 10 milhões de dólares por informações sobre os membros do grupo, que tem utilizado táticas de engenharia social e malware para atingir dissidentes e jornalistas. O FBI e a CISA emitiram orientações para reforçar a segurança de domínios do Windows e do Microsoft Intune, visando prevenir ataques semelhantes.

Um estudo recente da Omnissa revelou que muitos laptops empresariais, especialmente aqueles com Windows, estão atrasados em suas atualizações, o que resulta em instabilidade e riscos de segurança. A pesquisa indica que dispositivos Windows enfrentam 3,1 vezes mais desligamentos forçados e 2,2 vezes mais falhas de aplicativos em comparação com sistemas macOS. Além disso, ambientes Windows experimentam 7,5 vezes mais travamentos de aplicativos, o que interrompe significativamente o fluxo de trabalho dos funcionários. A falta de atualizações não apenas compromete a estabilidade, mas também a segurança, com mais de 50% dos dispositivos em ambientes educacionais e de saúde permanecendo não criptografados. A crescente adoção de ferramentas de inteligência artificial, que aumentaram em quase 1000% no último ano, está pressionando ainda mais esses sistemas desatualizados, tornando-os mais suscetíveis a problemas de desempenho. O artigo destaca a necessidade urgente de dados de telemetria granular para orientar decisões de aquisição de dispositivos e garantir que os laptops empresariais atendam às exigências dos funcionários.

Um novo malware de roubo de informações, chamado Infinity Stealer, está direcionando ataques a sistemas macOS utilizando um payload em Python, que é empacotado como um executável com o compilador Nuitka. Este ataque emprega a técnica ClickFix, que apresenta um CAPTCHA falso semelhante ao verificador humano da Cloudflare, enganando os usuários para que executem código malicioso. Segundo pesquisadores da Malwarebytes, esta é a primeira campanha documentada no macOS que combina a entrega via ClickFix com um infostealer baseado em Python compilado com Nuitka. O uso do Nuitka resulta em um binário nativo que é mais resistente à análise estática, tornando a engenharia reversa mais difícil em comparação com ferramentas como PyInstaller. O ataque começa com um isco ClickFix no domínio update-check[.]com, que solicita que o usuário cole um comando obfuscado no Terminal do macOS, contornando defesas do sistema operacional. O malware é capaz de coletar dados sensíveis, como credenciais de navegadores, entradas do Keychain do macOS e segredos em arquivos de desenvolvedor, exfiltrando essas informações via requisições HTTP POST. A Malwarebytes alerta que a evolução de ameaças como o Infinity Stealer demonstra que os riscos para usuários de macOS estão se tornando mais sofisticados e direcionados.

O fenômeno conhecido como MFA fatigue, ou fadiga de autenticação multifatorial, refere-se à exploração do cansaço dos usuários diante de repetidas solicitações de autenticação em seus dispositivos. Os golpistas utilizam essa técnica de engenharia social para induzir os usuários a aprovar acessos indevidos, especialmente em momentos de distração. A autenticação de dois fatores (2FA) é uma medida de segurança importante, pois, mesmo que a senha de um usuário seja comprometida, o acesso ainda requer um código enviado ao celular. No entanto, os hackers têm desenvolvido métodos para contornar essa proteção, como o bombardeio de solicitações de autenticação e a criação de mensagens falsas de suporte. Isso pode levar os usuários a aprovar acessos fraudulentos sem perceber. Para se proteger, é essencial que os usuários estejam sempre atentos a notificações inesperadas e nunca compartilhem seus códigos de autenticação. A conscientização sobre esses ataques é crucial, pois a segurança não depende apenas da tecnologia, mas também do comportamento do usuário.

A Proofpoint revelou uma campanha de e-mails direcionados atribuída ao grupo de ameaças TA446, vinculado ao governo russo, que está utilizando o kit de exploits DarkSword para atacar dispositivos iOS. A campanha, que começou em 26 de março de 2026, envolveu e-mails falsos que simulavam convites para discussões do Atlantic Council, com o objetivo de entregar o malware GHOSTBLADE. Este ataque é notável, pois o TA446 não havia atacado dispositivos Apple anteriormente. A Proofpoint observou um aumento significativo no volume de e-mails maliciosos nas últimas semanas, com a utilização de arquivos ZIP protegidos por senha para implantar um backdoor conhecido como MAYBEROBOT. A empresa também destacou que a nova capacidade de ataque do DarkSword permite ao grupo ampliar seu alcance, visando uma variedade de entidades, incluindo governos e instituições financeiras. A Apple, por sua vez, começou a enviar notificações de segurança para usuários de iPhones e iPads, alertando sobre ataques baseados na web e incentivando a atualização do sistema operacional. A situação é preocupante, especialmente com a democratização do acesso a exploits de estado-nação, o que pode alterar significativamente o cenário de ameaças móveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

Uma vulnerabilidade crítica, identificada como CVE-2026-3055, foi recentemente divulgada, afetando o Citrix NetScaler ADC e o NetScaler Gateway. Com uma pontuação CVSS de 9.3, a falha se refere a uma validação insuficiente de entrada, que pode levar a uma leitura excessiva de memória, permitindo que um atacante potencialmente vaze informações sensíveis. A exploração bem-sucedida dessa vulnerabilidade depende da configuração do dispositivo como um Provedor de Identidade SAML (SAML IDP).

Atualmente, atividades de reconhecimento ativo estão sendo observadas, com atacantes tentando identificar se as instâncias do NetScaler estão configuradas como SAML IDP. Especialistas de segurança, como a Defused Cyber e a watchTowr, alertaram que a exploração pode ocorrer a qualquer momento, e as organizações que utilizam versões afetadas devem aplicar patches imediatamente. As versões vulneráveis incluem o NetScaler ADC e Gateway 14.1 antes da 14.1-66.59 e 13.1 antes da 13.1-62.23.

A fraude financeira, impulsionada por tecnologias de inteligência artificial (IA), se tornou uma atividade global de alto volume, com perdas estimadas em mais de $400 bilhões em um único ano. Um relatório da Vyntra de 2026 revela que quase dois terços das fraudes são bem-sucedidas no primeiro dia de contato, o que dificulta a intervenção. A IA generativa tem acelerado a criação de campanhas de phishing, reduzindo o tempo necessário para montá-las de mais de 16 horas para menos de 5 minutos. Isso permite que milhares de interações personalizadas ocorram simultaneamente, aumentando tanto o alcance quanto as taxas de sucesso. As fraudes incluem impersonificação de executivos, invasões de contas via phishing e golpes de recrutamento, frequentemente utilizando conteúdo gerado por IA. A combinação de clonagem de voz, vídeos deepfake e credenciais falsificadas fortalece a credibilidade das operações fraudulentas. Além disso, as fraudes de pagamento por transferência autorizada estão crescendo, pois as vítimas iniciam transferências sob condições manipuladas, tornando a detecção mais difícil. A integração da IA nesses esquemas não cria o problema, mas aumenta a eficiência e a escala, complicando os esforços de aplicação da lei. Instituições financeiras estão tentando responder com análises comportamentais e monitoramento em tempo real, mas a necessidade de compartilhamento de inteligência entre fronteiras se torna cada vez mais evidente.

Uma nova campanha de cibersegurança está atacando desenvolvedores no GitHub, utilizando alertas falsos de segurança do Visual Studio Code (VS Code) para induzir usuários a baixar malware. Os posts, que aparecem na seção de Discussões de vários projetos, são elaborados como avisos de vulnerabilidade e apresentam títulos alarmantes, como “Vulnerabilidade Severa - Atualização Imediata Necessária”, frequentemente incluindo IDs de CVE falsos. Os atacantes se passam por mantenedores de código reais, criando uma falsa sensação de legitimidade. A empresa de segurança Socket identificou que essa atividade é parte de uma operação bem organizada, com posts automatizados de contas recém-criadas ou com pouca atividade, que geram notificações por e-mail para um grande número de usuários. Os links nos alertas direcionam para versões supostamente corrigidas de extensões do VS Code, hospedadas em serviços externos como o Google Drive, o que pode enganar os usuários apressados. Ao clicar, os usuários são redirecionados para um site que coleta informações sobre o sistema da vítima. Este incidente destaca a necessidade de cautela ao lidar com alertas de segurança e a importância de verificar a legitimidade das fontes antes de agir.

Hackers do grupo TeamPCP comprometeram o pacote Telnyx no Python Package Index (PyPI), carregando versões maliciosas que distribuem malware projetado para roubar credenciais, oculto dentro de um arquivo WAV. O ataque à cadeia de suprimentos foi detectado por empresas de segurança como Aikido, Socket e Endor Labs, que associaram a ação ao TeamPCP, conhecido por ataques anteriores a sistemas iranianos e por comprometer ferramentas populares como o scanner de vulnerabilidades Trivy. As versões maliciosas 4.87.1 e 4.87.2 do pacote Telnyx foram publicadas, com a segunda versão corrigindo um erro na primeira. O malware, que se ativa automaticamente ao importar o pacote, é capaz de roubar chaves SSH, credenciais e tokens de nuvem em sistemas Linux e macOS, enquanto no Windows, ele se instala na pasta de inicialização para persistência. Pesquisadores alertam que a versão 4.87.0 é a única limpa e recomendam que os desenvolvedores revertam para ela imediatamente. Sistemas que importaram as versões comprometidas devem ser considerados totalmente comprometidos, com a necessidade urgente de rotação de segredos.

O grupo de cibercriminosos TeamPCP comprometeu o pacote Python telnyx, publicando duas versões maliciosas (4.87.1 e 4.87.2) no repositório PyPI, com o objetivo de roubar dados sensíveis. As versões maliciosas, lançadas em 27 de março de 2026, utilizam esteganografia em arquivos .WAV para ocultar suas capacidades de coleta de credenciais. Usuários são aconselhados a reverter para a versão 4.87.0 imediatamente, uma vez que o projeto PyPI está em quarentena. O código malicioso foi injetado no arquivo ’telnyx/_client.py’, sendo ativado ao importar o pacote em aplicações Python, afetando sistemas Windows, Linux e macOS. No Windows, o malware persiste através de um arquivo chamado ‘msbuild.exe’ na pasta de inicialização, enquanto em Linux e macOS, ele realiza uma coleta rápida de dados antes de se autodestruir. O ataque destaca uma nova abordagem dos cibercriminosos, que agora visam pacotes legítimos amplamente utilizados, em vez de publicar diretamente versões maliciosas. Para mitigar a ameaça, desenvolvedores devem auditar seus ambientes Python, rotacionar segredos e bloquear o domínio de exfiltração. Este incidente é parte de uma campanha mais ampla do TeamPCP, que colabora com outros grupos de cibercrime.

A Apple começou a enviar notificações na tela de bloqueio para usuários de iPhones e iPads que operam com versões antigas do iOS e iPadOS, alertando sobre ataques baseados na web e recomendando a atualização dos dispositivos. Essa ação surge após a descoberta de novos kits de exploração, como Coruna e DarkSword, que têm sido utilizados por diversos agentes de ameaças para entregar cargas maliciosas quando usuários acessam sites comprometidos. O kit Coruna visa versões do iOS entre 13.0 e 17.2.1, enquanto o DarkSword é direcionado a versões entre 18.4 e 18.7. A Kaspersky destacou que o Coruna é uma evolução do framework utilizado na Operação Triangulação, que explorava vulnerabilidades do iMessage. A crescente disponibilidade desses kits levanta preocupações sobre a democratização de exploits que antes eram restritos a estados-nação, aumentando o risco de exploração em massa. Para usuários que não podem atualizar, a Apple recomenda ativar o Modo de Bloqueio, disponível em dispositivos com iOS 16 ou superior, como uma medida de proteção contra conteúdos maliciosos.

A Comissão Federal de Comunicações (FCC) dos Estados Unidos implementou uma proibição que impede a venda de novos roteadores domésticos fabricados fora do país. A decisão, que visa proteger a segurança nacional, foi motivada por investigações que indicam que esses dispositivos podem ser utilizados como vetores de ciberespionagem. A medida se aplica a todos os modelos novos, mas os consumidores que já possuem roteadores de marcas como TP-Link e D-Link poderão continuar a usá-los. A proibição surge em um contexto de aumento de ataques cibernéticos, especialmente contra serviços essenciais, como água e energia, realizados por grupos hackers internacionais. A FCC justifica a ação como parte da Estratégia de Segurança Nacional de 2025, que busca realinhar a política externa dos EUA e proteger os cidadãos americanos de riscos cibernéticos.

A Aliança para Criatividade e Entretenimento (ACE) anunciou o fechamento da AnimePlay, uma plataforma de streaming de anime que contava com mais de 5 milhões de usuários, principalmente da Indonésia. A ACE, que é apoiada por grandes redes de televisão e estúdios de cinema, como Disney, Paramount e Netflix, tem como foco a erradicação de serviços de streaming ilegais por meio de ações judiciais e operações de cessação. Recentemente, a ACE também desmantelou a Photocall, uma plataforma de pirataria de TV com 26 milhões de usuários anuais. No caso da AnimePlay, a ACE não apenas fechou a aplicação, mas também tomou controle de toda a infraestrutura, incluindo servidores de hospedagem e domínios associados, efetivamente impedindo que os operadores da plataforma a reativassem. Larissa Knapp, da Motion Picture Association, afirmou que a organização continuará a trabalhar para desmantelar operações criminosas na região da Ásia-Pacífico e globalmente, visando proteger a integridade da economia criativa.

A Comissão Europeia está investigando uma violação de segurança após um ator de ameaça ter acessado sua infraestrutura de nuvem da Amazon. Embora o incidente ainda não tenha sido divulgado publicamente, fontes informaram que pelo menos uma conta utilizada para gerenciar a infraestrutura comprometida foi afetada. O ataque foi detectado rapidamente e a equipe de resposta a incidentes de cibersegurança da Comissão está em ação. O ator responsável pela violação alegou ter roubado mais de 350 GB de dados, incluindo múltiplos bancos de dados, e forneceu capturas de tela como prova de acesso a informações de funcionários da Comissão. Embora não tenha intenção de extorquir a Comissão, o ator planeja vazar os dados online posteriormente. Este incidente segue uma violação anterior em fevereiro, relacionada a um hack na plataforma de gerenciamento de dispositivos móveis da Comissão, que também afetou outras instituições europeias. As recentes brechas de segurança ocorrem em um contexto onde a Comissão propôs novas legislações de cibersegurança para fortalecer defesas contra atores estatais e grupos de cibercrime, destacando a crescente preocupação com a segurança das infraestruturas críticas na Europa.

O artigo de Yair Kuznitsov discute a transição das equipes de Governança, Risco e Conformidade (GRC) para um modelo de Inteligência Artificial Agente, que promete substituir processos operacionais tradicionais. Embora muitos profissionais reconheçam o potencial dessa tecnologia, há uma hesitação em adotar essa mudança, que está mais ligada a questões de identidade e valor profissional do que a limitações tecnológicas. Os especialistas em GRC, que historicamente construíram suas carreiras em torno da competência operacional, enfrentam o desafio de redefinir seus papéis em um ambiente onde as máquinas podem realizar tarefas como coleta de evidências e gerenciamento de auditorias. A proposta é que, ao liberar os profissionais dessas funções operacionais, eles possam se concentrar em atividades mais estratégicas, como a definição do apetite ao risco e a interpretação do contexto de negócios. Essa mudança é vista como uma oportunidade para que os profissionais de GRC voltem ao propósito original de sua função: entender e gerenciar riscos de forma mais eficaz. A transição, embora desafiadora, é apresentada como um retorno ao que sempre deveria ter sido o foco do GRC.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

A Polícia Nacional da Holanda (Politie) confirmou um incidente de segurança resultante de um ataque de phishing, que teve impacto limitado e não afetou os dados dos cidadãos. O Centro de Operações de Segurança da polícia detectou rapidamente o ataque e bloqueou o acesso dos invasores aos sistemas comprometidos. Embora a investigação sobre o impacto continue, a polícia assegurou que dados de cidadãos e informações de investigações não foram expostos ou acessados. O incidente está sendo investigado por especialistas em segurança da agência, e uma investigação criminal foi iniciada. Detalhes sobre a data da detecção do ataque e se dados de funcionários foram comprometidos ainda não foram divulgados. Este ataque ocorre em um contexto de crescente preocupação com a segurança cibernética, especialmente após um vazamento de dados em setembro de 2024, que envolveu informações de contato de policiais, atribuído a um ‘ator estatal’. Após o incidente, a polícia implementou medidas de segurança mais rigorosas, incluindo a autenticação de dois fatores para o acesso a contas. O ataque ressalta a necessidade de vigilância contínua e a implementação de práticas de segurança robustas para proteger informações sensíveis.

A Microsoft lançou a atualização cumulativa KB5079391 para as versões 24H2 e 25H2 do Windows 11, que inclui 29 alterações significativas, como melhorias na funcionalidade Smart App Control e na confiabilidade de exibição. Esta atualização faz parte do cronograma de pré-visualização mensal da Microsoft, que permite testar novos recursos e correções antes do Patch Tuesday. A atualização opcional permite que os usuários ativem ou desativem o Smart App Control sem a necessidade de reinstalar o sistema operacional, oferecendo maior flexibilidade na gestão de aplicativos. Além disso, melhorias na confiabilidade de exibição foram implementadas, incluindo suporte para monitores com taxas de atualização superiores a 1000 Hz e conexões nativas USB4. A instalação pode ser feita através do Catálogo de Atualizações da Microsoft ou diretamente nas configurações do Windows. A atualização também melhora a estabilidade do Windows Recovery Environment e a confiabilidade do Windows Hello em dispositivos específicos. Atualmente, não há problemas conhecidos associados a esta atualização, e as notas de versão completas estão disponíveis no boletim de suporte da Microsoft.

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas que afetam os frameworks LangChain e LangGraph, amplamente utilizados para desenvolver aplicações com Modelos de Linguagem de Grande Escala (LLMs). As falhas, se exploradas, podem expor dados sensíveis, como arquivos do sistema, segredos de ambiente e históricos de conversas. As vulnerabilidades identificadas são: CVE-2026-34070, uma vulnerabilidade de travessia de caminho que permite acesso a arquivos arbitrários; CVE-2025-68664, que vaza chaves de API e segredos de ambiente através da desserialização de dados não confiáveis; e CVE-2025-67644, uma injeção SQL que permite manipulação de consultas SQL no LangGraph. As versões corrigidas foram lançadas, e a exploração bem-sucedida dessas falhas pode resultar em acesso não autorizado a informações críticas. A situação é alarmante, especialmente considerando a rápida exploração de vulnerabilidades semelhantes em outras plataformas, como o Langflow. A necessidade de aplicar patches rapidamente é enfatizada, dado o potencial impacto em sistemas que dependem do LangChain, que é parte de uma vasta rede de bibliotecas e integrações.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

A segurança cibernética é uma preocupação crescente para as organizações, mas muitas vezes as equipes acreditam que suas defesas estão funcionando apenas porque os alertas estão ativos e os painéis de controle parecem em ordem. No entanto, um aspecto crucial frequentemente negligenciado é a validação da eficácia dessas defesas em situações reais de ataque. O webinar “Exposure-Driven Resilience: Automate Testing to Validate & Improve Your Security Posture” aborda essa lacuna, enfatizando a importância de parar de adivinhar e começar a provar a eficácia das medidas de segurança.

A computação quântica representa uma nova fronteira tecnológica que pode comprometer a segurança digital global, expondo senhas, transações bancárias e segredos de estado. O artigo destaca que a criptografia moderna se baseia na complexidade exponencial de quebrar chaves criptográficas, um desafio que computadores clássicos enfrentam. No entanto, os computadores quânticos, ao utilizarem princípios da física quântica, podem reduzir drasticamente o número de operações necessárias para resolver problemas complexos, tornando a quebra de criptografia uma tarefa viável em questão de horas. O algoritmo de Shor, conhecido desde a década de 1990, é um exemplo de como a computação quântica pode quebrar a criptografia que sustenta a segurança da Internet atual. A urgência da situação é ressaltada, pois atores maliciosos já estão coletando dados criptografados hoje para descriptografá-los no futuro. A solução proposta é a Criptografia Pós-Quântica (CPQ), que utiliza novas estruturas matemáticas resistentes a ataques quânticos. A transição para essa nova era não é uma questão futura, mas uma necessidade imediata para a segurança das infraestruturas de TICs.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

O clube de futebol profissional holandês AFC Ajax, conhecido por sua história de sucesso, revelou que um hacker explorou vulnerabilidades em seus sistemas de TI, acessando dados de algumas centenas de pessoas. O incidente permitiu a transferência de ingressos comprados e a modificação de proibições de acesso ao estádio impostas a certos indivíduos. A descoberta das falhas de segurança foi feita pelo clube após jornalistas receberem informações do próprio hacker. Segundo a declaração do Ajax, apenas os endereços de e-mail de algumas centenas de pessoas foram visualizados, além de dados pessoais de menos de 20 indivíduos com proibição de acesso ao estádio. A investigação realizada por jornalistas confirmou que era possível transferir ingressos de forma rápida e acessar registros de proibições, além de obter acesso a dados de torcedores através de APIs. O clube contratou especialistas externos para determinar a extensão do incidente e já corrigiu as vulnerabilidades identificadas. A Autoridade de Proteção de Dados da Holanda e a polícia foram notificadas. Embora o hacker tenha agido de forma não maliciosa, a situação levanta preocupações sobre a segurança dos dados dos torcedores, que devem estar atentos a comunicações suspeitas.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.