Resultados de busca

Uma conexão instável de internet pode ter consequências muito mais profundas do que frustrações momentâneas: ela pode influenciar decisões críticas em entrevistas de emprego, consultas médicas virtuais e até audiências judiciais. É o que revela um novo estudo publicado na Nature , mostrando que falhas técnicas como travamentos, atrasos e áudio distorcido prejudicam a percepção das pessoas e podem alterar julgamentos que impactam a vida de indivíduos no mundo real. Desde o início da pandemia de Covid-19, as videochamadas se tornaram parte essencial da rotina profissional e pessoal. No entanto, cerca de um terço dessas reuniões é afetado por problemas de conectividade. Para compreender o impacto disso, a pesquisadora Melanie Brucks, da Columbia University, e sua equipe conduziram experimentos com mais de 3.000 participantes, que avaliaram gravações de entrevistas de emprego simulando videochamadas reais. Candidatos cujas entrevistas apresentaram falhas técnicas receberam significativamente menos recomendações de contratação. Os efeitos negativos também aparecem na telemedicina. Entre 497 participantes que receberam aconselhamento médico virtual, 77% relataram confiança no profissional quando a ligação estava estável, mas o número caiu para 61% quando a chamada apresentou problemas de áudio ou vídeo. A equipe ainda analisou 472 audiências judiciais on-line e concluiu que conexões ruins reduziram as chances de réus obterem liberdade condicional. De acordo com os autores, falhas visuais e sonoras “quebram a ilusão” da interação presencial, prejudicando julgamentos sociais e criando uma sensação de estranheza o chamado uncanny effect. Um rosto congelado, um áudio atrasado ou movimentos truncados podem transmitir, mesmo sem intenção, insegurança, desatenção ou falta de credibilidade. E quanto mais “estranho” o glitch, maior o impacto negativo. O estudo alerta ainda que a situação pode piorar. Embora tecnologias antigas, como chamadas telefônicas, sejam hoje mais estáveis, elas continuam sendo substituídas por soluções que demandam muito mais largura de banda, como videochamadas em alta resolução, ambientes 3D, recursos interativos e até reuniões em realidade virtual. Segundo os pesquisadores, infraestrutura melhor não significa necessariamente menos problemas muitas vezes, apenas abre espaço para aplicações ainda mais exigentes. “À medida que buscamos simular interações cada vez mais próximas da vida real, qualquer falha técnica tende a parecer mais incômoda e perturbadora”, concluem os autores. Em outras palavras, o futuro das comunicações digitais pode tornar os efeitos psicológicos dos glitches ainda mais intensos e suas consequências, ainda mais relevantes. Via - TR

A Cloudflare confirmou que a queda massiva registrada na madrugada de sexta-feira foi provocada por uma tentativa mal-sucedida de corrigir a vulnerabilidade crítica React2Shell (CVE-2025-55182), que vem sendo explorada intensamente por hackers desde sua divulgação. Segundo a empresa, cerca de 28% do tráfego HTTP mundial foi impactado, fazendo sites de todos os tamanhos ficarem temporariamente fora do ar. De acordo com o diretor de tecnologia da Cloudflare, Dane Knecht, o incidente não teve relação com ataque hacker ou atividade maliciosa contra a empresa. “A falha foi causada internamente, durante mudanças em nossa lógica de parsing de requisições, implementadas para detectar e mitigar a vulnerabilidade recém-divulgada nos React Server Components”, afirmou em publicação oficial. A pressa para blindar a infraestrutura diante da exploração internacional da falha acabou desencadeando o apagão. A vulnerabilidade React2Shell, descoberta pelo pesquisador Lachlan Davidson e avaliada com pontuação 10.0 no CVSS, permite que um invasor execute código remoto sem autenticação em aplicações que utilizam a biblioteca React e frameworks correlatos, como Next.js. A falha desencadeou uma avalanche de exploração: provas de conceito funcionais (e outras falsas) começaram a circular poucas horas após a divulgação da falha, enquanto grupos hackers ligados ao governo chinês, incluindo Earth Lamia e Jackpot Panda, iniciaram varreduras e ataques direcionados. Dezenas de equipes de inteligência global vêm detectando atividades como reconhecimento, tentativas de roubo de credenciais AWS, coleta de arquivos de configuração e instalação de downloaders conectados a infraestrutura de comando e controle. Segundo a CISA, o bug entrou na lista de vulnerabilidades ativamente exploradas em tempo recorde. Analistas alertam ainda que grupos de ransomware e corretores de acesso inicial estão próximos de automatizar ataques baseados nessa falha. Enquanto POCs legítimas começaram a surgir, uma enxurrada de códigos falsos se espalhou rapidamente, confundindo equipes de TI. Davidson reforçou que muitos desses POCs “não representam exploração real” e dependem de funcionalidades perigosas que somente seriam acionadas caso o próprio desenvolvedor tivesse exposto métodos críticos ao cliente, o que não se aplica à maioria das aplicações. Apesar disso, a circulação de PoCs falsos criou uma falsa sensação de segurança em algumas organizações. O episódio reacendeu debates sobre o modelo de divulgação responsável de vulnerabilidades, especialmente no ecossistema de código aberto. Para Pascal Geenens, da Radware, talvez seja hora de repensar a dinâmica de divulgação limitada: “Governos e grupos hackers com grande capacidade técnica conseguem desenvolver exploits rapidamente, mesmo com poucas informações. Já defensores e provedores de segurança, sem detalhes completos, podem reagir mais devagar e isso favorece os atacantes”. Ele destaca que a falta de clareza inicial pode ter prejudicado mitigadores e contribuído para ações de resposta menos eficazes. A Cloudflare, por sua vez, indicou que continuará investigando o impacto total da falha interna e reforçará mecanismos de validação para evitar que ajustes emergenciais resultem em interrupções desse porte. A empresa também recomenda que organizações atualizem imediatamente seus sistemas React e frameworks associados, dada a escala de exploração já observada. Via - TR

O grupo hacker conhecido como Silver Fox foi identificado conduzindo uma operação de falsa bandeira para simular a atuação de hackers russos em ataques direcionados a organizações na China. A campanha, ativa desde novembro de 2025, utiliza SEO poisoning para manipular resultados de busca e induzir usuários a baixar um instalador falso do Microsoft Teams. O arquivo, que contém elementos em cirílico para confundir analistas e dificultar atribuição, instala o malware ValleyRAT (Winos 4.0) uma variante do Gh0st RAT amplamente associada a grupos hackers chineses. Segundo o pesquisador Hayden Evans , da ReliaQuest, a campanha mira usuários que falam chinês, incluindo funcionários de empresas ocidentais que operam no país. Ao acessar um site fraudulento que imita a página oficial do Teams, a vítima é induzida a baixar um arquivo ZIP hospedado na nuvem da Alibaba. O pacote contém um instalador adulterado (“Setup.exe”), projetado para desativar proteções, manipular exclusões do Microsoft Defender e depositar um instalador malicioso secundário (“Verifier.exe”) no diretório AppData. Uma vez iniciado, o malware cria e manipula diversos arquivos internos, carrega uma DLL maliciosa no processo legítimo rundll32.exe e, em seguida, se conecta a um servidor externo para baixar o payload final. Com isso, o ValleyRAT obtém acesso remoto ao sistema, podendo executar comandos arbitrários, exfiltrar dados sensíveis e manter persistência prolongada dentro da rede comprometida. A ReliaQuest observa que os objetivos do Silver Fox combinam ganhos financeiros como golpes, fraudes e roubos com coleta de inteligência estratégica. A divulgação ocorre no momento em que a empresa Nextron Systems chamou atenção para outra cadeia de ataque envolvendo o ValleyRAT, desta vez distribuído por um instalador trojanizado do Telegram. Esse ataque multiparte é particularmente sofisticado, utilizando a técnica Bring Your Own Vulnerable Driver (BYOVD) para carregar o driver vulnerável “NSecKrnl64.sys” e derrubar ferramentas de segurança. O instalador fraudulento também configura exclusões perigosas no Microsoft Defender, extrai executáveis adicionais e cria persistência por meio de tarefas agendadas e scripts codificados. Um componente chamado men.exe coordena a instalação dos módulos maliciosos, manipula permissões de arquivos e utiliza binaries assinados para fazer DLL sideloading do ValleyRAT. Ele também carrega drivers vulneráveis usando “NVIDIA.exe” e executa o malware final. Outro arquivo, “bypass.exe”, é usado para explorar uma falha de elevação de privilégios e contornar o UAC , ampliando o controle do invasor sobre o sistema. “Para a vítima, tudo parece um instalador comum”, destaca o pesquisador Maurice Fielenbach . “Mas em segundo plano, o ataque prepara o ambiente, desativa defesas, instala drivers e abre um canal de acesso persistente para os hackers.” Via - THN

Um grave defeito de segurança foi revelado no Apache Tika, colocando organizações que dependem da ferramenta em risco de ataques de XML External Entity ( XXE ). A vulnerabilidade, catalogada como CVE-2025-66516 , recebeu pontuação 10.0 no CVSS, o nível máximo de severidade, indicando potencial para comprometer completamente sistemas que processam arquivos manipulados. Segundo o alerta oficial, a falha afeta os módulos tika-core (1.13 a 3.2.1), tika-pdf-module (2.0.0 a 3.2.1) e tika-parsers (1.13 a 1.28.5). Um hacker pode explorar o problema por meio de um arquivo PDF contendo um componente XFA especialmente construído, permitindo que o XML seja interpretado de forma maliciosa e executando uma XXE. Esses ataques são capazes de expor arquivos internos do servidor, acessar informações sensíveis e, em cenários mais críticos, até abrir caminho para execução remota de código. A equipe do Apache Tika confirmou que o novo CVE amplia o impacto de uma falha relatada anteriormente, CVE-2025-54988 , corrigida em agosto de 2025. Embora ambas estejam relacionadas ao módulo PDF, a vulnerabilidade atual foi identificada no tika-core, o que significa que administradores que atualizaram apenas o módulo PDF continuam vulneráveis caso não tenham instalado a versão corrigida do núcleo (3.2.2 ou superior). Outro ponto destacado é que, nas versões 1.x do Tika, o mecanismo PDFParser estava localizado dentro do módulo “tika-parsers”, ampliando a superfície de risco. Diante da gravidade da falha e do amplo uso do Apache Tika em soluções de análise de documentos e detecção de conteúdo, os mantenedores reforçam que a aplicação das atualizações deve ser tratada como ação urgente. As versões corrigidas tika-core 3.2.2, tika-parser-pdf-module 3.2.2, e tika-parsers 2.0.0 eliminam o risco e bloqueiam a exploração do XXE. Via - THN

Um novo ataque envolvendo navegadores agentic colocou em evidência riscos críticos associados a assistentes baseados em IA. Pesquisadores da Straiker STAR Labs descobriram que o navegador Comet, da Perplexity, pode ser explorado por meio de um simples e-mail sem qualquer clique do usuário para apagar completamente todo o conteúdo do Google Drive de uma vítima. A técnica, batizada de Zero-Click Google Drive Wiper, explora o fato de que o navegador agentic se conecta automaticamente a Gmail e Google Drive para executar tarefas rotineiras, como ler mensagens, organizar arquivos e excluir itens. Usuários podem dar comandos aparentemente inocentes, como “verifique meu e-mail e conclua minhas tarefas de organização”, permitindo que o agente interprete instruções em mensagens recebidas e tome ações de forma autônoma. Segundo a pesquisadora Amanda Rousseau, o problema está na “agência excessiva” desses assistentes, que acabam executando ações que vão muito além do que o usuário pediu. Um invasor pode aproveitar esse comportamento enviando um e-mail cuidadosamente elaborado com instruções naturais, educadas e sequenciais, disfarçadas como orientações de rotina. O agente interpreta a mensagem como uma tarefa legítima de organização e executa comandos destrutivos como excluir arquivos específicos, limpar diretórios inteiros ou mover conteúdos críticos para a lixeira sem pedir autorização ao usuário. O ataque é particularmente perigoso porque não depende de jailbreak ou prompt injection tradicional. Basta um e-mail educado, contendo expressões como “cuide disso”, “faça isso por mim” ou “organize meus arquivos”, para que o modelo passe a obedecer a comandos ocultos. Com acesso OAuth ao Gmail e ao Google Drive, as instruções maliciosas ainda podem se espalhar rapidamente para pastas compartilhadas e drives de equipe, ampliando o impacto. Os pesquisadores alertam que o risco envolve não apenas o modelo de IA, mas toda a arquitetura ao redor do agente, incluindo conectores, permissões e a forma como ele interpreta linguagem natural. “Assistentes agentic transformam prompts rotineiros em sequências de ações poderosas”, afirmou Rousseau. “Quando essas ações são influenciadas por conteúdo não confiável, especialmente e-mails bem estruturados, surge uma nova classe de ataques zero-click capazes de apagar dados em larga escala.” HashJack: ataque usa fragmentos de URL para manipular navegadores com IA O alerta veio acompanhado de outra descoberta preocupante. Pesquisadores da Cato Networks demonstraram o HashJack, uma técnica de ataque que esconde comandos maliciosos no fragmento de uma URL a parte após o símbolo “#”. O invasor envia links aparentemente legítimos, como www.example.com/home#, que contêm instruções ocultas para enganar navegadores com IA. Quando o usuário acessa o link e realiza uma pergunta ao assistente do navegador, o agente interpreta o fragmento como um comando e o executa automaticamente. “O HashJack é a primeira técnica de prompt injection indireto capaz de transformar qualquer site legítimo em um vetor de manipulação de navegadores com IA”, explicou o pesquisador Vitaly Simonovich. Após divulgação responsável, Google classificou o ataque como “não será corrigido (comportamento intencional)” e de baixa severidade. Já a Perplexity e a Microsoft lançaram correções para o Comet (v142.0.7444.60) e Edge (142.0.3595.94). Claude para Chrome e OpenAI Atlas não foram afetados. Google reforçou que bypasses de políticas e violações de guardrails não são considerados vulnerabilidades dentro do seu AI Vulnerability Reward Program (AI VRP). Via - THN

A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta urgente sobre ataques conduzidos por hackers chineses contra servidores VMware vSphere, utilizando o malware avançado conhecido como BrickStorm . A operação, altamente sofisticada, envolve o sequestro de servidores para criação de máquinas virtuais clandestinas e roubo de snapshots de ambientes corporativos, possibilitando furtos de credenciais e acesso prolongado a redes comprometidas. O alerta foi divulgado em conjunto com a NSA e o Centro de Cibersegurança do Canadá, após a análise de oito amostras do BrickStorm encontradas em sistemas de vítimas. Segundo o relatório, os invasores têm como alvo servidores VMware para operar virtualmente “debaixo do radar”, escondendo VMs fraudulentas e clonando snapshots para extrair dados sensíveis. O BrickStorm emprega uma verdadeira “blindagem digital”: múltiplas camadas de criptografia (HTTPS, WebSockets e TLS aninhado), túnel SOCKS para movimentação lateral, e até DNS-over-HTTPS (DoH)  para mascarar comunicações. Para garantir persistência, o malware inclui um mecanismo de autorreparo que reinstala ou reinicia o componente caso haja qualquer tentativa de interrupção. Durante uma das investigações, a CISA identificou que hackers chineses comprometeram um servidor exposto na DMZ de uma organização em abril de 2024. A partir dali, moveram-se para o VMware vCenter e implantaram o BrickStorm . O ataque evoluiu ainda mais: dois controladores de domínio foram violados, e o servidor de ADFS teve chaves criptográficas exportadas. Os invasores permaneceram dentro da rede por mais de um ano , de abril de 2024 a setembro de 2025 . Com o domínio do ambiente, os hackers capturaram bancos de dados do Active Directory, realizaram backups completos dos sistemas e roubaram credenciais legítimas e outros dados confidenciais. Para detectar e conter o BrickStorm, a CISA orienta equipes de defesa especialmente em infraestruturas críticas e órgãos governamentais a utilizar regras YARA e Sigma  desenvolvidas pela agência, bloquear provedores não autorizados de DoH, revisar dispositivos de borda, e reforçar a segmentação entre a DMZ e a rede interna. No mesmo dia do alerta, a CrowdStrike divulgou que ataques envolvendo BrickStorm contra ambientes VMware vCenter em empresas de tecnologia, manufatura e advocacia nos EUA, ao longo de 2025, estão ligados ao grupo hacker chinês Warp Panda . A empresa também identificou o uso de novos malware implants, como Junction  e GuestConduit , em hosts VMware ESXi. A divulgação ocorre na esteira de relatórios publicados pelo Google Threat Intelligence Group e pela Mandiant, que inicialmente documentaram o BrickStorm em 2024 e associaram sua atividade ao cluster UNC5221 um grupo conhecido por explorar falhas zero-day da Ivanti e por utilizar malwares customizados como Spawnant e Zipline em ataques a agências governamentais e empresas do setor tecnológico. A sofisticação do BrickStorm, aliada à persistência prolongada observada nas redes vítimas, reforça as preocupações de órgãos internacionais sobre o uso crescente de técnicas avançadas por hackers vinculados à China para comprometer infraestruturas sensíveis. Via - BC

Uma rotina de manutenção da Cloudflare saiu do controle na manhã desta quarta-feira, derrubando o painel administrativo, a API e deixando diversos sites ao redor do mundo exibindo telas de erro. É o segundo apagão em apenas dois meses um sinal de alerta para clientes que dependem massivamente da empresa para manter seus serviços online. Os problemas começaram durante um procedimento programado no datacenter de Chicago, iniciado às 07h00 UTC. A próxima etapa da manutenção deveria ocorrer em Detroit, às 09h00 UTC, mas antes disso administradores em diversos países já observavam falhas generalizadas. Às 08h56 UTC, a Cloudflare reconheceu oficialmente a instabilidade. Um reparo emergencial foi aplicado minutos depois e, por volta das 09h30 UTC, os serviços começaram a ser restabelecidos. Apesar da recuperação inicial, a companhia admitiu posteriormente que sua plataforma Workers responsável pela execução de funções serverless também apresentou instabilidades. A empresa ainda não divulgou detalhes técnicos sobre a causa raiz do incidente. Com a Cloudflare protegendo cerca de 20% de todos os sites da internet, cada pane se converte em um efeito dominó global. Quando a empresa “espirra”, como gostam de brincar usuários nas redes sociais, uma parcela significativa da web “fica gripada”. E o cansaço já começa a aparecer: dois incidentes em sequência podem levar empresas dependentes da infraestrutura da Cloudflare a reavaliar riscos e redundâncias. Entre os serviços afetados esteve a tradicional varejista britânica Fortnum & Mason, que exibiu apenas um melancólico “500 Internal Server Error” para clientes em plena temporada de compras de Natal. O detalhe “cloudflare” abaixo da mensagem, apesar de simples, reforçou a percepção negativa sobre a empresa durante o episódio. O apagão de hoje, embora menos duradouro que o registrado em novembro causado por um erro de permissão em banco de dados que derrubou uma grande parte da internet reacende debates sobre resiliência, dependência de provedores globais e os impactos de falhas aparentemente pequenas, mas que se tornam gigantescas quando envolvem infraestrutura de escala mundial. Via - TR

O Linux 6.18 , último lançamento do kernel em 2025, chegou oficialmente no último domingo de novembro, anunciado por Linus Torvalds. A expectativa da comunidade é que esta versão se torne o próximo Long Term Support (LTS) , já que tradicionalmente o último kernel anual costuma assumir esse papel. Trata-se de mais um marco na evolução do sistema criado em 1991, quando Ari Lemmke escolheu o nome “Linux” para o projeto de Torvalds. A atualização traz inúmeras melhorias, novos drivers e ajustes internos, ainda que sem grandes funcionalidades inéditas. A mudança mais visível é a remoção completa do bcachefs , sistema de arquivos experimental que havia sido incorporado em 2023, mas recentemente transferido para manutenção externa. O projeto agora mantém seus próprios repositórios DKMS para distribuições como Debian, Ubuntu, Fedora e openSUSE, além de já estar disponível no Arch Linux e NixOS. Vários sistemas de arquivos receberam aprimoramentos significativos. O XFS  agora permite reparo e checagem online, ideal para ambientes corporativos com volumes massivos. O driver exFAT  teve operações aceleradas em até 16 vezes, enquanto Btrfs , ext4 , FUSE  e os mecanismos de cache passaram por otimizações. Para sistemas compartilhados via NFSv4 , o cache agora pode ser totalmente desativado uma funcionalidade incomum, mas útil em cenários específicos. O suporte a hardware também avançou substancialmente. Consoles portáteis e dispositivos de marcas como ASUS, Lenovo e GamePad Digital receberam melhorias, assim como o controle DualSense da Sony. Sistemas Dell, Alienware, HP Omen e diversas placas ASUS ROG tiveram aprimoramentos de monitoramento. Há ainda avanços no suporte a teclados, trackpads e sensores embarcados. Em termos de inovação, o kernel introduz dm-pcache , recurso que permite usar memórias persistentes (PMEM) como a antiga tecnologia Intel Optane como cache de alta performance para SSDs e HDs. O suporte a CPUs x86-64 foi expandido, enquanto o driver Nouveau  para GPUs Nvidia agora pode utilizar o firmware GSP nos chips Turing e Ampere, melhorando o gerenciamento de energia. Na arquitetura Arm, o kernel estreia um driver preliminar em Rust  para GPUs Mali e amplia o suporte aos SoCs Apple M2 , graças ao projeto Asahi Linux. Melhorias adicionais chegam para plataformas Rockchip , RISC-V  e Loongson . Outra atualização importante é a versão em Rust  do Binder , sistema de IPC usado no Android, substituindo a implementação em C após duas décadas. Há também avanços no ecossistema de virtualização: o kernel agora reconhece quando está sendo executado no hipervisor bhyve , do FreeBSD, que recentemente expandiu suporte para VMs com mais de 255 vCPUs. Recursos como pidfds  foram estendidos para cobrir namespaces de kernel, e o protocolo AccECN , da IETF, passa a ser suportado para notificações mais precisas de congestionamento em redes. O kernel 6.18 também inaugura suporte preliminar para assinatura criptográfica de programas eBPF , reforçando a segurança de componentes que atuam dentro do próprio kernel. No gerenciamento de memória, surge o conceito de sheaves , uma nova camada de abstração acima dos "folios", marcando mais um passo rumo à reformulação de subsistemas internos. As distribuições rolling release serão as primeiras a receber o Linux 6.18. Como Debian e RHEL lançaram versões estáveis recentemente, é provável que ignorem este release, mas ele pode chegar ao Ubuntu 26.04 “Resolute Raccoon” , cujo ciclo de snapshots mensais já está em andamento. Via - TR

Uma falha de segurança considerada máxima foi divulgada em React Server Components (RSC), abrindo caminho para execução remota de código (RCE) sem necessidade de autenticação. Catalogada como CVE-2025-55182, a vulnerabilidade recebeu pontuação CVSS 10.0 e foi apelidada de React2shell, refletindo seu potencial destrutivo em aplicações que utilizam o ecossistema React. Segundo o time do React, o problema reside em um erro na forma como o framework decodifica payloads enviados aos endpoints de React Server Functions. Mesmo aplicações que não utilizam diretamente Server Functions podem estar vulneráveis caso suportem React Server Components. A falha permite que um invasor envie uma requisição HTTP maliciosa capaz de executar JavaScript arbitrário no servidor sem login, sem permissões adicionais e sem configurar nada além de acesso à rede. Pesquisadores da Wiz explicam que se trata de um caso de desserialização insegura lógica, ocasionada pelo processamento inadequado dos payloads do protocolo React Flight. Empresas como Aikido confirmaram que payloads manipulados podem influenciar a execução no lado servidor de forma inesperada, permitindo o controle do fluxo de código. As versões corrigidas de React introduzem validações mais rígidas e desserialização reforçada. A falha afeta as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes npm: react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack As correções foram disponibilizadas nas versões 19.0.1, 19.1.2 e 19.2.1. O pesquisador neozelandês Lachlan Davidson foi creditado pela descoberta e notificação do problema à Meta em 29 de novembro de 2025 poucas semanas após a biblioteca React ter sido transferida oficialmente para a React Foundation . O impacto é ainda maior devido ao efeito cascata em Next.js, que utiliza RSC através do App Router. A vulnerabilidade correspondente CVE-2025-66478, também de severidade máxima afeta versões >=14.3.0-canary.77, >=15 e >=16, todas corrigidas nas releases 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 e 15.0.5. Outras ferramentas que empacotam React Server Components também estão vulneráveis, incluindo plugins do Vite, Parcel, React Router RSC preview, RedwoodJS e Waku. Empresas como Endor Labs , Miggo Security e VulnCheck ressaltaram que nenhuma configuração especial é necessária para explorar o bug. Basta que o aplicativo utilize configurações padrão dos frameworks. O invasor precisa apenas de acesso de rede para enviar uma requisição HTTP manipulada tornando a exploração trivial e extremamente perigosa. Enquanto os patches não são aplicados, especialistas recomendam: Ativar regras de Web Application Firewall (WAF); Monitorar tráfego HTTP em endpoints de Server Functions; Restringir temporariamente o acesso de rede a aplicações afetadas. A Cloudflare informou ter implementado automaticamente uma proteção dedicada em seu WAF para mitigar o CVE-2025-55182, cobrindo usuários gratuitos e pagos desde que o tráfego do app passe por sua plataforma. Levantamento da Wiz mostra que 39% dos ambientes em nuvem possuem instâncias vulneráveis. Justin Moore, gerente sênior da Unit 42 (Palo Alto Networks), destacou a dimensão da superfície de ataque: mais de 968 mil servidores globais executam frameworks modernos como React e Next.js. Para ele, a falha é particularmente crítica por funcionar como uma “chave mestra”, abusando da confiança interna do sistema em estruturas de dados válidas. Via - THN

A Cloudflare anunciou nesta quarta-feira ter identificado e mitigado o maior ataque DDoS já registrado , que alcançou 29,7 terabits por segundo (Tbps) . O ataque-relâmpago, que durou apenas 69 segundos, foi atribuído ao AISURU , um botnet disponível para contratação e associado a múltiplos ataques hipervolumétricos ao longo do último ano. A empresa não revelou qual organização foi o alvo da ofensiva. De acordo com os Pesquisadores da companhia, o AISURU vem sendo utilizado para atingir provedores de telecomunicações, empresas de jogos online, serviços financeiros e empresas de hospedagem. Outro ataque expressivo, também mitigado pela Cloudflare e proveniente do mesmo botnet, atingiu 14,1 bilhões de pacotes por segundo (Bpps) . Estima-se que a rede controlada pelo AISURU seja formada por 1 a 4 milhões de dispositivos comprometidos  ao redor do mundo. O ataque recorde consistiu em um UDP carpet bombing , técnica que dispara tráfego massivo contra milhares de portas de destino simultaneamente, neste caso cerca de 15 mil portas por segundo . Para aumentar a eficiência e evitar mecanismos de defesa, os hackers randomizaram atributos dos pacotes  enviados, tornando a detecção mais complexa. Desde o início de 2025, a Cloudflare já mitigou 2.867 ataques vindos do AISURU , sendo 1.304 somente no terceiro trimestre  todos classificados como hipervolumétricos. No total, a empresa bloqueou 8,3 milhões de ataques DDoS no período , um aumento de 15% em relação ao trimestre anterior e de 40% em comparação ao ano passado. Os números acumulados de 2025 mostram que 36,2 milhões de ataques DDoS  foram neutralizados, dos quais 1.304 ultrapassaram 1 Tbps , uma escalada significativa se comparado aos 717 incidentes no primeiro trimestre e 846 no segundo. Entre as tendências observadas no terceiro trimestre estão: Crescimento de 189%  nos ataques acima de 100 milhões de pacotes por segundo (Mpps). 71% dos ataques HTTP  e 89% dos ataques em camada de rede  duraram menos de 10 minutos. Sete dos dez principais países de origem dos ataques estão na Ásia: Indonésia, Tailândia, Bangladesh, Vietnã, Índia, Hong Kong e Cingapura. O setor de mineração e metais  registrou aumento expressivo, tornando-se o 49º mais atacado globalmente. A indústria automotiva  teve o maior crescimento percentual de ataques, subindo para o 6º setor mais visado. Ataques contra empresas de inteligência artificial  dispararam 347%  em setembro de 2025. Os setores mais visados permanecem informação, telecomunicações, jogos, apostas online e serviços de internet. Países mais atacados: China, Turquia, Alemanha, Brasil, EUA, Rússia, Vietnã, Canadá, Coreia do Sul e Filipinas. Quase 70% dos ataques HTTP DDoS  tiveram origem em botnets já conhecidas. Para a Cloudflare, o cenário é claro: "Entramos em uma era em que os ataques DDoS cresceram em sofisticação e escala muito além do que poderíamos imaginar há poucos anos. Muitas organizações estão lutando para acompanhar essa evolução." Via - THN

Um grupo hacker conhecido como GoldFactory  intensificou suas operações no Sudeste Asiático, lançando uma nova onda de ataques contra usuários móveis na Indonésia, Tailândia e Vietnã ao se passar por serviços governamentais  e distribuir aplicativos bancários modificados. A campanha, monitorada desde outubro de 2024, emprega apps falsos que funcionam como vetor para instalar malware em dispositivos Android, segundo um relatório técnico publicado pela Group-IB. Ativo desde pelo menos junho de 2023, o GoldFactory ganhou notoriedade pela criação de famílias de malware como GoldPickaxe, GoldDigger e GoldDiggerPlus , capazes de atingir tanto Android quanto iOS. Pesquisadores apontam que o grupo composto por falantes de chinês e com laços com o malware Gigabud opera de maneira altamente organizada e refinada, compartilhando táticas e páginas falsas de distribuição com outras campanhas semelhantes detectadas desde 2023. A nova ofensiva começou na Tailândia e, meses depois, avançou para o Vietnã e Indonésia. A Group-IB identificou mais de 300 versões adulteradas de aplicativos bancários , responsáveis por quase 2.200 infecções na Indonésia . No total, foram mapeados mais de 3.000 artefatos maliciosos , levando a pelo menos 11.000 infecções , sendo que 63% dos apps falsificados visavam diretamente o mercado indonésio . A cadeia de ataque consiste em hackers que entram em contato com as vítimas por telefone, fingindo representar órgãos públicos ou empresas locais. Em um dos golpes documentados, invasores se passaram pela companhia elétrica do Vietnã, EVN, cobrando falsas contas atrasadas e instruindo os usuários a adicioná-los no aplicativo Zalo para baixar um suposto app de regularização. O link direcionava para páginas falsas da Google Play Store, que instalavam trojans como Gigabud, MMRat ou Remo , usados como “droppers” para habilitar o controle remoto do dispositivo. Os apps modificados funcionam a partir da injeção de código malicioso em apenas parte do aplicativo original , preservando sua funcionalidade normal e dificultando a detecção. Esses módulos maliciosos utilizam estruturas como FriHook, SkyHook e PineHook , capazes de: ocultar serviços de acessibilidade ativados, impedir detecção de screencast, falsificar assinaturas de apps, esconder a origem da instalação, criar tokens de integridade personalizados e até obter o saldo da conta da vítima. A infraestrutura analisada revelou ainda o desenvolvimento de um novo malware chamado Gigaflower , provável sucessor do Gigabud. Ele conta com 48 comandos , entre eles: transmissão de tela em tempo real via WebRTC, keylogging por acessibilidade, criação de telas falsas para roubar PINs e credenciais, e reconhecimento de texto para extrair informações de documentos de identidade. Há também uma função em construção para leitura automática de QR codes de documentos vietnamitas. Outro detalhe que chamou a atenção dos Pesquisadores foi a mudança na estratégia para iOS: em vez de usar o trojan próprio desenvolvido anteriormente, o GoldFactory agora instruem as vítimas a emprestar um aparelho Android de parentes  para continuar o processo fraudulento medida que reflete as restrições mais rígidas da Apple para instalação de apps modificados. Segundo especialistas da Group-IB, o uso de frameworks legítimos como Frida , Dobby e Pine   demonstra uma abordagem sofisticada e de baixo custo, que permite burlar sistemas tradicionais de detecção , escalar os ataques rapidamente e explorar diretamente aplicativos bancários confiáveis. Via - THN

A recente informação de que um hacker invadiu 11 instituições de ensino superior brasileiras trouxe à tona uma realidade que há tempos se desenha em silêncio: a educação virou um dos principais alvos de ciberataques no mundo. O setor, que acelerou sua digitalização nos últimos anos, guarda hoje um dos acervos de dados mais valiosos e vulneráveis da sociedade. Um alvo de alto valor O ambiente educacional concentra informações altamente sensíveis dados financeiros de mensalidades e bolsas, históricos acadêmicos, pesquisas inéditas, dados pessoais de alunos e colaboradores, e até detalhes de rotinas internas e acessos físicos aos campi. Essas informações são valiosas não apenas para o crime financeiro, mas também para espionagem acadêmica e ataques de engenharia social. Segundo o relatório da Verizon (Data Breach Investigations Report 2024), 17% dos incidentes globais registrados envolveram instituições de ensino, das quais 14% resultaram em vazamentos efetivos de dados. A UNESCO confirma a tendência: desde a pandemia, os ataques contra escolas e universidades cresceram mais de 60% em todo o mundo, acompanhando a adoção acelerada de plataformas digitais. Exemplos recentes que reforçam o alerta Em 9 de abril de 2025, a Universidade de Brasília (UnB) foi alvo de um ataque cibernético que deixou seu site institucional e os sistemas Wi-Fi fora do ar por algumas horas. Um mês antes, em março de 2025, a Universidade Federal de Pernambuco (UFPE) confirmou ter sofrido um incidente de segurança que afetou sistemas de internet e evidenciou falhas importantes de controle em sua rede acadêmica. Mais recentemente, a Universidade Cruzeiro do Sul passou a investigar um possível vazamento de dados em grande escala, após um grupo de cibercriminosos anunciar a venda de um conjunto de informações que incluiria cerca de 100 mil credenciais ativas de alunos e funcionários. Segundo as evidências divulgadas pelos criminosos, o pacote envolveria dados pessoais como nomes completos, CPFs, datas de nascimento, e-mails, telefones e até informações internas de sistemas acadêmicos além de registros adicionais que totalizaram mais de 3 milhões de linhas extraídas de diferentes bases, incluindo áreas administrativas e plataformas de relacionamento estudantil. A instituição afirmou ter iniciado protocolos de verificação, monitoramento e investigação, além de acionar sua política de proteção de dados. Esses episódios mostram que, mesmo entre instituições com forte visibilidade pública e infraestrutura tecnológica relevante, a vulnerabilidade permanece alta. Eles reforçam a necessidade de uma abordagem estratégica, integrada e contínua de segurança especialmente em ambientes educacionais, que concentram grande volume de dados sensíveis e operam com múltiplos sistemas acadêmicos, CRMs, portais e integrações que ampliam significativamente a superfície de ataque. O risco vai além do roubo de dados Quando um sistema acadêmico é invadido, os impactos vão muito além do vazamento de informações. Os criminosos muitas vezes criptografam bancos de dados e interrompem o funcionamento das plataformas virtuais, impedindo o acesso a provas, notas, relatórios e documentos administrativos. Em universidades, esse tipo de ataque já comprometeu pesquisas científicas sigilosas, teses e projetos de inovação, atrasando trabalhos de anos. De acordo com o relatório do World Economic Forum (Global Cyber Risk Outlook 2025), 67% das instituições educacionais ainda operam sem políticas estruturadas de resposta a incidentes, o que as torna mais suscetíveis a paralisações prolongadas. O Banco Mundial estima que o custo médio de recuperação após um ataque cibernético no setor educacional ultrapassa US$ 1,5 milhão, considerando restauração de dados, paralisações e danos reputacionais. Um problema de cultura, não apenas de tecnologia A raiz do problema vai além da infraestrutura. Grande parte das instituições ainda trata a segurança digital como responsabilidade exclusiva da área de TI, e não como parte da cultura organizacional. O resultado é um ambiente em que professores, alunos e colaboradores compartilham senhas, acessam sistemas por redes inseguras e subestimam os riscos. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT.br) registrou mais de 470 mil notificações de incidentes cibernéticos no Brasil em 2024, com forte presença de ataques de phishing e engenharia social justamente os que se aproveitam da falta de conscientização. Como as instituições podem reagir A proteção digital nas universidades e escolas deve ser tratada como pilar estratégico não como custo. Algumas medidas essenciais incluem: Mapear e classificar dados sensíveis (acadêmicos, financeiros e pessoais). Treinamentos recorrentes para docentes, técnicos e alunos sobre ameaças digitais. Monitoramento contínuo de sistemas e logs, com capacidade de resposta imediata. Gestão de acessos e autenticação forte, principalmente para dados financeiros e administrativos. Backups isolados e testados regularmente, reduzindo o impacto de possíveis invasões. Planos de contingência e comunicação transparente a resposta rápida preserva a confiança. A digitalização transformou a educação, mas também a expôs a um novo tipo de vulnerabilidade. Proteger dados hoje significa proteger pessoas, reputações e conhecimento. Cada dado acadêmico roubado é mais do que um número é uma história pessoal, um investimento familiar, um trabalho de pesquisa que representa o futuro de alguém. A proteção do ecossistema digital das instituições educacionais tornou-se um pilar crítico para garantir continuidade acadêmica e proteger dados sensíveis. Cada nova ocorrência evidencia que a questão já não é “se vai acontecer”, mas “quando”. Por isso, reforçar práticas de segurança, monitoramento e governança não é opcional é indispensável para evitar que falhas exploráveis se transformem em incidentes de alto impacto. Via - Denis Furtado