Resultados de busca

O Relatório RSA ID IQ 2026  revelou um aumento expressivo nas violações de segurança relacionadas à identidade digital, expondo uma das maiores fragilidades corporativas da era digital. Segundo o estudo, 69% das organizações em todo o mundo sofreram pelo menos uma violação de identidade nos últimos três anos , um salto de 27 pontos percentuais  em relação a 2025. Além da frequência, o impacto financeiro também cresceu: 24% das empresas  relataram perdas superiores a US$ 10 milhões , enquanto 21% registraram prejuízos entre US$ 5 e 10 milhões  — muito acima da média global de US$ 4,44 milhões por incidente, segundo a IBM. Os setores mais afetados foram automotivo (80%) , financeiro (72%) , energia e utilidades (71%)  e tecnologia (71%) , enquanto varejo e manufatura apresentaram índices ligeiramente menores. Em nível geográfico, Austrália (92%) , Alemanha (75%) , Reino Unido (71%)  e Estados Unidos (69%)  lideram as estatísticas de incidentes, ao passo que Japão (56%)  e Canadá (55%)  registraram menos ocorrências. O relatório destaca ainda a lacuna entre percepção e realidade em relação ao modelo Zero Trust : embora 57% das empresas  se considerem em estágio “avançado”, 93% ainda não atingiram a maturidade ideal . A pesquisa também aponta que as ameaças de engenharia social direcionadas a help desks  — como os ataques que vitimaram MGM Resorts e Caesars Entertainment — tornaram-se o maior temor dos especialistas, superando até mesmo o phishing. Segundo a RSA, 70% das empresas acreditam que seus help desks não conseguiriam conter um ataque desse tipo . Outra constatação alarmante é a persistência das senhas . Apesar de décadas de alertas, 90% das organizações ainda dependem delas como método primário de autenticação , o que contribui diretamente para a alta incidência de violações. A adoção de métodos passwordless  avança lentamente, barrada por ambientes híbridos complexos e por preocupações com a experiência do usuário. Países que avançaram nessa transição — como o Japão, onde 37% das empresas usam autenticação sem senha — reportaram menos ataques e menores prejuízos. A RSA também identificou uma tendência otimista em relação à Inteligência Artificial (IA)  aplicada à segurança. 83% dos especialistas  acreditam que a IA ajudará mais na defesa do que no cibercrime, e 91% das empresas  planejam integrar soluções automatizadas de segurança até 2026. As prioridades de investimento incluem IA agente para segurança (Agentic AI)  e Gestão de Postura de Segurança de Identidade (ISPM) , vistas como fundamentais para lidar com o volume crescente de riscos e identidades digitais. O CEO da RSA, Greg Nelson , afirmou que o relatório serve como um alerta para executivos e CISOs: “A identidade falha com muita frequência. A probabilidade e o custo de uma violação são altos demais para manter o status quo.” A recomendação da empresa é clara: adotar autenticação sem senha , fortalecer a verificação bidirecional de identidade  e automatizar respostas de risco  usando IA, antes que as vulnerabilidades se transformem em novos desastres cibernéticos. Via - RSA

O governo do Reino Unido iniciou uma investigação em parceria com o National Cyber Security Centre (NCSC)  para avaliar possíveis riscos cibernéticos envolvendo ônibus elétricos fabricados na China . A medida surge após a operadora de transporte público Ruter , da Noruega, afirmar ter identificado vulnerabilidades  em veículos da fabricante chinesa Yutong , que poderiam permitir acesso remoto e até o desligamento dos sistemas  dos ônibus. A Ruter realizou testes de segurança em um novo modelo da Yutong e concluiu que o fornecedor mantém acesso digital direto a cada veículo , o que inclui o sistema de gerenciamento de energia e bateria. Segundo a operadora, essa conexão permitiria, “em teoria”, que o fabricante interrompesse remotamente a operação de um ônibus. Para mitigar o risco, a empresa afirmou ser possível desconectar os veículos da rede removendo o cartão SIM , responsável pela comunicação com a internet. A Yutong, sediada na província chinesa de Henan, é uma das maiores fabricantes de ônibus elétricos do mundo, com cerca de 700 veículos já em circulação no Reino Unido , operados por companhias como Stagecoach  e First Bus . A importadora oficial da marca no país, a Pelican Bus and Coach , contestou as alegações, afirmando que todos os ônibus atendem às certificações internacionais de segurança  e que as atualizações de software são feitas manualmente, por engenheiros no local. Em comunicado, o Departamento de Transporte britânico  confirmou estar ciente das preocupações e disse que trabalha “de perto com a comunidade de inteligência para entender e mitigar riscos potenciais”. O NCSC, entretanto, preferiu não comentar o caso. Já Gavin Davies, diretor de TI da First Bus, afirmou que a cibersegurança é um fator central nas aquisições de novos veículos elétricos , e considerou o estudo da Ruter uma contribuição importante para o aprimoramento do setor. A Pelican também ressaltou que os ônibus Yutong exportados para a Europa seguem normas rigorosas, como os regulamentos UN R155 e R156  da ONU, além das certificações ISO 27001  (segurança da informação) e ISO 27701  (privacidade). A empresa acrescentou que os dados dos veículos europeus são armazenados em um data center da AWS em Frankfurt , e que não existe suporte para controle remoto de aceleração, direção ou frenagem . No entanto, o relatório norueguês levanta dúvidas específicas sobre o acesso remoto ao sistema de energia , questão que a Yutong ainda não esclareceu publicamente. Via - TR

Pesquisadores identificaram uma nova ameaça voltada ao sistema financeiro brasileiro: o malware “Maverick”, que se propaga pelo WhatsApp Web  e tem como alvo os maiores bancos do país. A descoberta, divulgada pela CyberProof e Trend Micro, revela que o Maverick compartilha fortes semelhanças com o Coyote, um trojan bancário já conhecido por ataques anteriores a instituições financeiras no Brasil. Ambos foram desenvolvidos em .NET, apresentam funcionalidades de descriptografia e monitoramento de URLs bancárias, e possuem a capacidade de se espalhar automaticamente pelo WhatsApp. O grupo hacker Water Saci, apontado como responsável pela campanha, utiliza um método engenhoso para disseminar o vírus. O ataque começa quando o usuário recebe um arquivo ZIP malicioso via WhatsApp, contendo um atalho do Windows (LNK). Ao ser executado, o arquivo ativa comandos em cmd.exe ou PowerShell, conectando-se a um servidor remoto (“zapgrande[.]com”) para baixar a carga inicial. O script subsequente desativa o antivírus Microsoft Defender e o Controle de Conta de Usuário (UAC), preparando o ambiente para baixar e executar os módulos SORVEPOTEL e Maverick. O Maverick age de forma furtiva: monitora as abas do navegador da vítima em busca de URLs de bancos latino-americanos e, ao detectar uma correspondência, envia informações a um servidor remoto. Em seguida, recebe comandos para coletar dados do sistema, exibir páginas falsas e roubar credenciais bancárias. O malware também verifica se o computador infectado está localizado no Brasil, checando fuso horário, idioma e formato de data antes de agir — uma forma de garantir que os ataques sejam direcionados apenas a alvos brasileiros. A Trend Micro destacou ainda a sofisticação do ataque, que utiliza o controle remoto em tempo real dos sistemas comprometidos, transformando os computadores infectados em uma rede de bots coordenada. O Maverick é capaz de controlar o WhatsApp Web da vítima, usando dados de sessão do navegador (como cookies e tokens de autenticação) para burlar a autenticação via QR Code e enviar automaticamente novos arquivos maliciosos a todos os contatos, disfarçados sob o nome “WhatsApp Automation v6.0”. Além de bancos, há indícios de que o malware também esteja sendo utilizado para espionar hotéis brasileiros, ampliando o escopo de vítimas. O sistema de comando e controle (C2) opera por e-mails do domínio terra.com.br , autenticados com MFA (autenticação multifator), o que introduz atrasos operacionais, mas aumenta a discrição das comunicações. O Maverick é capaz de executar mais de 20 comandos, incluindo coleta de informações do sistema, captura de tela, exclusão de arquivos e reinicialização remota. Com mais de 148 milhões de usuários ativos no país , o WhatsApp se tornou o vetor ideal para disseminar o malware em larga escala. Segundo os Pesquisadores, a relação entre o Maverick e o Coyote indica uma evolução nas táticas dos grupos hackers brasileiros, que agora exploram plataformas legítimas e perfis de navegador para conduzir ataques de forma silenciosa e altamente escalável. Via - THN

O avanço da inteligência artificial está impulsionando uma nova corrida energética: a adoção de sistemas de armazenamento de energia por baterias (BESS, na sigla em inglês) em datacenters. Segundo um relatório da consultoria financeira Jefferies, a expectativa é que esses sistemas somem 20 gigawatts de capacidade instalada na próxima década, tornando-se componentes essenciais na infraestrutura dos grandes provedores de nuvem — os chamados hyperscalers. De acordo com o estudo, as empresas que constroem megacentros de dados estão cada vez mais integrando soluções de conexão à rede elétrica e geração de energia independente ( behind-the-meter ), usando o BESS como peça-chave para gerenciar cargas de forma flexível, acelerar conexões e garantir energia de backup em formato redundante. Além de apoiar a operação dos datacenters, esses sistemas oferecem uma alternativa limpa ao uso de geradores a diesel e se beneficiam da crescente demanda por energia, impulsionada também pela expansão dos veículos elétricos. O relatório observa que o armazenamento por baterias é uma das poucas tecnologias livres de carbono que podem prosperar mesmo sob um eventual governo republicano nos Estados Unidos. Entretanto, há um desafio geopolítico no horizonte: as opções mais competitivas em custo e desempenho vêm da China. Fabricantes como CATL e Sungrow são apontados como líderes em densidade e eficiência energética, além de oferecerem preços significativamente menores em relação às empresas americanas — o que torna a escolha dessas soluções politicamente delicada. Embora o governo norte-americano ofereça créditos fiscais de 40% a 50% para sistemas produzidos internamente, o incentivo muitas vezes não compensa a diferença de preço. Ainda assim, empresas como Tesla e Fluence Energy aparecem como alternativas domésticas, especialmente em estados e concessionárias que evitam fornecedores chineses por questões de segurança cibernética. A Tesla, com seus sistemas Megapack e o recém-anunciado Megablock, é vista como a mais bem posicionada para atender datacenters voltados a aplicações de IA — como o campus da xAI, no Tennessee, que planeja instalar cerca de 655 MWh de armazenamento da marca. A Jefferies prevê um crescimento moderado em 2026 devido às restrições da política Foreign Entity of Concern (FEOC) e às tarifas que elevaram impostos sobre baterias chinesas para mais de 150%. Porém, a demanda por infraestrutura energética deve disparar a partir de 2027, acompanhando o ritmo acelerado de expansão dos datacenters de IA ao redor do mundo. Via - TR

Um tribunal chinês condenou à morte cinco integrantes de um poderoso grupo criminoso de Mianmar  responsável por operar complexos industriais dedicados a fraudes online em larga escala  próximos à fronteira com a China. A decisão foi anunciada pelo Tribunal Intermediário Popular de Shenzhen , na província de Guangdong, e marca um dos episódios mais duros da ofensiva de Pequim contra o crime cibernético transfronteiriço. Entre os condenados estão Bai Suocheng , líder do grupo e ex-chefe da Força de Guarda de Fronteira Kokang , uma milícia subordinada à junta militar de Mianmar, e seu filho, Bai Yingcang . Ambos comandavam operações de extorsão, fraudes digitais e exploração humana. Outros três cúmplices — Yang Liqiang, Hu Xiaojiang e Chen Guangyi  — também receberam pena de morte. Mais cinco acusados foram sentenciados à prisão perpétua  e outros nove a penas que variam entre três e 20 anos . Dois réus receberam sentenças de morte suspensas por dois anos , que podem ser executadas caso reincidam em crimes. De acordo com a Xinhua , o grupo administrava 41 parques industriais  usados para abrigar centros de fraudes, cassinos ilegais, redes de prostituição e esquemas de sequestro e extorsão . As operações resultaram em perdas superiores a 29 bilhões de yuans (cerca de US$ 4 bilhões)  e na morte de pelo menos seis cidadãos chineses . As vítimas eram atraídas por falsas oportunidades de emprego e forçadas a participar de golpes virtuais conhecidos como “pig butchering”  — método em que criminosos ganham a confiança de pessoas antes de aplicar grandes fraudes financeiras. A condenação ocorre após uma grande ofensiva lançada pela China em 2023  contra redes de fraude digital que visavam cidadãos chineses. A operação transfronteiriça resultou em dezenas de milhares de prisões , incluindo líderes de famílias criminosas da região de Kokang . Em setembro, outros 11 membros da família Ming  foram igualmente condenados à morte por manterem um império de fraudes online similar. A região fronteiriça de Mianmar  se tornou um epicentro global de golpes digitais , com redes criminosas operando sob a proteção de milícias locais e autoridades corruptas. Recentemente, o exército da junta militar afirmou ter destruído prédios dentro do notório complexo KK Park , na fronteira com a Tailândia — um dos maiores centros de exploração humana e ciberfraude do Sudeste Asiático. Mais de 1.600 pessoas foram detidas pelas autoridades tailandesas  ao tentar fugir dessas zonas de crime. A sentença reflete o endurecimento da política chinesa contra crimes cibernéticos transnacionais , especialmente os que envolvem o aliciamento de cidadãos chineses para esquemas de fraude digital conduzidos de territórios vizinhos. Via - TR

O Google anunciou que o Gemini Deep Research , sua ferramenta de pesquisa automatizada e assistida por IA , agora pode acessar dados pessoais armazenados em serviços como Gmail, Google Drive e Google Chat  — desde que o usuário conceda permissão explícita. O objetivo é permitir que o sistema obtenha contexto adicional  para fornecer respostas mais completas e detalhadas em consultas complexas. Baseado no Gemini 2.5 Pro , o Deep Research funciona como um agente autônomo de múltiplas etapas , capaz de planejar, orquestrar e executar pesquisas complexas  em diferentes fontes de dados. Segundo Dave Citron , diretor sênior de gerenciamento de produto do Gemini, o sistema cria um “plano de pesquisa”  que o usuário pode revisar antes da execução. Uma vez aprovado, o agente busca e analisa informações em profundidade “de toda a web — e agora, também dos seus arquivos pessoais, se autorizado”. A novidade posiciona o Google de forma competitiva frente a rivais como OpenAI  e Perplexity , que também oferecem ferramentas de pesquisa profunda e automatizada . O modelo Claude , da Anthropic, por exemplo, já permite acesso a dados do Google Drive , Slack , Maps  e iMessage , tornando as respostas mais contextuais — embora essas integrações levantem preocupações de privacidade e segurança . O Google afirma que os dados acessados pelo Gemini Deep Research não são utilizados para treinar modelos de IA generativa . Entretanto, o aviso de privacidade da plataforma ressalta que “revisores humanos” podem avaliar parte das informações coletadas , o que exige cautela dos usuários. O texto recomenda não inserir dados confidenciais  que não devam ser visualizados por terceiros ou usados para aprimorar serviços de aprendizado de máquina. Além disso, o Google alerta que o Gemini Deep Research não deve ser usado para decisões críticas , como aconselhamento médico, jurídico ou financeiro. A empresa reconhece limitações na precisão das fontes , bem como a falta de acesso a pesquisas científicas pagas  — o que tem gerado avaliações mistas entre especialistas. Críticos argumentam que, embora o Deep Research simule profundidade analítica, ainda carece de rigor acadêmico . O consultor educacional Leon Furze  resumiu a polêmica: “Trata-se de uma ferramenta voltada para quem precisa produzir relatórios longos e aparentemente precisos — mas que poucos realmente leem. Ela cria a aparência de pesquisa, sem necessariamente realizar pesquisa de verdade.” Com essa atualização, o Google aprofunda sua integração entre inteligência artificial e dados pessoais , reacendendo o debate sobre o equilíbrio entre conveniência, privacidade e controle de informação  em um cenário cada vez mais dependente de assistentes autônomos. Via - TR

Uma fita magnética armazenada há mais de cinco décadas  na Universidade de Utah  pode conter uma das relíquias mais importantes da história da computação: a única cópia conhecida do UNIX V4 , versão lançada em 1973  pelos laboratórios Bell . O achado foi revelado pelo professor Robert Ricci , da Kahlert School of Computing, em uma postagem na rede Mastodon. Durante a limpeza de uma antiga sala de armazenamento, a equipe de TI encontrou um reel de nove trilhas  com uma etiqueta manuscrita indicando “ UNIX Original From Bell Labs V4 (See Manual for format) ”. Segundo Ricci, a caligrafia é de Jay Lepreau , seu antigo orientador e pesquisador renomado, falecido em 2008. O conteúdo será entregue ao Computer History Museum (CHM) , em Mountain View, Califórnia , para um processo de recuperação digital especializado. A descoberta é considerada extraordinária  porque o UNIX V4  foi a primeira versão do sistema operacional  em que o núcleo (kernel)  e várias ferramentas essenciais foram reescritas na linguagem C , um marco que influenciou todos os sistemas modernos — de Linux  a macOS  e Android . Até então, acreditava-se que apenas fragmentos do código-fonte e manuais de 1973  haviam sobrevivido, o que tornava o V4 praticamente perdido na história. Segundo Ricci, investigações conduzidas por um estudante de pós-graduação identificaram que a fita foi originalmente enviada pela AT&T  ao pesquisador Martin Newell , criador do icônico “Utah Teapot” , símbolo da computação gráfica usado em renderizações 3D  e até como protetor de tela no Windows NT . O artefato, portanto, conecta dois marcos históricos — a evolução do UNIX e o nascimento da computação gráfica moderna. O processo de recuperação ficará sob a responsabilidade de Al Kossow , arquivista do CHM e fundador do projeto Bitsavers , reconhecido por preservar softwares históricos. Ele detalhou que a leitura da fita será feita com uma configuração especial de conversão analógica-digital , capaz de processar cerca de 100 gigabytes de dados brutos em memória RAM , antes de utilizar um software de análise desenvolvido por Len Shustek , também do museu. “Essa fita é rara o suficiente para estar entre as minhas maiores prioridades de recuperação”, afirmou Kossow. O transporte até o museu será feito por um membro da equipe da Universidade de Utah, que optou por dirigir as 771 milhas até a Califórnia  para garantir a integridade da fita, evitando riscos de danos durante o envio postal. Caso a recuperação seja bem-sucedida, os especialistas esperam preservar digitalmente o UNIX V4  e torná-lo acessível para pesquisadores e historiadores da computação , consolidando um dos capítulos mais importantes da evolução dos sistemas operacionais. Via - TR

A Black Friday, tradicionalmente associada a grandes descontos e oportunidades de compra, também se tornou um terreno fértil para golpes digitais e fraudes sofisticadas. O evento, que movimenta bilhões de reais no e-commerce brasileiro, agora é conhecido entre especialistas e consumidores como a “Black Fraude” — um período em que hackers intensificam suas ações para enganar consumidores distraídos e lucrar com promoções falsas. De acordo com o Mapa da Fraude 2025 , foram registradas 2,8 milhões de tentativas de fraude no comércio eletrônico brasileiro , representando R$ 3 bilhões em prejuízos potenciais . O foco principal dos invasores são produtos de alto valor, como eletrônicos e eletrodomésticos , que atraem tanto o desejo do consumidor quanto a ganância dos criminosos. Os golpes estão cada vez mais sofisticados. Sites falsos idênticos aos originais — muitas vezes com pequenas alterações no endereço, como trocar uma letra “l” por “I” — enganam até os mais atentos. Há também promoções enganosas, boletos clonados, QR Codes Pix falsos , links de phishing  enviados por e-mail ou redes sociais, além de perfis falsos que utilizam deepfakes de influenciadores  para dar credibilidade às ofertas. Para se proteger, especialistas recomendam digitar manualmente o endereço da loja , verificar a presença do cadeado de segurança (HTTPS)  e conferir o CNPJ da empresa  antes de finalizar a compra. É importante desconfiar de mensagens que pressionam o pagamento imediato e evitar clicar em links enviados por e-mail ou WhatsApp . O uso de cartões virtuais  e autenticação em dois fatores  também é essencial. Caso o consumidor seja vítima de golpe, o primeiro passo é interromper o pagamento  e acionar o banco por meio do Mecanismo Especial de Devolução (MED)  do Pix. Também é fundamental registrar um boletim de ocorrência , guardar todas as provas digitais  — como prints, e-mails e links — e, se necessário, buscar orientação jurídica especializada . A Black Friday continua sendo uma excelente oportunidade para economizar, mas, sem cautela, o que parecia um bom negócio pode acabar se transformando em um prejuízo completo — afinal, quem não se protege corre o risco de pagar “a metade do dobro” e ainda sair com um golpe inteiro. Via - AM

Segundo dados da Febraban, 100% dos bancos brasileiros consideram a segurança da informação como prioridade máxima, refletindo uma tendência que se estende para outros setores críticos da economia. Paralelamente, o setor de TI nacional cresce a taxas superiores a 9% ao ano, incluindo investimentos em segurança, monitoramento e infraestrutura digital. Os SOCs não apenas monitoram e detectam incidentes em tempo real, mas também estruturam processos de resposta rápida e coordenada, reduzindo impactos financeiros e reputacionais. No entanto, manter um SOC interno robusto exige investimentos elevados em tecnologia e especialistas, criando espaço para o crescimento do modelo SOCaaS (SOC como Serviço), que combina expertise externa, automação e Inteligência Artificial. Tendências e indicadores no Brasil O Fórum Brasileiro de CSIRTs, organizado pelo CERT.br, registrou 739 participantes em 2024, um aumento expressivo em relação a 2023, indicando maior envolvimento de empresas brasileiras em segurança cibernética e resposta a incidentes. O orçamento total do setor bancário destinado à tecnologia deve chegar a R$ 47,8 bilhões, com destaque para áreas de análise de dados, nuvem e segurança, segundo a Febraban. A adoção de processos padronizados e playbooks de resposta a incidentes está se tornando uma prática cada vez mais comum, permitindo maior eficiência e velocidade na resposta a ataques. O valor dos playbooks SOC Entre os recursos que fortalecem a maturidade de um SOC estão os playbooks de cibersegurança, guias que padronizam respostas a incidentes, reduzem erros e aceleram decisões. O playbook SOC da Cyrebro, por exemplo, oferece referência prática para organizações estruturarem processos de detecção e resposta, alinhando tecnologia, pessoas e processos. Esse tipo de recurso contribui para que empresas brasileiras estejam preparadas para lidar com a crescente complexidade das ameaças digitais. Caminho para a resiliência digital A crescente sofisticação dos ataques digitais exige mais do que investimento em tecnologia: requer uma cultura organizacional de segurança, monitoramento contínuo, inteligência artificial e automação. A implementação de SOCs e SOCaaS, apoiada por práticas como as de playbook do Cyrebro SOC posiciona empresas brasileiras em um nível de resiliência superior, transformando a segurança digital em um ativo estratégico. Via - DF

O jornal The Washington Post  confirmou ter sido vítima de um ataque cibernético  vinculado à exploração de vulnerabilidades no Oracle E-Business Suite , conjunto de softwares corporativos amplamente utilizado em operações empresariais e gestão de dados sensíveis. A informação foi inicialmente revelada pela agência Reuters , que citou um comunicado oficial do jornal reconhecendo o impacto do incidente. Embora o Post  não tenha detalhado a extensão do vazamento, a invasão faz parte de uma campanha mais ampla que também atingiu universidades, companhias aéreas e grandes corporações . A Oracle   limitou-se a redirecionar questionamentos para dois comunicados anteriores sobre as falhas, sem fornecer novos detalhes. Segundo informações divulgadas pelo Google  no mês passado, hackers do grupo Clop  exploraram múltiplas vulnerabilidades no Oracle E-Business Suite para roubar dados corporativos e registros de funcionários de mais de 100 empresas . As invasões teriam começado em setembro de 2025, quando executivos de várias organizações passaram a receber mensagens de extorsão  de endereços de e-mail associados ao grupo, exigindo pagamentos milionários para não divulgar informações sigilosas. De acordo com a empresa de segurança Halcyon , um dos executivos atingidos foi coagido a pagar US$ 50 milhões de resgate . Na última quinta-feira, o grupo Clop publicou em seu site que havia hackeado o Washington Post, acusando o jornal de “ignorar a segurança” — uma expressão comumente usada quando as vítimas recusam negociar com os invasores . Essa tática de exposição pública é recorrente em ataques de ransomware e extorsão digital , servindo para pressionar as vítimas a pagar. Além do Washington Post, Harvard University  e a Envoy , subsidiária da American Airlines , também confirmaram ter sido afetadas. O ataque reforça os riscos crescentes que grandes empresas e instituições enfrentam ao depender de plataformas corporativas amplas e interconectadas como as da Oracle. Até o momento, nem o Google nem a Oracle divulgaram informações sobre o número total de vítimas nem detalhes sobre a mitigação completa das vulnerabilidades exploradas. Via - TC

Uma vulnerabilidade crítica em dispositivos Samsung Galaxy  foi explorada como zero-day  para distribuir um spyware avançado conhecido como LANDFALL , em uma série de ataques direcionados no Oriente Médio. Segundo pesquisadores da Unit 42 , da Palo Alto Networks, o problema estava no componente “ libimagecodec.quram.so ” , permitindo que hackers executassem código remoto em aparelhos vulneráveis. A falha, identificada como CVE-2025-21042  e com pontuação CVSS 8.8 , foi corrigida pela Samsung em abril de 2025, mas já vinha sendo usada em ataques antes da atualização. Os invasores teriam explorado a brecha enviando imagens DNG maliciosas via WhatsApp , que ao serem processadas, ativavam o código de exploração. As amostras mais antigas do LANDFALL remontam a julho de 2024, com nomes de arquivos típicos de compartilhamento no aplicativo, como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg”. Embora ainda não haja confirmação de que o ataque tenha sido “zero-click”  — ou seja, sem qualquer interação do usuário — os pesquisadores não descartam essa possibilidade. O spyware foi projetado para espionar e exfiltrar dados sensíveis , incluindo gravações de microfone, localização, fotos, contatos, mensagens, arquivos e histórico de chamadas , afetando especialmente modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4 . De acordo com Itay Cohen , pesquisador sênior da Unit 42 , o malware LANDFALL funciona de forma modular, baixando novos componentes a partir de um servidor de comando e controle (C2)  hospedado em infraestrutura online ainda ativa. O pacote de ataque incluía um arquivo ZIP embutido nas imagens DNG , contendo bibliotecas responsáveis por explorar a vulnerabilidade, modificar políticas de segurança SELinux  e garantir persistência e privilégios elevados  no sistema. O servidor C2 se comunicava via HTTPS  para manter um loop de beaconing e receber instruções ou novos módulos. Embora não se saiba ao certo quem está por trás do spyware, a Unit 42 observou semelhanças entre a infraestrutura do LANDFALL e operações anteriores do grupo hacker Stealth Falcon (também conhecido como FruityArmor) , conhecido por campanhas de vigilância patrocinadas por Estados na região. As descobertas indicam que o LANDFALL faz parte de uma onda mais ampla de exploração de arquivos DNG , também usada em ataques a dispositivos iPhone durante o mesmo período. Mesmo após os patches, parte da infraestrutura associada ao spyware continua ativa, sugerindo possível atividade remanescente dos mesmos operadores . Em setembro de 2025, a Samsung revelou outra vulnerabilidade na mesma biblioteca (CVE-2025-21043), também explorada como zero-day. Embora não haja evidências de que essa falha tenha sido usada na campanha LANDFALL, o caso reforça a necessidade de atualizações de segurança imediatas  e monitoramento contínuo  em dispositivos Android. Tanto Apple quanto WhatsApp  também corrigiram falhas similares que foram usadas em ataques sofisticados envolvendo menos de 200 vítimas ao redor do mundo. Via - THN

Pesquisadores identificaram uma extensão maliciosa do Visual Studio Code (VS Code) com capacidades básicas de ransomware, aparentemente desenvolvida com o auxílio de inteligência artificial — um caso de “vibe-coded malware”, termo usado para descrever códigos escritos com suporte de IA. A descoberta foi feita por John Tuckner, pesquisador da Secure Annex, que analisou a extensão chamada “susvsex” , publicada em 5 de novembro de 2025 por um usuário denominado “suspublisher18”. O invasor descreveu o projeto apenas como “Just testing”, usando o e-mail “donotsupport@example[.]com”. Segundo a descrição, a extensão é capaz de compactar, enviar e criptografar arquivos automaticamente  localizados em “C:\Users\Public\testing” (Windows) ou “/tmp/testing” (macOS) logo na primeira execução. Embora o diretório de destino seja uma pasta de testes, o código pode ser facilmente modificado para atacar diretórios reais em atualizações futuras ou por meio de comandos remotos. Após o alerta de Tuckner, a Microsoft removeu rapidamente o pacote da loja oficial do VS Code . Além da criptografia de arquivos, a extensão também utilizava o GitHub como servidor de comando e controle (C2) , consultando um repositório privado para receber novas instruções e registrando os resultados de volta no mesmo repositório. Essa comunicação era autenticada por um token embutido no código, pertencente a um desenvolvedor ativo identificado como “aykhanmv”, da cidade de Baku, Azerbaijão. De forma inusitada, o pacote incluía ferramentas de descriptografia, chaves de acesso e até o próprio código do servidor C2 , o que, segundo Tuckner, são sinais típicos de malware “vibe-coded”, ou seja, criado de maneira descuidada, provavelmente com auxílio de IA generativa. A descoberta da “susvsex” ocorre em paralelo à investigação da Datadog Security Labs , que revelou 17 pacotes maliciosos no repositório npm , projetados para executar o malware Vidar Stealer , conhecido por roubar credenciais e informações financeiras. Os pacotes se passavam por bibliotecas legítimas de APIs e SDKs, mas baixavam e executavam o malware a partir do domínio “bullethost[.]cloud”. As contas “aartje” e “saliii229911”, responsáveis pelos envios, foram banidas, mas as bibliotecas chegaram a ser baixadas mais de 2.200 vezes  antes da remoção. Os pacotes foram programados para iniciar o ataque durante a instalação (“postinstall script”) — baixando um arquivo ZIP contendo o Vidar, que se comunicava com servidores C2 por meio de contas do Telegram e Steam configuradas como “dead drops”. Em algumas variações, o código JavaScript e PowerShell eram modificados para confundir sistemas de detecção. Segundo os pesquisadores Tesnim Hamdouni, Ian Kretz e Sebastian Obregoso, essa diversidade de métodos mostra que os hackers buscam evitar padrões que possam ser usados para bloqueio automático . Esses incidentes reforçam a necessidade de vigilância constante em cadeias de suprimentos de software open source , especialmente em ecossistemas amplamente utilizados como npm e VS Code Marketplace . A recomendação dos especialistas é que desenvolvedores verifiquem logs de mudanças, validem autores e fiquem atentos a técnicas como typosquatting e dependency confusion  antes de instalar extensões e pacotes de terceiros. Via - THN