Resultados de busca

A Dresden State Art Collections, uma das redes de museus mais antigas e prestigiadas da Europa, foi alvo de um ataque cibernético direcionado que comprometeu grande parte de sua infraestrutura digital. A informação foi confirmada nesta semana pelo Ministério da Cultura do estado da Saxônia. O incidente deixou a instituição operando com serviços digitais e telefônicos limitados. Como consequência, a venda de ingressos online, os serviços de atendimento ao visitante e a loja virtual dos museus estão temporariamente indisponíveis. Além disso, os pagamentos presenciais nas unidades só podem ser realizados em dinheiro. Segundo a administração, ingressos comprados antes do ataque continuam válidos e podem ser utilizados normalmente na entrada. Apesar das restrições operacionais, os museus seguem abertos ao público. As autoridades informaram que os sistemas de segurança responsáveis pela proteção dos acervos não foram afetados e que tanto a segurança física quanto a técnica permanecem intactas. Conhecida pela sigla SKD, a rede ainda não tem previsão para a restauração completa dos sistemas comprometidos. Até a última atualização , divulgada na sexta-feira, a instituição continuava funcionando sob limitações, sem novos detalhes sobre a extensão total do ataque, conforme relatado pela imprensa local com base em declarações de um porta-voz. As autoridades não divulgaram quem estaria por trás do ataque nem quais teriam sido as motivações. Também não há confirmação sobre a existência de pedido de resgate ou de negociações em andamento com possíveis hackers. A Dresden State Art Collections administra cerca de 15 museus e abriga obras de mestres como Raphael e Rembrandt, além do famoso Green Vault, considerado um dos mais ricos tesouros da Europa, conhecido por suas joias reais e peças em ouro. O caso reforça uma tendência preocupante: instituições culturais têm se tornado alvos frequentes de grupos hackers nos últimos anos. Em 2023, o museu nacional do Canadá levou semanas para restaurar sistemas após um ataque de ransomware. Já em 2022, a Metropolitan Opera, em Nova York, sofreu um ataque que afetou bilheterias e vendas de ingressos durante a alta temporada. Bibliotecas de grande porte também foram impactadas, como a British Library e a Toronto Public Library, que enfrentaram longos períodos de recuperação após incidentes semelhantes.

A Zoom e o GitLab divulgaram atualizações de segurança para corrigir múltiplas vulnerabilidades que podem resultar em execução remota de código (RCE), negação de serviço (DoS) e até bypass de autenticação multifator (2FA). As falhas afetam componentes amplamente utilizados em ambientes corporativos, elevando o nível de risco para organizações que ainda não aplicaram os patches. O caso mais grave envolve os Zoom Node Multimedia Routers (MMRs), impactados pela vulnerabilidade CVE-2026-22844, com pontuação CVSS de 9,9. A falha, classificada como injeção de comandos, pode permitir que um simples participante de reunião execute código remotamente no MMR por meio de acesso à rede. O problema foi identificado internamente pela equipe de Offensive Security da Zoom e afeta versões anteriores à 5.2.1716.0 dos módulos MMR utilizados em implantações Zoom Node Meetings Hybrid e Meeting Connector. Apesar da gravidade, não há evidências de exploração ativa até o momento, mas a empresa recomenda atualização imediata para mitigar riscos. Paralelamente, o GitLab lançou correções para diversas vulnerabilidades de alta severidade em suas edições Community Edition (CE) e Enterprise Edition (EE). Entre elas, destacam-se duas falhas (CVE-2025-13927 e CVE-2025-13928, ambas com CVSS 7,5) que permitem a qualquer usuário não autenticado causar DoS por meio de requisições especialmente manipuladas. Outro ponto crítico é a CVE-2026-0723 (CVSS 7,4), que possibilita o bypass do 2FA caso o invasor possua conhecimento prévio do identificador de credencial da vítima, comprometendo um dos principais mecanismos de proteção de contas. Além dessas, o GitLab também corrigiu vulnerabilidades de severidade média (CVE-2025-13335 e CVE-2026-1102) que podem ser exploradas para causar DoS a partir da criação de documentos Wiki malformados. A recomendação é que administradores atualizem imediatamente para as versões corrigidas — 18.6.4, 18.7.2 ou 18.8.2, conforme o branch utilizado — reduzindo o risco de indisponibilidade e comprometimento de contas.

Uma falha crítica de segurança foi identificada no GNU InetUtils telnetd , permanecendo despercebida por quase 11 anos. A vulnerabilidade, registrada como CVE-2026-24061 , recebeu pontuação 9,8 no CVSS e afeta todas as versões do GNU InetUtils da 1.9.3 até a 2.7, expondo sistemas a bypass de autenticação remota com acesso root. De acordo com a descrição publicada na base de dados do NIST National Vulnerability Database, o problema ocorre porque o serviço telnetd não sanitiza corretamente a variável de ambiente USER enviada pelo cliente antes de repassá-la ao binário login(1). Com isso, um invasor pode enviar um valor especialmente preparado — -f root — fazendo com que o processo de login ignore a autenticação padrão e conceda acesso direto como root. A análise técnica detalhada foi compartilhada pelo desenvolvedor do GNU, Simon Josefsson, que explicou que o telnetd executa o /usr/bin/login (normalmente com privilégios elevados) passando o conteúdo da variável USER como parâmetro final. Como o login(1) interpreta a opção -f como um comando para pular a autenticação, o atacante consegue se autenticar automaticamente como root ao utilizar o parâmetro -a ou --login no cliente telnet. Segundo Josefsson, a falha foi introduzida em um commit de código datado de 19 de março de 2015, incorporado oficialmente à versão 1.9.3 em maio daquele ano. A descoberta e o reporte responsáveis foram creditados ao pesquisador de segurança Kyu Neushwaistein (Carlos Cortes Alvarez), em 19 de janeiro de 2026. Do ponto de vista de ameaça ativa, dados da empresa de inteligência de ameaças GreyNoise indicam que 21 endereços IP únicos tentaram explorar a falha nas últimas 24 horas. Esses IPs, originários de países como Estados Unidos, China, Japão, Alemanha e Singapura, foram classificados como maliciosos, indicando exploração real e em andamento. Como mitigação, é recomendado aplicar imediatamente os patches mais recentes, restringir o acesso de rede à porta do telnet apenas a clientes confiáveis e, quando possível, desativar completamente o telnetd. Como solução temporária, também é possível configurar o InetUtils telnetd para utilizar uma implementação alternativa do login(1) que não aceite o parâmetro -f.

A CISA adicionou ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) uma falha crítica que afeta o VMware vCenter Server, confirmando que a vulnerabilidade já está sendo explorada ativamente no mundo real. O problema, identificado como CVE-2024-37079, possui pontuação 9,8 no CVSS e permite execução remota de código (RCE) a partir do envio de pacotes de rede especialmente preparados ao servidor vCenter. A falha está relacionada a um estouro de heap na implementação do protocolo DCE/RPC, mecanismo amplamente utilizado para comunicação entre componentes em ambientes corporativos. Um invasor com acesso à rede pode explorar essa condição para assumir o controle do servidor afetado. A correção foi disponibilizada pela Broadcom em junho de 2024, junto com a CVE-2024-37080, que também envolvia um cenário semelhante de estouro de memória com impacto em execução de código. Pesquisadores da empresa chinesa QiAnXin LegendSec identificaram um conjunto mais amplo de falhas no serviço DCE/RPC, composto por três vulnerabilidades de estouro de heap e uma de elevação de privilégios. Durante uma apresentação na c onferência Black Hat Asia, em abril de 2025, foi demonstrado que uma dessas falhas pode ser encadeada com a CVE-2024-38813, permitindo acesso remoto não autorizado com privilégios de root e, consequentemente, o controle do ESXi, base de virtualização de inúmeros data centers corporativos. Embora ainda não haja informações públicas sobre o grupo hacker responsável ou a escala dos ataques, a Broadcom confirmou oficialmente que há evidências de exploração ativa da CVE-2024-37079. Diante desse cenário, a CISA determinou que as agências do Federal Civilian Executive Branch (FCEB) atualizem seus sistemas para versões corrigidas até 13 de fevereiro de 2026, reforçando a urgência da aplicação dos patches também no setor privado.

Para Bruno Nóbrega, CEO do Grupo NTSec, a multiplicação de fornecedores e ferramentas virou um risco tão grave quanto os próprios ataques cibernéticos; integradora projeta faturamento de R$ 700 milhões no próximo ano O Brasil avançou e se consolidou como referência em investimentos em tecnologia e cibersegurança na América Latina, sendo o único país da região classificado no primeiro nível do Global Cyber Security Index. Mas, segundo  Bruno Nóbrega , CEO e fundador do Grupo NTSec , esse avanço trouxe um efeito colateral que precisa ser enfrentado em 2026: a multiplicação de fornecedores, plataformas e ferramentas criou uma complexidade de gestão que representa, hoje, um risco tão significativo quanto os próprios ataques cibernéticos. "Empresas e governos entenderam que precisam investir em proteção e infraestrutura. Mas o mercado, na busca por oferecer soluções cada vez mais especializadas, acabou criando um ambiente onde uma organização pode ter até 60 ferramentas diferentes, de fornecedores distintos, que muitas vezes não conversam entre si", afirma Nóbrega. "Essa pluralidade, que deveria ser uma fortaleza, virou um risco operacional. O foco para 2026 precisa ser simplificação. Não adianta ter a melhor tecnologia do mundo se o time não consegue operá-la de forma eficiente." A visão do executivo é sustentada pela trajetória do Grupo NTSec, integrador de tecnologia e segurança da informação fundado em Brasília em 2007 que se tornou uma das maiores do país no segmento. Em 2025, a empresa consolidou faturamento superior a  R$ 500 milhões , com meta de alcançar  R$ 700 milhões em 2026 . O Grupo atua por meio de quatro verticais especializadas: a  NTSec , focada em cibersegurança e proteção contra ataques digitais; a  InfoSec , dedicada a proteção de dados, tais como backup e criptografia; a  ZivaSec , especializada em conectividade, através de redes corporativas e infraestrutura de TI; e a  CloudSec , voltada para segurança e gestão de ambientes em nuvem. Essa estrutura permite oferecer soluções completas que vão da proteção de dados à modernização de infraestrutura, reduzindo a fragmentação tecnológica nas organizações atendidas. Com quase   400 profissionais  e  nove escritórios  no Brasil, o Grupo NTSec atende mais de  500 clientes públicos e privados , incluindo 22 dos 24 Tribunais Regionais do Trabalho do país e grandes players nacionais de diversos setores, como Hypera Farma, M.Dias Branco, Grupo Mateus e BB. A empresa mantém parceria estratégica de nível Elite com a Check Point, sendo um dos únicos integradores focados em segurança a ostentar essa classificação na América Latina, além de ser Centro de Treinamento Autorizado da HPE Aruba Networking. Para Nóbrega, o desafio de 2026 é garantir que o Brasil mantenha a posição de destaque conquistada. "Somos pioneiros em vários aspectos de governança e investimento em tecnologia. Agora precisamos dar o próximo passo: transformar todo esse investimento em proteção real e eficiente. Simplificar não significa reduzir a segurança. Significa torná-la gerenciável, sustentável e funcional."A trajetória de crescimento do Grupo reflete essa proposta de valor. Em 2023, a empresa registrou avanço de  100%  na receita em relação ao ano anterior, desempenho que garantiu a  5ª posição no ranking Exame Negócios em Expansão 2024  na sua categoria. A companhia também foi reconhecida como  Partner of the Year da Check Point na América Latina  durante o CPX 2024. "Nossa estratégia para os próximos anos é apoiar os clientes nessa jornada de consolidação. Reduzir o número de fornecedores e ferramentas não só melhora a postura de segurança como diminui custos operacionais e simplifica a gestão do dia a dia. É um movimento que beneficia todo mundo", afirma Nóbrega. Sobre o Grupo NTSec O Grupo NTSec é um dos maiores integradores de tecnologia e segurança da informação do Brasil. Fundada em 2007 em Brasília, a empresa atua como uma boutique de soluções tecnológicas, representando fabricantes globais, como TrendMicro, F5, AWS e Cisco construindo projetos personalizados para cada cliente por meio de quatro verticais especializadas: NTSec (cibersegurança), InfoSec (backup e criptografia), ZivaSec (redes e infraestrutura) e CloudSec (segurança em nuvem). Com certificação ISO 27001, com quase 400 profissionais e dez escritórios pelo país, a empresa é uma dos únicos integradores focados em segurança com status de parceiro Elite da Check Point na América Latina, tendo sido reconhecido como Partner of the Year na América Latina em 2024. É também Centro de Treinamento Autorizado HPE Aruba Networking e opera o SOC Cognitivo, centro de operações que oferece monitoramento e gestão de segurança 24 horas.

A Microsoft confirmou que a atualização de janeiro do Windows está causando problemas de desempenho em aplicativos que utilizam armazenamento em nuvem, como Outlook, OneDrive e Dropbox. Segundo a empresa, alguns programas podem congelar ou apresentar erros inesperados ao abrir ou salvar arquivos em serviços de armazenamento baseados na nuvem. O problema surge poucos dias após a Microsoft ter liberado uma atualização emergencial fora do ciclo regular para corrigir falhas de conexão e autenticação no Windows App. Antes disso, outro erro já havia sido identificado, impedindo que alguns computadores com Windows 11 23H2 desligassem ou entrassem em modo de hibernação corretamente. De acordo com a própria Microsoft, após a instalação da atualização distribuída em 13 de janeiro, determinados aplicativos podem se tornar não responsivos ao interagir com arquivos armazenados em nuvem. No caso do Outlook, o problema se manifesta de forma mais crítica quando o cliente de e-mail utiliza arquivos PST (Personal Storage Table) salvos no OneDrive. Nessas situações, o aplicativo pode travar completamente e só voltar a funcionar após o encerramento manual do processo pelo Gerenciador de Tarefas ou a reinicialização do sistema. Além disso, e-mails enviados podem deixar de aparecer na interface do usuário. Como medida paliativa, a Microsoft recomenda mover o arquivo PST para fora do OneDrive, prática que já não é indicada pela empresa, exceto para fins de backup. No entanto, a própria companhia reconhece que muitos usuários e administradores adotam esse tipo de configuração em seus fluxos de trabalho, e que a necessidade de alterar processos por conta de uma falha introduzida por atualização não é o cenário ideal. A empresa já havia reconhecido anteriormente problemas envolvendo perfis do Outlook Clássico e contas POP. A inclusão do novo alerta no painel Release Health indica que o impacto é mais amplo do que se imaginava inicialmente. Enquanto a correção definitiva não é liberada, a orientação oficial para os usuários afetados é procurar métodos alternativos de acesso aos arquivos, em conjunto com o desenvolvedor do aplicativo, ou recorrer ao webmail, quando disponível. A Microsoft informou que está trabalhando ativamente em uma solução e que novas atualizações serão divulgadas assim que houver mais informações.

O governo do Reino Unido anunciou a criação de um grupo de embaixadores do Código de Práticas de Segurança de Software, iniciativa que reúne grandes empresas de tecnologia e organizações do setor para incentivar a adoção de boas práticas de segurança em toda a cadeia de fornecimento de software. Entre os nomes escolhidos estão Cisco, Palo Alto Networks e Accenture, além de empresas e entidades britânicas e internacionais ligadas à cibersegurança. O anúncio foi feito pela ministra da economia digital do Reino Unido , Liz Lloyd, durante um discurso recente, no qual destacou que os benefícios da economia digital e da inteligência artificial só podem ser plenamente alcançados quando há confiança nos sistemas que sustentam essas tecnologias. Segundo ela, a segurança de software deixou de ser apenas um tema técnico e passou a ser um imperativo comercial, diretamente ligado à confiança e ao crescimento econômico. Durante a apresentação, Lloyd afirmou que o país já parte de uma base sólida, com algumas das defesas cibernéticas mais robustas do mundo. Ela citou polos de excelência em cibersegurança em regiões como Cheltenham, Manchester, Belfast e na Escócia, além de reforçar que o setor cibernético britânico é hoje o terceiro maior do mundo. Apesar disso, o governo reconhece que ainda há um desafio importante: menos de 25% das organizações consideram a cibersegurança como um fator decisivo na compra de software. O Código de Práticas de Segurança de Software, lançado no ano anterior, estabeleceu diretrizes para fornecedores, mas precisava ganhar maior visibilidade e adesão no mercado. Para mudar esse cenário, o Reino Unido optou por uma abordagem que vai além da simples regulamentação. A ideia é contar com líderes de mercado que assumam publicamente o compromisso de promover o código, atuando como exemplos práticos para o setor. Além de multinacionais, participam da iniciativa empresas britânicas como Sage, especialistas em cibersegurança como NCC Group, ISACA e ISC2, além de clientes de peso como Lloyds Banking Group e Santander. Ao explicar o conceito, Lloyd comparou a iniciativa ao código de higiene das mãos da World Health Organization, criado em 2009. Mesmo sem força de lei, o modelo se tornou um padrão global e contribuiu para a redução significativa de infecções hospitalares. A expectativa do governo britânico é que o Código de Segurança de Software siga o mesmo caminho, tornando a cibersegurança simples, acessível e parte do dia a dia das organizações.

Uma campanha sofisticada de hacking direcionada a usuários de WhatsApp e Gmail atingiu figuras de alto perfil no Oriente Médio e na diáspora iraniana, combinando phishing avançado, sequestro de contas e possíveis ações de espionagem digital. O caso veio à tona após o ativista iraniano radicado no Reino Unido Nariman Gharib divulgar capturas de tela de um link malicioso que recebeu via WhatsApp. O ataque ocorreu em um momento de extrema tensão no Irã, que enfrenta o mais longo bloqueio nacional de internet de sua história em meio a protestos contra o governo e repressões violentas. Segundo Gharib, a campanha teve como alvo pessoas envolvidas em temas relacionados ao Irã, incluindo ativistas, acadêmicos, jornalistas e autoridades governamentais. Foi possível analisar o código-fonte da página de phishing utilizada na ofensiva. A análise técnica, complementada por pesquisadores independentes, indicou que o objetivo era roubar credenciais de Gmail, comprometer contas do WhatsApp e coletar dados sensíveis dos dispositivos das vítimas, como localização geográfica, fotos e gravações de áudio. Os hackers utilizaram um serviço de DNS dinâmico chamado DuckDNS para mascarar a verdadeira localização da infraestrutura maliciosa e dar aparência legítima ao link, simulando um convite para reuniões virtuais do WhatsApp. Na prática, o conteúdo era hospedado em domínios recém-criados, registrados no final de 2025, o que sugere uma operação planejada com antecedência. Uma falha grave na infraestrutura do ataque permitiu que os investigadores acessassem, sem autenticação, um arquivo contendo registros em tempo real das vítimas. Esse banco de dados expôs mais de 850 entradas, incluindo endereços de e-mail, senhas, códigos de autenticação em dois fatores e informações sobre o navegador e sistema operacional utilizados funcionando, na prática, como um keylogger remoto. Entre as vítimas identificadas estavam um acadêmico especializado em segurança nacional no Oriente Médio, um executivo de uma empresa israelense de drones, um ministro libanês, jornalistas e pessoas localizadas nos Estados Unidos ou com números americanos. O phishing site já foi retirado do ar, mas os impactos da campanha ainda estão sendo avaliados. Além do roubo de credenciais, a campanha também explorou um método conhecido de sequestro de contas do WhatsApp. Ao enganar a vítima para escanear um QR Code falso, os hackers conseguiam vincular a conta a um dispositivo controlado por eles, abusando do recurso legítimo de pareamento de dispositivos técnica já observada em ataques contra usuários do aplicativo Signal . Pesquisadores como Runa Sandvik, fundadora da Granitt, identificaram no código malicioso funções que solicitavam permissões do navegador para acessar geolocalização, câmera e microfone. Caso a vítima aceitasse, sua localização seria enviada continuamente aos invasores, além da captura periódica de imagens e áudio. A autoria da campanha ainda não foi confirmada. Especialistas do Citizen Lab apontaram semelhanças com campanhas de spear phishing historicamente associadas à Islamic Revolutionary Guard Corps (IRGC), enquanto outros indícios levantam a hipótese de motivação financeira . Há ainda a possibilidade de uma sobreposição entre interesses estatais e grupos hackers com fins lucrativos, prática já atribuída anteriormente ao governo iraniano.

A European Commission apresentou nesta semana um novo conjunto de propostas para reforçar a cibersegurança em toda a União Europeia, em resposta ao aumento das ameaças digitais. As medidas, no entanto, provocaram forte reação da China, que acusa o bloco de adotar práticas protecionistas. O rascunho divulgado na terça-feira propõe revisões no Ato de Cibersegurança da UE e na Diretiva de Segurança de Redes e Sistemas de Informação (NIS). Entre os principais pontos está a exigência de que os Estados-membros eliminem gradualmente o uso de fornecedores considerados de “alto risco” em infraestruturas nacionais críticas, como redes de telecomunicações e sistemas essenciais. A iniciativa reflete preocupações crescentes com a exploração de vulnerabilidades na cadeia de suprimentos, especialmente em um cenário marcado por tensões geopolíticas, campanhas de espionagem patrocinadas por Estados e pela expansão do ecossistema de crimes cibernéticos. Ataques de ransomware, espionagem digital e tentativas de interrupção de serviços essenciais estão entre os principais vetores que impulsionaram as mudanças. Segundo a Comissão, o objetivo é reduzir riscos ao longo de toda a cadeia de fornecimento de tecnologia, criando um framework de certificação para empresas consideradas confiáveis. Em comunicado oficial, o órgão destacou que, no contexto geopolítico atual, a segurança da cadeia de suprimentos vai além de aspectos técnicos, envolvendo também dependências estratégicas e riscos de interferência estrangeira. Caso as revisões sejam aprovadas, fornecedores de tecnologia da informação terão de cumprir requisitos mais claros de testes e certificação antes de comercializar seus produtos no mercado europeu. O texto prevê ainda que operadoras de telecomunicações tenham até três anos para remover completamente componentes de fornecedores classificados como um risco significativo à cibersegurança. Embora o documento não cite explicitamente países, a reação chinesa foi imediata. O porta-voz do Ministério das Relações Exteriores da China, Guo Jiakun, afirmou que empresas chinesas atuam há anos na Europa em conformidade com as leis locais e “nunca colocaram em risco a segurança nacional europeia”, alertando que a UE estaria seguindo “um caminho errado de protecionismo”. Fornecedores chineses de equipamentos de rede, como Huawei e ZTE, já haviam sido alvo de restrições em alguns países europeus no passado. No entanto, essas medidas se basearam em orientações voluntárias da UE, o que resultou em abordagens diferentes entre os Estados-membros. A Espanha, por exemplo, gerou críticas de aliados devido à sua relação com empresas chinesas, apesar de ter cancelado, no ano passado, um contrato de €10 milhões com a Huawei após pressão de parlamentares norte-americanos. Em resposta às novas propostas, um porta-voz da Huawei declarou que limitar ou excluir fornecedores não europeus com base em sua origem, e não em evidências técnicas, viola princípios fundamentais da União Europeia, como equidade e não discriminação, além de compromissos assumidos com a World Trade Organization. As discussões também reacenderam preocupações dentro da UE sobre a dependência de tecnologias e serviços de empresas dos Estados Unidos, como a Microsoft, especialmente após decisões imprevisíveis do presidente Donald Trump envolvendo sanções e disputas geopolíticas. O presidente da Microsoft, Brad Smith, chegou a afirmar que a empresa tomaria medidas legais caso fosse obrigada pelo governo norte-americano a suspender operações de nuvem na Europa. Até o momento, autoridades dos EUA não comentaram oficialmente o anúncio da UE. Apesar de compartilharem preocupações em relação a fornecedores chineses, representantes americanos têm criticado leis digitais europeias por considerá-las desfavoráveis às empresas de tecnologia dos Estados Unidos.

A polícia da Grécia desmantelou uma operação sofisticada de golpes móveis que utilizava uma torre de celular falsa escondida no porta-malas de um carro para enviar mensagens de phishing a usuários de telefone na região metropolitana de Atenas. A ação foi confirmada na semana passada pelas autoridades. Segundo comunicado da Hellenic Police , os suspeitos são acusados de falsificação de documentos de identidade, fraude e acesso ilegal a sistemas de informação, atuando como parte de um grupo criminoso organizado. A abordagem ocorreu na região de Spata, a leste de Atenas, após denúncias de comportamento suspeito. Durante a fiscalização, os ocupantes do veículo teriam apresentado documentos falsos. Na vistoria do carro, os agentes encontraram um sistema móvel de computação escondido no porta-malas, conectado a um transmissor instalado no teto e camuflado como uma antena do tipo “barbatana de tubarão”, comum em veículos modernos. De acordo com as autoridades, o equipamento funcionava como uma estação base móvel clandestina conhecida como SMS blaster. Esse tipo de dispositivo imita a infraestrutura legítima de operadoras de telecomunicações, forçando celulares próximos a se conectarem a ele. Nesse processo, os aparelhos eram rebaixados da rede 4G para a antiga e menos segura rede 2G, explorando vulnerabilidades conhecidas há anos. Uma vez conectados, os hackers conseguiam coletar dados identificadores, como números de telefone, e enviavam mensagens fraudulentas que se passavam por bancos ou empresas de logística. Os textos continham links de phishing que induziam as vítimas a inserir dados de cartões de pagamento e outras informações sensíveis, posteriormente usadas em transações não autorizadas. Até o momento, os investigadores relacionaram o grupo a pelo menos três casos de fraude nas regiões de Maroussi, Spata e Atenas. As autoridades afirmam que as investigações continuam e que a real dimensão da operação ainda não é totalmente conhecida. Os suspeitos já foram apresentados a um promotor público. A polícia não divulgou a identidade dos detidos, mas a imprensa local informou que se tratam de cidadãos chineses. Ataques com SMS blaster semelhantes já foram registrados em países como Tailândia, Indonésia, Catar e Reino Unido, sempre com estruturas quase idênticas, escondidas em veículos que circulavam por áreas densamente povoadas. Em comentários sobre o caso grego, o site de monitoramento de riscos em telecomunicações Commsrisk destacou que as imagens divulgadas pela polícia mostram um conversor de energia DC-AC fabricado por uma empresa chinesa, equipamento que também apareceu em casos similares na Europa e na Ásia. Para a organização, a recorrência sugere a existência de cadeias de suprimento comuns que facilitam a disseminação internacional desse tipo de crime.

Pesquisadores identificaram uma nova campanha de phishing que explora mensagens privadas em redes sociais para distribuir cargas maliciosas, com o objetivo de implantar um RAT (Remote Access Trojan) nos sistemas das vítimas. Diferente de ataques tradicionais por e-mail, a ofensiva utiliza o LinkedIn como vetor inicial, abusando da confiança estabelecida em interações profissionais. De acordo com um relatório divulgado pela ReliaQuest, a campanha distribui arquivos “armados” por meio da técnica de DLL sideloading , combinada com o uso de um script legítimo e open source de pentest escrito em Python. Esse método permite que o malware seja executado dentro de processos confiáveis, reduzindo significativamente as chances de detecção por soluções de segurança tradicionais. O ataque começa com o contato direto a profissionais considerados de alto valor, como executivos, gestores e especialistas técnicos. Após estabelecer uma relação de confiança, os invasores convencem a vítima a baixar um arquivo compactado do tipo WinRAR self-extracting archive (SFX). Ao ser executado, o arquivo extrai quatro componentes distintos: Um aplicativo legítimo de leitura de PDF (open source) Uma DLL maliciosa, carregada de forma lateral pelo leitor de PDF Um executável portátil do interpretador Python Um arquivo RAR usado como isca para despistar a vítima A cadeia de infecção é ativada quando o leitor de PDF é iniciado. Nesse momento, a DLL maliciosa é carregada automaticamente pelo aplicativo legítimo, prática conhecida como DLL side-loading, cada vez mais comum entre hackers por explorar a confiança em binários válidos do sistema. Nos últimos dias, pelo menos três campanhas distintas já utilizaram essa técnica para distribuir famílias de malware como LOTUSLITE e PDFSIDER, além de outros trojans e stealers amplamente conhecidos no submundo cibercriminoso. Na campanha analisada pela ReliaQuest, a DLL carregada de forma lateral instala o interpretador Python no sistema e cria uma chave Run no Registro do Windows, garantindo persistência ao executar o malware automaticamente a cada login do usuário. O Python, por sua vez, executa um shellcode open source codificado em Base64, carregado diretamente na memória uma técnica projetada para evitar artefatos forenses em disco. O payload final estabelece comunicação com um servidor externo, concedendo aos hackers acesso remoto persistente à máquina comprometida e permitindo a exfiltração de dados sensíveis. A partir desse ponto, os invasores podem escalar privilégios, mover-se lateralmente pela rede e ampliar o impacto do ataque dentro do ambiente corporativo. Segundo a ReliaQuest, a campanha parece ampla e oportunista, atingindo múltiplos setores e regiões. No entanto, por ocorrer em mensagens privadas de redes sociais geralmente menos monitoradas do que e-mails corporativos —, é difícil estimar sua real dimensão. O uso de plataformas sociais como vetor de ataque não é novidade. Nos últimos anos, diversos grupos hackers ligados à Coreia do Norte exploraram o LinkedIn em campanhas como CryptoCore e Contagious Interview, abordando vítimas com falsas ofertas de emprego e testes técnicos maliciosos. Em março de 2025, a Cofense também alertou sobre uma campanha que usava falsas notificações do LinkedIn para induzir vítimas a instalar softwares de acesso remoto. Para os pesquisadores , o caso reforça um ponto crítico: redes sociais corporativas representam uma lacuna significativa na postura de segurança de muitas organizações. Diferente do e-mail, onde há camadas robustas de monitoramento, mensagens privadas em plataformas sociais seguem praticamente invisíveis para os times de segurança, tornando-se um canal cada vez mais atrativo para ataques de phishing sofisticados.

A Cloudflare anunciou a correção de uma vulnerabilidade de segurança em sua lógica de validação do ACME , falha que poderia permitir a evasão de controles de segurança e o acesso direto aos servidores de origem ( origin servers ), contornando proteções críticas como o WAF. Segundo a empresa, o problema estava relacionado à forma como sua rede de borda (edge network) processava requisições destinadas ao caminho do desafio ACME HTTP-01 (/.well-known/acme-challenge/*). Apesar da gravidade do cenário, a Cloudflare afirmou não ter encontrado evidências de exploração maliciosa da falha em ambiente real. O ACME (Automatic Certificate Management Environment) é um protocolo padronizado ( RFC 8555 ) amplamente utilizado para automatizar a emissão, renovação e revogação de certificados SSL/TLS. Na prática, toda autoridade certificadora (CA) precisa validar que o solicitante realmente controla um domínio antes de emitir um certificado digital. Esse processo normalmente é realizado por meio de clientes ACME, como o Certbot , que utilizam desafios do tipo HTTP-01 ou DNS-01 para comprovar a posse do domínio. No caso do HTTP-01, a CA faz uma requisição HTTP GET para um endereço específico no domínio, esperando encontrar um token de validação fornecido previamente. Quando o pedido de certificado é gerenciado pela Cloudflare, a própria plataforma responde à requisição no caminho do desafio ACME, fornecendo o token correto. No entanto, se a solicitação não estiver associada a um pedido gerenciado pela Cloudflare, a requisição é encaminhada ao servidor de origem do cliente, que pode usar outro mecanismo de validação. A vulnerabilidade, descoberta e reportada pela empresa FearsOff em outubro de 2025, estava justamente nessa lógica. Em determinados cenários, requisições para o caminho do ACME faziam com que as regras do Web Application Firewall (WAF) fossem desativadas, permitindo que o tráfego chegasse ao servidor de origem quando deveria ter sido bloqueado. Na prática, a validação falhava ao verificar se o token presente na requisição correspondia de fato a um desafio ACME ativo para aquele hostname específico. Isso abria espaço para que um invasor enviasse requisições arbitrárias ao endpoint do ACME e contornasse completamente as proteções do WAF, alcançando diretamente o ambiente de origem. Antes da correção, sempre que a Cloudflare identificava uma requisição aparentemente válida para um token de desafio HTTP-01, os mecanismos de WAF eram automaticamente desativados. Essa decisão técnica existe para evitar que regras de segurança interfiram na validação feita pelas autoridades certificadoras, o que poderia causar falhas na emissão ou renovação automática de certificados. O problema surgia quando o token era válido para outra zona ou domínio não gerenciado diretamente, mas ainda assim fazia o tráfego passar sem inspeção. De acordo com Kirill Firsov, fundador e CEO da FearsOff, essa falha poderia permitir que um usuário malicioso obtivesse um token previsível e de longa duração, possibilitando acesso a arquivos sensíveis no servidor de origem e facilitando atividades de reconhecimento (reconnaissance) em ambientes protegidos pela Cloudflare. A correção foi aplicada em 27 de outubro de 2025. A partir dessa atualização, a Cloudflare passou a servir respostas e desativar o WAF apenas quando a requisição corresponde exatamente a um desafio ACME HTTP-01 válido e ativo para aquele hostname específico, eliminando o vetor de bypass.