Resultados de busca

Pesquisadores divulgaram detalhes de uma campanha ativa de malware que explora uma técnica conhecida como DLL side-loading em um binário legítimo associado à biblioteca open source c-ares . A estratégia permite que hackers contornem controles de segurança tradicionais e distribuam uma ampla variedade de trojans e ladrões de informações (stealers) sem levantar alertas imediatos. Segundo a Trellix , os hackers combinam uma DLL maliciosa chamada libcares-2.dll com qualquer versão assinada do executável legítimo ahost.exe frequentemente renomeado para enganar as vítimas. Ao explorar a ordem de busca de DLLs do sistema operacional, o binário acaba carregando o arquivo malicioso em vez da biblioteca legítima, concedendo execução de código ao invasor. Esse método é particularmente eficaz porque utiliza arquivos assinados digitalmente, o que ajuda a burlar mecanismos de detecção baseados em assinatura. A campanha já foi observada distribuindo diversas famílias conhecidas de malware, incluindo Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat e XWorm. Os principais alvos são funcionários das áreas financeira, compras, cadeia de suprimentos e administração, em setores comerciais e industriais como petróleo e gás, importação e exportação. As iscas de phishing são redigidas em árabe, espanhol, português, farsi e inglês, indicando foco regional bem definido. O executável ahost.exe explorado nessa campanha é assinado pela GitKraken e normalmente faz parte da aplicação GitKraken Desktop. Amostras analisadas no VirusTotal mostram que o malware é distribuído sob dezenas de nomes diferentes, como “Fatura da DHL.exe” e “PO-069709-Order.pdf.exe”, reforçando o uso de temas de faturas e pedidos de cotação (RFQ) para induzir usuários ao erro. Além dessa campanha, a Trellix também alertou para um aumento significativo de golpes de phishing no Facebook que utilizam a técnica Browser-in-the-Browser (BitB). Nesse método, hackers simulam uma janela de login falsa dentro do próprio navegador da vítima, tornando extremamente difícil diferenciar uma página legítima de uma fraudulenta. As campanhas frequentemente se passam por notificações legais ou alertas de segurança, levando as vítimas a páginas falsas hospedadas em serviços legítimos como Netlify e Vercel, além do uso de encurtadores de URL. As descobertas coincidem ainda com uma campanha de phishing em múltiplos estágios que distribui o AsyncRAT por meio de arquivos hospedados no Dropbox e túneis TryCloudflare. Pesquisadores da Forcepoint X-Labs e da Trend Micro identificaram o uso intensivo de técnicas living-off-the-land, abusando de ferramentas nativas do Windows, scripts em Python e da infraestrutura gratuita da Cloudflare para manter persistência e evitar detecção. Em muitos casos, um PDF falso é exibido como distração enquanto o malware se instala em segundo plano. THN

A companhia aérea espanhola Iberia afirmou que os dados vazados e divulgados nesta semana por uma empresa de cibersegurança foram roubados durante um incidente já identificado em novembro do ano passado. A declaração surge após a publicação de um relatório da Hudson Rock, que detalha atividades de um hacker conhecido como Zestix, responsável por leiloar informações supostamente extraídas de cerca de 50 grandes empresas e escritórios de advocacia. De acordo com os pesquisadores, o hacker teria utilizado malware do tipo infostealer para comprometer o dispositivo de um funcionário, capturar credenciais e acessar o portal corporativo de compartilhamento de arquivos da Iberia. O ambiente afetado utilizava o ShareFile, uma solução amplamente adotada por grandes organizações para armazenamento e troca de documentos internos. Segundo o relatório, aproximadamente 77 GB de dados foram extraídos, incluindo materiais técnicos das aeronaves Airbus A320 e A321, documentos de manutenção, dados de motores e outros arquivos internos. Entre os conteúdos comprometidos estariam gráficos de danos em aeronaves, informações confidenciais da frota e documentação técnica sensível. Em resposta um porta-voz da Iberia afirmou que as conclusões da Hudson Rock se referem ao mesmo incidente ocorrido em novembro , quando o hacker exigiu um resgate de US$ 150 mil pelo conjunto de dados. Na época, a companhia notificou diversos reguladores espanhóis, incluindo a Spanish Data Protection Agency, e enviou comunicados de violação a centenas de clientes. Em cartas enviadas às vítimas, a Iberia destacou que as informações armazenadas no sistema afetado eram limitadas e não operacionais, garantindo que a segurança dos voos não foi comprometida. Ainda assim, a empresa confirmou que o vazamento incluiu dados pessoais de clientes, como nomes, endereços de e-mail, números de telefone e números de associação ao programa Iberia Club, além de alguns códigos de reserva de voos futuros. Como medida de mitigação, a companhia informou que ativou autenticação de dois fatores (2FA) para todos os clientes afetados, impedindo alterações não autorizadas em reservas, transações via aplicativo, site ou central de atendimento. A Iberia não comentou, no entanto, detalhes técnicos adicionais sobre os documentos aeronáuticos vazados. A Hudson Rock ressaltou que o conjunto de dados inclui assinaturas digitais e variações proprietárias de configuração, informações que podem ter valor estratégico para concorrentes ou até mesmo para Estados-nação. Segundo a empresa, o hacker Zestix atua desde o fim de 2024 em fóruns fechados de língua russa como corretor de acesso inicial, vendendo acessos comprometidos em troca de Bitcoin. Outras empresas de segurança associam um dos pseudônimos do invasor a um cidadão iraniano e ao grupo hacker Funksec. RFN

O Google começou a remover os chamados AI Overviews (resumos gerados por IA) de determinadas buscas relacionadas à saúde após uma investigação do jornal The Guardian apontar que a ferramenta estava fornecendo informações potencialmente enganosas em consultas médicas sensíveis. Segundo a reportagem, ao pesquisar termos como “qual é o intervalo normal para exames de sangue do fígado”, usuários recebiam valores de referência genéricos, que não consideravam variáveis clínicas importantes como idade, sexo, etnia ou nacionalidade. Esse tipo de resposta poderia levar pacientes a interpretar erroneamente seus resultados como normais, quando, na realidade, não eram. Após a repercussão, o Guardian constatou que o Google removeu os AI Overviews para consultas como “what is the normal range for liver blood tests” e “what is the normal range for liver function tests”. No entanto, variações dessas buscas como “lft reference range” ainda chegaram a apresentar resumos gerados por IA em testes iniciais. Horas depois da publicação da matéria, novas verificações indicaram que esses resumos também haviam sido retirados, embora o Google ainda ofereça a opção de refazer a consulta no modo de busca com IA. Em resposta ao Guardian, um porta-voz do Google afirmou que a empresa não comenta remoções individuais, mas trabalha continuamente para promover “melhorias amplas” na busca. O porta-voz acrescentou que uma equipe interna de clínicos revisou as consultas destacadas e concluiu que, em muitos casos, as informações não eram tecnicamente incorretas e estavam respaldadas por sites considerados de alta qualidade. Apesar disso, especialistas em saúde demonstram preocupação com o modelo. Vanessa Hebditch, diretora de comunicação e políticas da British Liver Trust, classificou a remoção como uma “excelente notícia”, mas alertou que o problema é mais profundo. Segundo ela, desligar os resumos de IA em buscas específicas não resolve o risco sistêmico do uso de respostas automatizadas em temas médicos sensíveis. TC

A Fortinet publicou atualizações de segurança para corrigir uma vulnerabilidade crítica no FortiSIEM que poderia permitir a execução remota de código por um hacker sem necessidade de autenticação. A falha, identificada como CVE-2025-64155, recebeu pontuação 9,4/10 no CVSS, indicando alto impacto e facilidade de exploração em ambientes vulneráveis. Segundo a empresa, trata-se de uma vulnerabilidade de injeção de comandos no sistema operacional (OS Command Injection – CWE-78), causada pela neutralização inadequada de caracteres especiais utilizados em comandos do sistema. O problema afeta exclusivamente os nós Super e Worker do FortiSIEM e pode ser explorado por meio de requisições TCP especialmente construídas, resultando na execução de comandos não autorizados no appliance. Versões afetadas e correções A Fortinet informou que o problema foi corrigido nas versões mais recentes e recomenda migração ou atualização imediata conforme o cenário abaixo: FortiSIEM 6.7.0 a 6.7.10 – migrar para uma versão corrigida FortiSIEM 7.0.0 a 7.0.4 – migrar para uma versão corrigida FortiSIEM 7.1.0 a 7.1.8 – atualizar para 7.1.9 ou superior FortiSIEM 7.2.0 a 7.2.6 – atualizar para 7.2.7 ou superior FortiSIEM 7.3.0 a 7.3.4 – atualizar para 7.3.5 ou superior FortiSIEM 7.4.0 – atualizar para 7.4.1 ou superior FortiSIEM 7.5 – não afetado FortiSIEM Cloud – não afetado Detalhes técnicos do ataque A falha foi descoberta e reportada em agosto de 2025 pelo Pesquisador Zach Hanley, da Horizon3.ai. De acordo com a análise técnica , a exploração envolve duas etapas principais: Injeção de argumentos sem autenticação, que permite escrita arbitrária de arquivos e resulta em execução remota de código com privilégios de administrador. Escalada de privilégios, em que a sobrescrita de arquivos leva à execução de código como root, comprometendo totalmente o appliance. O ponto central do problema está no serviço phMonitor, um processo backend crítico do FortiSIEM responsável por monitoramento de saúde , distribuição de tarefas e comunicação entre nós via porta TCP 7900. Esse serviço expõe diversos manipuladores de comandos sem exigir autenticação e processa requisições relacionadas ao envio de logs para o Elasticsearch. Ao invocar um script de shell com parâmetros controlados pelo invasor, o serviço abre caminho para injeção de argumentos via curl, permitindo a gravação arbitrária de arquivos no disco. Um hacker pode explorar esse comportamento para gravar um shell reverso no arquivo /opt/charting/redishb.sh, que é executado automaticamente a cada minuto por um cron job com privilégios de root. Com isso, ocorre a escalada de privilégios de administrador para root, garantindo controle total do sistema. Outra falha crítica corrigida Além do FortiSIEM, a Fortinet também corrigiu uma vulnerabilidade crítica no FortiFone (CVE-2025-47855, CVSS 9,3). Essa falha permite que um hacker obtenha a configuração do dispositivo por meio de uma requisição HTTP(S) especialmente construída ao portal web. Versões afetadas do FortiFone: 3.0.13 a 3.0.23 – atualizar para 3.0.24 ou superior 7.0.0 a 7.0.1 – atualizar para 7.0.2 ou superior 7.2 – não afetado Recomendações A Fortinet orienta que todos os clientes atualizem imediatamente seus ambientes para as versões corrigidas. Como medida temporária para o CVE-2025-64155, a empresa recomenda restringir o acesso à porta TCP 7900, reduzindo a superfície de ataque até a aplicação do patch definitivo.A Fortinet publicou atualizações de segurança para corrigir uma vulnerabilidade crítica no FortiSIEM que poderia permitir a execução remota de código por um hacker sem necessidade de autenticação. A falha, identificada como CVE-2025-64155, recebeu pontuação 9,4/10 no CVSS, indicando alto impacto e facilidade de exploração em ambientes vulneráveis. Segundo a empresa, trata-se de uma vulnerabilidade de injeção de comandos no sistema operacional (OS Command Injection – CWE-78), causada pela neutralização inadequada de caracteres especiais utilizados em comandos do sistema. O problema afeta exclusivamente os nós Super e Worker do FortiSIEM e pode ser explorado por meio de requisições TCP especialmente construídas, resultando na execução de comandos não autorizados no appliance. Versões afetadas e correções A Fortinet informou que o problema foi corrigido nas versões mais recentes e recomenda migração ou atualização imediata conforme o cenário abaixo: FortiSIEM 6.7.0 a 6.7.10 – migrar para uma versão corrigida FortiSIEM 7.0.0 a 7.0.4 – migrar para uma versão corrigida FortiSIEM 7.1.0 a 7.1.8 – atualizar para 7.1.9 ou superior FortiSIEM 7.2.0 a 7.2.6 – atualizar para 7.2.7 ou superior FortiSIEM 7.3.0 a 7.3.4 – atualizar para 7.3.5 ou superior FortiSIEM 7.4.0 – atualizar para 7.4.1 ou superior FortiSIEM 7.5 – não afetado FortiSIEM Cloud – não afetado Detalhes técnicos do ataque A falha foi descoberta e reportada em agosto de 2025 pelo Pesquisador Zach Hanley, da Horizon3.ai. De acordo com a análise técnica, a exploração envolve duas etapas principais: Injeção de argumentos sem autenticação, que permite escrita arbitrária de arquivos e resulta em execução remota de código com privilégios de administrador. Escalada de privilégios, em que a sobrescrita de arquivos leva à execução de código como root, comprometendo totalmente o appliance. O ponto central do problema está no serviço phMonitor, um processo backend crítico do FortiSIEM responsável por monitoramento de saúde, distribuição de tarefas e comunicação entre nós via porta TCP 7900. Esse serviço expõe diversos manipuladores de comandos sem exigir autenticação e processa requisições relacionadas ao envio de logs para o Elasticsearch. Ao invocar um script de shell com parâmetros controlados pelo invasor, o serviço abre caminho para injeção de argumentos via curl, permitindo a gravação arbitrária de arquivos no disco. Um hacker pode explorar esse comportamento para gravar um shell reverso no arquivo /opt/charting/redishb.sh, que é executado automaticamente a cada minuto por um cron job com privilégios de root. Com isso, ocorre a escalada de privilégios de administrador para root, garantindo controle total do sistema. Outra falha crítica corrigida Além do FortiSIEM, a Fortinet também corrigiu uma vulnerabilidade crítica no FortiFone (CVE-2025-47855, CVSS 9,3). Essa falha permite que um hacker obtenha a configuração do dispositivo por meio de uma requisição HTTP(S) especialmente construída ao portal web. Versões afetadas do FortiFone: 3.0.13 a 3.0.23 – atualizar para 3.0.24 ou superior 7.0.0 a 7.0.1 – atualizar para 7.0.2 ou superior 7.2 – não afetado Recomendações A Fortinet orienta que todos os clientes atualizem imediatamente seus ambientes para as versões corrigidas. Como medida temporária para o CVE-2025-64155, a empresa recomenda restringir o acesso à porta TCP 7900, reduzindo a superfície de ataque até a aplicação do patch definitivo.

O Google anunciou um novo padrão aberto chamado Universal Commerce Protocol (UCP), criado para facilitar compras mediadas por agentes de inteligência artificial. A novidade foi apresentada durante a conferência da National Retail Federation (NRF) e tem como objetivo padronizar toda a jornada de compra digital da descoberta do produto ao suporte pós-venda. O protocolo foi desenvolvido em parceria com grandes nomes do varejo digital, como Shopify, Etsy, Wayfair, Target e Walmart. A proposta central do UCP é permitir que diferentes agentes de IA atuem de forma integrada em várias etapas do processo de compra, eliminando a necessidade de múltimas conexões isoladas entre sistemas e plataformas. Segundo o Google, o UCP não substitui outros protocolos já existentes, mas atua de forma complementar. A empresa destacou a interoperabilidade com padrões como o Agent Payments Protocol (AP2), o Agent2Agent (A2A) e o Model Context Protocol (MCP), permitindo que empresas e desenvolvedores escolham apenas os módulos e extensões mais adequados às suas necessidades de negócio. Na prática, o Google planeja usar o UCP em listagens qualificadas de produtos exibidas no modo de IA da busca e nos aplicativos Gemini, permitindo que consumidores nos Estados Unidos concluam compras diretamente durante a fase de pesquisa. Os pagamentos poderão ser feitos via Google Pay, com dados de entrega preenchidos automaticamente a partir do Google Wallet. A empresa também confirmou que o PayPal será integrado em breve como opção adicional de pagamento. Para Tobi Lütke, CEO e fundador da Shopify, os agentes de IA representam uma mudança profunda na forma como consumidores encontram produtos. Segundo ele, a capacidade desses sistemas de identificar interesses específicos e sugerir itens relevantes cria experiências de descoberta que dificilmente ocorreriam por meio de buscas tradicionais um tipo de “serendipidade” que pode redefinir o comércio digital. Além disso, o Google anunciou que marcas poderão oferecer descontos dinâmicos em tempo real, exibidos exatamente no momento em que o usuário recebe recomendações de produtos por meio da IA. A empresa também ampliou os atributos de dados disponíveis no Merchant Center, permitindo que lojistas destaquem melhor seus produtos em superfícies de busca baseadas em IA. Outro destaque é a liberação de Agentes de Negócio com IA integrados à busca do Google, permitindo que marcas respondam perguntas de clientes diretamente nos resultados de pesquisa. Empresas como Lowe’s, Michael’s, Poshmark e Reebok já utilizam a solução. O Google também apresentou o Gemini Enterprise for Customer Experience (CX), um conjunto de ferramentas voltado para atendimento ao cliente e operações de comércio para varejistas e restaurantes. A iniciativa reforça uma tendência mais ampla: grandes empresas como Amazon, OpenAI e Meta estão acelerando a adoção de IA em todas as etapas do comércio digital. Segundo dados recentes da Adobe, o tráfego direcionado a sites de venda por ferramentas de IA generativa cresceu mais de 693% durante a última temporada de fim de ano embora o impacto direto nas vendas ainda esteja sendo avaliado.

A indústria nuclear vive um novo momento de renascimento. Usinas antigas estão sendo modernizadas, enquanto investidores voltam a apostar pesado em startups do setor. Apenas nas últimas semanas de 2025, empresas nucleares emergentes levantaram US$ 1,1 bilhão, impulsionadas pelo otimismo de que os pequenos reatores nucleares modulares (SMRs) podem ter sucesso onde o modelo tradicional falhou. Os reatores nucleares convencionais são projetos gigantescos. Nos Estados Unidos, os exemplos mais recentes Vogtle 3 e 4, no estado da Geórgia envolvem dezenas de milhares de toneladas de concreto, utilizam conjuntos de combustível com mais de quatro metros de altura e geram mais de 1 gigawatt de energia cada. O problema é que essas obras atrasaram cerca de oito anos e ultrapassaram o orçamento em mais de US$ 20 bilhões, reforçando a percepção de que o modelo atual é caro, lento e pouco flexível. É justamente esse cenário que as startups nucleares querem mudar. A aposta está na miniaturização dos reatores, permitindo que novas unidades sejam adicionadas conforme a demanda por energia cresce. A promessa é usar técnicas de produção em massa e modularidade, reduzindo custos à medida que mais unidades são fabricadas uma lógica já conhecida em outros setores industriais, embora ainda pouco comprovada na área nuclear. No entanto, transformar essa visão em realidade não será simples. Especialistas alertam que a manufatura em larga escala é um desafio significativo, mesmo para setores mais maduros. O exemplo da Tesla, que enfrentou enormes dificuldades para produzir o Model 3 em volume e com margem de lucro, é frequentemente citado como alerta e isso em um setor no qual os Estados Unidos ainda mantêm forte expertise industrial. Segundo Milo Werner, sócia da gestora DCVC, o problema vai além do dinheiro. Apesar de o setor nuclear estar “nadando em capital”, faltam cadeias de suprimentos e profissionais qualificados. Muitos materiais críticos simplesmente não são mais fabricados nos EUA, obrigando startups a depender de fornecedores estrangeiros. Além disso, décadas de desindustrialização fizeram o país perder o chamado “know-how” de construir e operar fábricas complexas. Esse déficit de capital humano afeta todos os níveis da indústria, desde operadores de máquinas até executivos financeiros e conselhos administrativos. Para Werner, é como tentar correr uma maratona depois de anos sem treinar: possível, mas extremamente arriscado. Ainda assim, há sinais positivos. Muitas startups estão aproximando seus times de engenharia das operações de fabricação, acelerando ciclos de aprendizado e melhoria contínua. A modularidade surge como peça-chave dessa estratégia. Ao começar com volumes menores, as empresas conseguem coletar dados, ajustar processos e demonstrar ganhos reais de eficiência ao longo do tempo. O desafio é que esses benefícios não aparecem rapidamente. Na prática, a redução de custos prometida pela manufatura em escala pode levar anos ou até uma década para se concretizar, exigindo paciência dos investidores e resiliência das startups. TC

A California Privacy Protection Agency (CPPA) anunciou a aplicação de uma multa contra uma corretora de dados sediada no Texas por vender informações sensíveis de saúde sem estar registrada como data broker no estado da Califórnia. A empresa alvo da penalidade é a Rickenbacher Data LLC, que opera comercialmente sob o nome Datamasters. Segundo a CPPA, a Datamasters comprou e revendeu dados pessoais de milhões de pessoas diagnosticadas com doenças como Alzheimer, dependência química, incontinência urinária e outras condições médicas. As informações incluíam nomes completos, endereços, números de telefone e e-mails, e eram utilizadas principalmente para publicidade direcionada, prática considerada altamente sensível quando envolve dados de saúde. Além de dados médicos, a investigação apontou que a corretora também comercializava listas que categorizavam indivíduos com base em idade, raça percebida, posicionamento político, atividades bancárias e histórico de compras relacionadas à saúde. Para a CPPA, esse tipo de segmentação amplia significativamente o risco de discriminação, manipulação e exploração de grupos vulneráveis. Como resultado da apuração, a agência aplicou uma multa de US$ 45 mil e determinou que a Datamasters cesse imediatamente a venda de dados pessoais de residentes da Califórnia. Em comunicado oficial, Michael Macko, chefe de fiscalização da CPPA, alertou que a revenda desse tipo de informação vai muito além de riscos publicitários. “Revender listas de pessoas que enfrentam o Alzheimer é uma receita para o desastre. Nas mãos erradas, esses dados podem ser usados para muito mais do que anúncios”, afirmou Macko. Ele destacou que os mesmos perigos se aplicam à comercialização de listas envolvendo idosos, pessoas com posicionamentos políticos específicos ou consumidores de produtos sensíveis de saúde. RF

A Motional decidiu colocar a inteligência artificial no centro de sua estratégia para sobreviver e se reinventar no competitivo mercado de veículos autônomos. Criada a partir de uma joint venture de US$ 4 bilhões entre a Hyundai Motor Group e a Aptiv, a empresa enfrentou atrasos significativos, perdeu a Aptiv como investidora e precisou de um novo aporte de US$ 1 bilhão da Hyundai para manter as operações. O cenário foi agravado por sucessivas demissões, incluindo um corte de 40% em maio de 2024, que reduziu o quadro de funcionários de cerca de 1.400 para menos de 600 colaboradores. Ao mesmo tempo, avanços acelerados em IA estavam mudando radicalmente a forma como sistemas de direção autônoma são desenvolvidos. Diante disso, a Motional tomou uma decisão drástica: pausar suas operações comerciais e reconstruir a tecnologia com uma abordagem “AI-first”. Em entrevista ao TechCrunch, a empresa afirmou que reiniciou seus planos de robotáxis com base em modelos fundacionais de IA, prometendo lançar um serviço comercial totalmente sem motorista em Las Vegas até o fim de 2026. Atualmente, a Motional já opera um serviço de robotáxi restrito a funcionários, ainda com um operador humano de segurança ao volante. A expectativa é abrir esse serviço ao público ainda em 2026, em parceria com uma empresa de transporte por aplicativo a companhia já mantém relações com Lyft e Uber. Segundo a CEO e presidente da empresa, Laura Major, o principal desafio não era apenas a segurança, mas a escalabilidade e o custo da tecnologia. A Motional abandonou uma arquitetura clássica baseada em múltiplos modelos isolados e regras rígidas, migrando para uma abordagem integrada, inspirada em arquiteturas transformer as mesmas que impulsionaram modelos como o ChatGPT. Essa mudança permite que o sistema aprenda de forma mais ampla, se adapte a novas cidades e reduza custos de implementação. Durante um teste prático em Las Vegas, a nova geração do sistema demonstrou avanços importantes, incluindo a navegação autônoma em áreas complexas como entradas e saídas de hotéis algo que antes exigia intervenção humana. Apesar de ainda apresentar limitações, como tomadas de decisão mais cautelosas em situações específicas, a Motional acredita estar no caminho certo. No longo prazo, a visão da empresa vai além dos robotáxis: o objetivo final é levar autonomia de nível 4 para veículos pessoais, integrando essa tecnologia diretamente aos carros da Hyundai. TC

Um jogador de basquete russo acusado de envolvimento com um grupo hacker especializado em ransomware foi libertado após um acordo de troca de prisioneiros entre Rússia e França. Daniil Kasatkin, de 26 anos, apareceu em um vídeo divulgado pela agência estatal russa TASS , deixando um avião que, em seguida, transportou o pesquisador francês Laurent Vinatier de volta à França. Vinatier havia sido condenado a três anos de prisão na Rússia, acusado de violar leis locais relacionadas a “agentes estrangeiros”. A libertação de Kasatkin ocorre meses após sua detenção em junho, no aeroporto Charles de Gaulle, em Paris, logo após chegar ao país acompanhado de sua noiva. À época, ele foi mantido sob custódia para extradição a pedido dos Estados Unidos. Segundo autoridades norte-americanas, Kasatkin era investigado por supostamente atuar como negociador de um grupo hacker de ransomware responsável por ataques contra cerca de 900 organizações entre 2020 e 2022. Ele chegou a ser formalmente acusado de conspiração para cometer fraude informática. Embora o nome do grupo não tenha sido divulgado, o Departamento de Justiça dos EUA já afirmou anteriormente que o agora desativado grupo Conti esteve por trás de ataques em escala global com esse mesmo perfil. O U.S. State Department não comentou se foi oficialmente notificado sobre a troca. No entanto, a agência AFP informou que autoridades francesas comunicaram previamente o governo dos EUA sobre a decisão de enviar Kasatkin de volta à Rússia em troca de Vinatier. Antes do episódio, Kasatkin teve passagem pelos Estados Unidos, onde estudou e jogou basquete na Penn State University na temporada 2018–2019. Posteriormente, atuou por quatro anos no time profissional MBA-MBAI, de Moscou. Sua defesa nega qualquer envolvimento com ataques cibernéticos, alegando que as acusações teriam relação com um computador usado adquirido por ele, que já estaria comprometido. Canais russos no Telegram especializados em esportes afirmam que autoridades norte-americanas monitoravam Kasatkin desde o início de 2025 e que o mandado de prisão teria sido emitido apenas um dia antes de sua chegada à França. O caso ocorre em um momento em que os EUA vêm obtendo sucesso em extradições de hackers ligados a grupos de ransomware russos e coletivos hacktivistas, incluindo um suposto membro do Conti extraditado da Irlanda em outubro e outro invasor enviado pela Ucrânia no mês passado. RFN

Pesquisadores revelaram uma nova campanha maliciosa que utiliza o WhatsApp como vetor de disseminação do trojan bancário Astaroth (também conhecido como Guildma), com foco em vítimas no Brasil. A operação foi batizada de Boto Cor-de-Rosa pela equipe da Acronis Threat Research Unit, que detalhou o funcionamento do ataque em relatório divulgado à imprensa especializada. De acordo com os pesquisadores , após infectar um computador Windows, o malware coleta a lista de contatos do WhatsApp da vítima e envia automaticamente mensagens maliciosas para cada contato, ampliando a infecção de forma semelhante a um worm. Embora o payload principal do Astaroth continue escrito em Delphi e o instalador utilize scripts em Visual Basic, o novo módulo de propagação via WhatsApp foi desenvolvido inteiramente em Python, evidenciando a evolução técnica e o uso de componentes modulares em múltiplas linguagens por grupos hackers. Ativo desde 2015, o Astaroth é um malware bancário conhecido por roubo de credenciais e dados financeiros, com histórico de ataques concentrados na América Latina, especialmente no Brasil. Em 2024, diferentes campanhas já haviam explorado phishing por e-mail para sua distribuição. Agora, os hackers passaram a explorar a popularidade massiva do WhatsApp no país, transformando o mensageiro em um canal altamente eficaz para disseminação de trojans bancários. Essa tática não é isolada. No mês anterior, a Trend Micro descreveu campanhas do grupo Water Saci usando o WhatsApp para espalhar outros malwares bancários. Já a Sophos, em relatório publicado em novembro de 2025, afirmou monitorar a campanha STAC3150, também focada no WhatsApp, na qual mais de 95% das infecções ocorreram no Brasil, com casos residuais nos Estados Unidos e na Áustria. O método de infecção segue um padrão conhecido, porém eficaz: a vítima recebe um arquivo ZIP por mensagem, extrai o conteúdo e executa um script em Visual Basic disfarçado de arquivo legítimo. Essa ação inicia o download dos estágios seguintes do ataque, incluindo: um módulo de propagação em Python, que envia automaticamente novos arquivos maliciosos aos contatos do WhatsApp; e um módulo bancário, que monitora a navegação da vítima e é ativado ao detectar acesso a sites bancários, coletando credenciais para fraude financeira. Segundo a Acronis, os desenvolvedores do malware também incorporaram um mecanismo de telemetria, capaz de registrar em tempo real métricas como quantidade de mensagens enviadas, falhas de entrega e taxa de propagação por minuto um indicativo claro do nível de sofisticação e profissionalização dos grupos hackers por trás da campanha.

O Instagram afirmou que não houve violação de dados em sua plataforma, mesmo após diversos usuários relatarem o recebimento de e-mails suspeitos solicitando a redefinição de senha. Segundo a empresa, o episódio foi causado por uma falha que permitia que uma parte externa solicitasse o envio desses e-mails, sem que isso representasse acesso indevido às contas. A polêmica ganhou força após uma publicação feita na rede Bluesky pela empresa de antivírus Malwarebytes, que compartilhou a captura de tela de um e-mail supostamente enviado pelo Instagram. Na publicação, a empresa alegou que hackers teriam roubado informações sensíveis de cerca de 17,5 milhões de contas, incluindo nomes de usuário, endereços físicos, números de telefone e e-mails, dados que estariam sendo comercializados na dark web. De acordo com a Malwarebytes, essas informações poderiam ser exploradas por hackers para golpes de phishing, fraudes financeiras e ataques de engenharia social. A alegação rapidamente gerou preocupação entre usuários e especialistas em segurança digital, levantando dúvidas sobre a real dimensão do incidente. Em resposta, o Instagram se pronunciou oficialmente curiosamente por meio da rede X, e não pelo próprio Instagram ou Threads informando que corrigiu uma falha que permitia que uma entidade externa disparasse pedidos de redefinição de senha para alguns usuários. A empresa não forneceu detalhes técnicos sobre a falha nem identificou quem explorou o problema, limitando-se a afirmar que os usuários poderiam ignorar os e-mails recebidos, pedindo desculpas pela confusão gerada. TC

A Agência Espacial Europeia (ESA) informou que um incidente de cibersegurança pode ter afetado um “número muito pequeno” de servidores externos utilizados pela agência. A informação foi divulgada em uma publicação feita na plataforma X (antigo Twitter), na terça-feira. Segundo a ESA, os servidores potencialmente impactados não fazem parte da rede corporativa principal da agência. Eles são usados para apoiar atividades colaborativas de engenharia não classificadas, voltadas à comunidade científica. Assim que o possível incidente foi identificado, a agência iniciou uma análise forense detalhada e implementou medidas de contenção para proteger os dispositivos que possam ter sido comprometidos. A agência afirmou ainda que todas as partes interessadas relevantes já foram notificadas. Apesar disso, um porta-voz da ESA não respondeu imediatamente aos pedidos de esclarecimento adicionais sobre a natureza do incidente, possíveis impactos operacionais ou se houve acesso não autorizado a dados. O caso ocorre em um momento estratégico para a agência espacial europeia. Em novembro, a ESA arrecadou um valor recorde de €22,1 bilhões junto aos seus Estados-membros para financiar programas espaciais nos próximos três anos. O episódio reforça a crescente preocupação com a segurança cibernética em organizações científicas e governamentais, especialmente aquelas envolvidas em projetos internacionais e infraestrutura crítica. Bloomberg