As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Novas análises da Kaspersky indicam que os clusters de ameaças, Head Mare e Twelve, estão colaborando em campanhas contra alvos russos. Utilizando ferramentas avançadas e exploits, essa aliança representa uma ameaça crescente no ciberespaço, visando infraestruturas estatais e privadas com técnicas sofisticadas de acesso inicial e ransomware.

A Aquatic Panda, um grupo de APT vinculado à China, conduziu uma campanha de espionagem durante 2022, afetando sete organizações em vários países, incluindo governos e ONGs. Utilizando malwares como ShadowPad e SodaMaster, o grupo operou sob o radar por 10 meses.

A empresa reagiu a um ataque zero-click, corrigindo uma vulnerabilidade explorada para instalar o spyware Graphite da Paragon. Cerca de 90 usuários Android foram notificados após a descoberta por pesquisadores do Citizen Lab, envolvendo jornalistas e ativistas em mais de 24 países.

A nova ameaça cibernética, identificada por Kaspersky, mira em credenciais de VPN, contas de mensageiros e navegadores. Iniciada em novembro de 2024, a campanha tem foco em usuários russos, bielorrussos e cazaques, distribuída via links maliciosos em vídeos de YouTube e Discord.

Revelações da GoDaddy desvendam um esquema de redirecionamento malicioso agindo desde 2016. Comprometendo mais de 20.000 sites para direcionar usuários a plataformas falsas, a campanha utiliza técnicas avançadas para distribuir malwares e monetizar acessos fraudulentamente, dificultando sua remoção e controle.

A equipe CERT-UA da Ucrânia alertou sobre ataques altamente direcionados, utilizando contas do Signal comprometidas para disseminar malware entre funcionários do setor de defesa e membros das forças armadas, através de mensagens que simulam relatórios de reuniões. Os golpistas utilizam arquivos contendo um PDF e um executável malicioso, ativando o Dark Crystal RAT ao serem abertos. Recomenda-se cautela com downloads automáticos e a verificação regular de dispositivos vinculados no Signal.

Pesquisadores revelam que cerca de 1 milhão de Android TV boxes, tablets e outros dispositivos foram infectados, criando uma botnet controlada por golpistas. Envolvidos principalmente em fraude publicitária e serviços proxy residenciais, esses aparelhos operam sem o conhecimento de seus proprietários. Maioria dos dispositivos afetados localiza-se na América do Sul, sendo o Brasil o mais impactado. Google colabora na mitigação do componente de fraude publicitária desta campanha, conhecida como Badbox 2.0.

Movimento estratégico que destaca a importância da segurança cibernética em nuvem, a gigante da tecnologia firma acordo para comprar a Wiz, reforçando sua posição no mercado e expandindo sua oferta em segurança cloud. A transação, prevista para 2026, promete fortalecer a proteção em ambientes de nuvem múltipla.

Utilizando técnicas de engenharia social, acesso indevido é obtido por meio de redirecionamentos OAuth e páginas fraudulentas. A Proofpoint alerta para a necessidade de verificar a autenticidade dos aplicativos e o domínio das páginas de login.

Uma série de invasões iniciada com a ação do GitHub "reviewdog/action-setup" comprometeu tokens pessoais de acesso e expôs segredos de CI/CD em 23.000 repositórios. Pesquisadores apontam para um efeito cascata em ações GitHub, recomendando a revisão de códigos e a rotação de segredos expostos.

Em fevereiro, criminosos digitais violaram a segurança da WEMIX, subtraindo cerca de 8,6 milhões de tokens, um prejuízo avaliado em US$ 6 milhões. O CEO Kim Seok-Hwan revelou ações imediatas e investigações em andamento para mitigar danos e prevenir futuros incidentes.

A brecha CVE-2024-27564 em SSRF na IA da OpenAI desencadeou mais de 10 mil ataques em uma semana, atingindo principalmente bancos e fintechs. Os EUA lideram como alvo, com empresas convidadas a reforçar suas defesas cibernéticas urgentemente.

Pesquisadores em segurança da informação revelaram um esquema de fraude publicitária envolvendo mais de 300 aplicativos na Google Play Store, acumulando mais de 60 milhões de downloads. Esses apps executavam anúncios invasivos e phishing, chegando ao ponto de tornar dispositivos inutilizáveis, além de tentativas de coleta de dados e crédito dos usuários.

Pesquisadores revelam ataque via 'Rules File Backdoor': Especialistas em cibersegurança descobriram um vetor de ataque, chamado Rules File Backdoor, que afeta editores de código com IA, como GitHub Copilot e Cursor. Este método permite que hackers insiram código malicioso via arquivos de regras, explorando caracteres invisíveis e técnicas de evasão avançadas. A tática representa um risco significativo de propagação de código comprometido em projetos e uma ameaça à cadeia de suprimentos.

Risco Máximo para Servidores: Uma falha grave, CVE-2024-54085 , no MegaRAC da AMI permite bypass de autenticação, controle remoto de servidores e outros ataques. Patches já estão disponíveis, mas exigem downtime dos dispositivos para aplicação.

A campanha ClearFake adota estratégias inovadoras para distribuir malwares, utilizando fake reCAPTCHA e Cloudflare Turnstile, além de operar via contratos inteligentes na Binance Smart Chain. Essa evolução marca um salto significativo no uso de Web3 para resistir análises e infectar mais vítimas globalmente.

Pesquisadores de cibersegurança divulgaram duas vulnerabilidades graves no sistema mySCADA myPRO, ambas com pontuação 9.3 no CVSS v4, que possibilitam injeção de comandos via POST. Correções já estão disponíveis nas versões mySCADA PRO Manager 1.3 e PRO Runtime 9.2.1. Recomenda-se atualização urgente e medidas de segurança reforçadas.

O CEO do Telegram, Pavel Durov, retorna a Dubai após ser autorizado pela justiça francesa a sair temporariamente do país. Investigado por uso criminoso da plataforma, Durov havia sido detido, mas agora destaca esforços do Telegram em superar obrigações legais na moderação de conteúdo.

Pesquisadores da Microsoft desvendaram o StilachiRAT, um novo Trojan de acesso remoto com técnicas avançadas para evasão, persistência e extração de dados sensíveis. Até agora, sua distribuição é limitada, mas já causa preocupação pela habilidade em obter dados de carteiras de criptomoedas e credenciais. A empresa compartilha orientações para mitigar os impactos.

Utilizada por milhares, a ação 'tj-actions/changed-files' sofreu comprometimento via código malicioso em Março de 2025. O ataque expôs segredos de CI/CD em logs de build, afetando cerca de 23.000 repositórios. A rápida resposta incluiu a remoção do código prejudicial e a recomendação de alteração de segredos expostos.