Resumo das últimas notícias de cibersegurança.
Período analisado: 31/05/2026 a 04/06/2026. Este relatório consolida os principais acontecimentos recentes em cibersegurança.
IronWorm e Nova Variante do Worm Miasma Atacam o npm em Ataques à Cadeia de Suprimentos
2026-06-05
Múltiplos ataques à cadeia de suprimentos de software foram identificados no ecossistema npm. Atores de ameaça utilizaram versões maliciosas e envenenadas de mais de 50 pacotes legítimos para distribuir dois malwares distintos: um information stealer desenvolvido em Rust, chamado IronWorm, capaz de roubar segredos da máquina do desenvolvedor e se ocultar por meio de um rootkit baseado em eBPF no kernel; e uma nova variante do worm Miasma, com capacidade de autopropagação. A descoberta foi feita pela empresa de segurança JFrog.
Spyware Android ‘Asin’ Mira Usuários de Língua Árabe via Apps Falsos de Notícias, PDF e Mapas de Guerra
2026-06-05
Pesquisadores da ESET identificaram um novo spyware para Android chamado ‘Asin’, direcionado a usuários de língua árabe. As campanhas foram detectadas no início de 2025 e utilizaram múltiplos sites falsos que imitavam utilitários, atualizações sobre conflitos armados e fontes de notícias governamentais para distribuir o malware. Entre os domínios identificados está o govlens[.]net. Cada onda de ataque utilizou sites distintos para enganar as vítimas e instalar o spyware em seus dispositivos.
Novo Cluster de Ameaça OP-512 Mira Servidores Microsoft IIS com Framework de Web Shell Personalizado
2026-06-05
Pesquisadores de cibersegurança identificaram um novo cluster de ameaças, denominado OP-512, voltado para servidores Microsoft IIS (Internet Information Services). O grupo implanta um framework customizado de web shell para comprometer os alvos. A empresa ReliaQuest avaliou, com confiança moderada a alta, que as atividades têm foco em espionagem e estão vinculadas à China. A atividade ainda não havia sido reportada anteriormente, indicando um ator de ameaça emergente ou previamente desconhecido.
Apenas 10% dos SOCs afirmam obter excelente valor com IA
2026-06-05
Apesar do forte crescimento de investimentos em ferramentas de IA para operações de segurança (SOC) — incluindo plataformas agentic, co-pilots e soluções integradas à stack de segurança —, apenas 10% dos SOCs relatam obter excelente valor dessas tecnologias. O artigo destaca que, embora a adoção de IA tenha se tornado inevitável e bilhões de dólares estejam sendo direcionados ao setor, a entrega de resultados concretos ainda é um desafio. O texto sinaliza a necessidade de uma ‘segunda onda’ de soluções de IA que realmente cumpra as promessas feitas pela indústria.
Hackers Exploram Falha Crítica no Plugin WordPress Everest Forms Pro para Comprometer Sites
2026-06-05
Agentes de ameaça estão explorando ativamente a vulnerabilidade crítica CVE-2026-3300 (CVSS 9.8) no plugin WordPress Everest Forms Pro. A falha, classificada como Remote Code Execution (RCE), afeta todas as versões até a 1.9.12 e permite a execução de código arbitrário, resultando no comprometimento total dos sites afetados. O plugin possui aproximadamente 4.000 instalações ativas. Uma correção foi disponibilizada, sendo fortemente recomendada a atualização imediata do plugin.
Golpes da Copa do Mundo FIFA 2026 já estão ativos: Sites falsos, malware bancário e credenciais roubadas
2026-06-05
Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA atingindo torcedores antes do início da Copa do Mundo 2026 (11 de junho). Foram identificados milhares de domínios falsos imitando o site oficial da FIFA, malware bancário escondido em aplicativos de streaming pirata e pelo menos uma operação de phishing que replica a página de login da FIFA com fidelidade suficiente para sequestrar contas reais de usuários.
PCPJack Sequestra 230 Servidores AWS, Google Cloud e Azure para Rede Secreta de Relay SMTP
2026-06-05
O agente de ameaça identificado como PCPJack comprometeu aproximadamente 230 servidores em nuvem da AWS, Google Cloud e Microsoft Azure, convertendo-os em proxies SMTP para formar uma rede encoberta de relay de e-mail. Os servidores afetados pertencem a empresas localizadas nos EUA, Europa e Ásia. Após a comprometimento, os servidores eram verificados quanto à capacidade de relay de e-mails e sincronizados com um receptor downstream a cada cinco minutos, indicando uma operação automatizada e contínua. A descoberta foi reportada pela Hunt.io.
Cisco corrige CVE-2026-20230 no Unified CM com exploit público disponível
2026-06-04
A Cisco lançou patch para uma vulnerabilidade crítica (CVE-2026-20230) no Unified Communications Manager (Unified CM). A falha é do tipo SSRF (Server-Side Request Forgery) e permite que um atacante não autenticado na rede escreva arquivos no sistema e, a partir disso, escale privilégios até root. Um código de prova de conceito (PoC) já está disponível publicamente, aumentando significativamente o risco de exploração em larga escala. O PSIRT da Cisco confirmou que ainda não há registros de exploração ativa, porém a existência do PoC reduz drasticamente o tempo até possíveis ataques. Recomenda-se aplicar o patch imediatamente.
Falha no Claude Code GitHub Action permitia sequestro de repositórios com uma única issue maliciosa
2026-06-04
Um pesquisador de segurança da GMO (RyotaK) descobriu uma vulnerabilidade crítica no GitHub Action do Claude Code, da Anthropic, que permitia a um atacante comprometer repositórios públicos que utilizavam a ferramenta apenas abrindo uma issue no GitHub. Como o próprio repositório da Anthropic usava o mesmo workflow vulnerável, um ataque bem-sucedido poderia injetar código malicioso diretamente na action e, por consequência, afetar todos os projetos downstream que a utilizam como dependência. A falha representa um risco de supply chain, podendo comprometer uma cadeia ampla de projetos de forma silenciosa.
IA Agêntica está transformando a defesa, mas apenas uma infraestrutura de TI segura vai maximizar seu potencial
2026-06-04
A comunidade de cibersegurança foi alertada sobre os riscos do uso de IA agêntica em redes de defesa. Um incidente envolvendo o modelo Claude Mythos, da Anthropic, disponibilizado em prévia técnica para um grupo restrito de organizações, teria sido comprometido por um grupo não autorizado em poucas horas após sua liberação. O caso reforça que, embora a IA agêntica represente um avanço significativo para operações de defesa, sua adoção exige uma infraestrutura de TI robusta e segura para mitigar riscos de acesso não autorizado e exploração por agentes maliciosos.
Telas suspeitas de login via Polyfill aparecem nos sites da Toshiba e Muji
2026-06-05
As empresas Toshiba e Muji alertaram visitantes sobre o aparecimento de telas de login suspeitas em seus sites, possivelmente relacionadas a comprometimento via biblioteca Polyfill. Essas telas falsas podem ser utilizadas para coletar credenciais dos usuários. O incidente reforça os riscos associados ao uso de bibliotecas JavaScript de terceiros comprometidas, como o já conhecido caso do cdn.polyfill.io, que foi utilizado em ataques de supply chain em larga escala.
CISA alerta sobre exploração ativa de vulnerabilidade no SolarWinds Serv-U para derrubar servidores
2026-06-05
A CISA emitiu um alerta informando que agentes maliciosos estão explorando ativamente uma vulnerabilidade de alta severidade, recentemente corrigida, no produto SolarWinds Serv-U. A exploração da falha pode causar travamento e indisponibilidade dos servidores afetados (ataque do tipo Denial of Service/crash). Administradores que utilizam o Serv-U devem aplicar os patches disponibilizados pelo fornecedor com urgência para mitigar o risco.
APT chinês implanta novo malware para manter acesso a redes comprometidas
2026-06-05
O grupo de espionagem chinês UNC5221 está utilizando o backdoor Brickstorm, juntamente com dois novos malwares até então não documentados — Plenet e AgentPSD — para manter acesso persistente a ambientes Microsoft 365 comprometidos. A atividade indica uma operação de espionagem sofisticada com foco em persistência e acesso prolongado a redes de vítimas.
Vendedor do Mercado Nemesis na dark web condenado a 26 anos por tráfico de drogas
2026-06-05
Um homem da Califórnia foi condenado a mais de 26 anos de prisão federal por tráfico de fentanil e metanfetamina por meio do Nemesis Market, um dos maiores marketplaces da dark web do mundo. O caso reforça os esforços das autoridades no combate ao uso de plataformas anônimas para atividades ilícitas.
Mais de 900 sistemas de medição de tanques de postos de combustível nos EUA expostos a ataques
2026-06-05
Foram identificados mais de 900 sistemas ATG (Automatic Tank Gauge) nos Estados Unidos acessíveis publicamente pela internet e vulneráveis a ataques. Esses sistemas são utilizados para monitorar tanques de armazenamento de combustível e produtos químicos em setores de infraestrutura crítica. A exposição representa um risco significativo, pois atores maliciosos podem explorar essas vulnerabilidades para manipular leituras, causar vazamentos, interromper operações ou até provocar danos físicos em instalações sensíveis.
O que o DBIR 2026 Confirma: Ataques Estão Vivendo no Navegador
2026-06-05
O Relatório de Investigações de Violação de Dados (DBIR) 2026 da Verizon aponta que ataques cibernéticos estão cada vez mais ocorrendo dentro do navegador. Phishing, uso de Shadow AI (ferramentas de IA não autorizadas), extensões maliciosas e roubo de credenciais são os principais vetores identificados nessa camada. O relatório destaca lacunas significativas na segurança da camada do navegador, reforçando a necessidade de maior controle e monitoramento sobre o ambiente de navegação corporativo como parte da estratégia de defesa moderna.
Cisco alerta sobre zero-day não corrigido no SD-WAN explorado em ataques
2026-06-05
A Cisco emitiu um alerta sobre uma vulnerabilidade crítica não corrigida (zero-day) de alta severidade no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. A falha está sendo ativamente explorada em ataques e permite que agentes maliciosos realizem escalonamento de privilégios até o nível root, o que pode resultar em controle total do sistema afetado. Até o momento da publicação, não há patch disponível.
Brave Software lança Origin: versão paga e sem recursos extras do navegador
2026-06-04
A Brave Software anunciou o lançamento público do Brave Origin, uma versão paga e minimalista do seu navegador. A novidade remove funcionalidades como criptomoedas, inteligência artificial, sistema de recompensas e outros recursos voltados à monetização, oferecendo uma experiência de navegação mais limpa e focada para usuários que preferem simplicidade e privacidade sem elementos adicionais.
Hola Browser para Windows comprometido para distribuir criptominerador
2026-06-04
A versão Windows do Hola Browser foi comprometida em um ataque à cadeia de suprimentos (supply chain attack). O ataque resultou na entrega de um executável não declarado, identificado por pesquisadores como um minerador de criptomoedas. Usuários que instalaram ou atualizaram o navegador podem ter tido seus recursos computacionais explorados silenciosamente para mineração de criptomoedas sem seu conhecimento ou consentimento.
Campanha de roubo de cartões de crédito abusa da infraestrutura da Stripe para hospedar dados roubados
2026-06-04
Uma nova campanha do tipo Magecart está explorando a API da Stripe para hospedar tanto o payload malicioso responsável pelo roubo de dados de cartões de crédito quanto as informações exfiltradas de páginas de checkout. A técnica abusa de uma infraestrutura legítima e confiável para dificultar a detecção e o bloqueio da atividade maliciosa.
Hackers Usaram Bot de IA da Meta para Sequestrar Contas do Instagram
2026-06-01
Contas de alto perfil no Instagram, incluindo a do Obama White House e do Sargento-Mor da Força Espacial dos EUA, foram temporariamente comprometidas e desfiguradas com imagens e mensagens pró-iranianas. O ataque explorou uma vulnerabilidade no bot de suporte de IA da Meta, com instruções circulando no Telegram ensinando como manipular o assistente virtual para redefinir senhas de contas-alvo. O incidente evidencia riscos críticos no uso de IA para suporte ao cliente, especialmente em fluxos de autenticação e recuperação de acesso.
Exploração Ativa da Vulnerabilidade CVE-2026-0257 no PAN-OS
2026-06-05
A Unit 42 da Palo Alto Networks publicou um alerta sobre a exploração ativa da vulnerabilidade CVE-2026-0257 no PAN-OS, o sistema operacional utilizado em dispositivos Palo Alto Networks. O relatório inclui indicadores de atividade (IoCs) e recomendações de mitigação para auxiliar profissionais de segurança na detecção e resposta ao incidente. Administradores de ambientes com PAN-OS devem aplicar as mitigações recomendadas com urgência.
O Cenário de Ameaças no npm: Superfície de Ataque e Mitigações (Atualizado em 2 de Junho)
2026-06-02
A Unit 42 (Palo Alto Networks) publicou uma análise atualizada sobre a evolução dos ataques à cadeia de suprimentos do npm, com foco no período pós-Shai Hulud. O relatório aborda ameaças como malware com capacidade de autopropagação (wormable), técnicas de persistência em pipelines CI/CD e ataques em múltiplos estágios. O estudo mapeia a superfície de ataque do ecossistema npm e apresenta recomendações de mitigação para desenvolvedores e equipes de segurança.
Operation FlutterBridge: Campanha de Malvertising para macOS Distribui Novo Backdoor FlutterShell
2026-06-02
A Operation FlutterBridge é uma campanha de malvertising direcionada a usuários de macOS. A campanha distribui um novo backdoor chamado FlutterShell, desenvolvido utilizando o framework Flutter. A descoberta foi publicada pelo time Unit 42 da Palo Alto Networks.
Exploração Ativa da Vulnerabilidade CVE-2026-0257 no PAN-OS
2026-06-05
A Unit 42 da Palo Alto Networks publicou um alerta sobre a exploração ativa da vulnerabilidade CVE-2026-0257 no PAN-OS. O relatório inclui indicadores de atividade maliciosa e orientações de mitigação para ajudar organizações a se protegerem contra ataques que exploram essa falha. Profissionais de segurança devem aplicar as mitigações recomendadas e monitorar os indicadores fornecidos com urgência.
O Cenário de Ameaças no npm: Superfície de Ataque e Mitigações
2026-06-02
A Unit 42 (Palo Alto Networks) analisou a evolução dos ataques à cadeia de suprimentos npm após o caso Shai Hulud. O relatório destaca ameaças como malware com capacidade de autopropagação (wormable), persistência em pipelines CI/CD e ataques em múltiplos estágios. O estudo mapeia a superfície de ataque do ecossistema npm e apresenta recomendações de mitigação para desenvolvedores e equipes de segurança.
Operation FlutterBridge: Campanha de Malvertising no macOS Distribui Novo Backdoor FlutterShell
2026-06-02
A Operation FlutterBridge é uma campanha de malvertising direcionada a usuários de macOS. A campanha distribui um novo backdoor chamado FlutterShell, desenvolvido com o framework Flutter. A descoberta foi publicada pelo Unit 42, equipe de inteligência de ameaças da Palo Alto Networks.
Seja o primeiro a comentar