Resumo das últimas notícias de cibersegurança.
Período analisado: 28/06/2026 a 05/07/2026. Este relatório consolida os principais acontecimentos recentes em cibersegurança.
Entidade do Governo dos EUA Pagou US$ 1 Milhão ao Grupo Kairos em Caso de Extorsão por Roubo de Dados
03/07/2026
Uma entidade governamental dos Estados Unidos pagou aproximadamente US$ 1 milhão ao grupo conhecido como Kairos para evitar a divulgação de arquivos roubados. O caso foi documentado por Rakesh Krishnan para o Ransom-ISAC, com base em um chat de negociação vazado e no rastreamento da transação via blockchain. Um ponto atípico do caso é que o grupo Kairos pode não ser uma gangue de ransomware tradicional — não há evidências de que tenha criptografado sistemas da vítima. A ameaça foi exclusivamente baseada em extorsão por vazamento de dados (data-theft extortion), sem o componente clássico de bloqueio de sistemas.
Hackers Norte-Coreanos Publicam 108 Pacotes e Extensões Maliciosas na Campanha PolinRider
03/07/2026
Atores de ameaça norte-coreanos vinculados à campanha Contagious Interview foram identificados publicando 108 pacotes e extensões maliciosas de navegador web nas plataformas npm, Packagist, Go e Google Chrome, como parte de uma campanha em andamento denominada PolinRider. A campanha permanece ativa, com novos pacotes maliciosos sendo publicados continuamente à medida que os atacantes comprometem contas de mantenedores de repositórios. Profissionais de segurança devem revisar dependências de projetos e extensões instaladas, especialmente aquelas provenientes de contas recentemente comprometidas ou de origem desconhecida.
Falhas não corrigidas divulgadas em sistema de arquivos presente em milhões de dispositivos embarcados
03/07/2026
A empresa de segurança runZero divulgou sete vulnerabilidades na biblioteca FatFs, um sistema de arquivos amplamente utilizado em firmware de dispositivos embarcados. A biblioteca permite leitura e escrita nos formatos FAT e exFAT (utilizados em pen drives e cartões SD) e está presente em câmeras de segurança, drones, controladores industriais, carteiras de hardware para criptomoedas, entre outros. As falhas ainda não possuem correção disponível, representando risco significativo para a cadeia de suprimentos de hardware e dispositivos IoT/OT em larga escala.
Nova Falha no Kernel Linux ‘Bad Epoll’ Permite que Usuários Sem Privilégios Obtenham Acesso Root e Afeta Android
03/07/2026
Uma vulnerabilidade no kernel Linux identificada como CVE-2026-46242, denominada ‘Bad Epoll’, permite que um usuário comum sem privilégios especiais obtenha controle total do sistema como root. A falha afeta desktops Linux, servidores e dispositivos Android. Uma correção já foi disponibilizada. A vulnerabilidade está localizada em um trecho do código do kernel onde o modelo de IA da Anthropic, Mythos, havia identificado recentemente uma falha diferente, indicando que a região do código é propensa a bugs.
Novo Framework de Malware Avalon Incorpora Capacidades de Ransomware CrownX
03/07/2026
Pesquisadores de cibersegurança descobriram um framework modular de malware, ainda não documentado, denominado Avalon. Ele é distribuído por meio de uma cadeia de phishing em múltiplos estágios, capaz de contornar controles de segurança tradicionais. O Avalon combina diversas funcionalidades em um único framework, incluindo coleta de credenciais, movimentação lateral, acesso remoto, disrupção de recuperação de dados e execução de ransomware (CrownX), tornando-o uma ameaça altamente versátil e perigosa.
Pacotes npm vinculados à Coreia do Norte imitam ferramentas Rollup para roubar segredos de desenvolvedores
02/07/2026
Agentes de ameaças com ligação à Coreia do Norte publicaram pacotes maliciosos no npm que se disfarçam de ferramentas legítimas do tipo ‘polyfill’ para o Rollup. Os pacotes ‘rollup-packages-polyfill-core’ e ‘rollup-runtime-polyfill-core’ imitam o projeto legítimo ‘rollup-plugin-polyfill-node’, incluindo descrição e metadados do repositório, com o objetivo de facilitar acesso remoto e roubo de dados de desenvolvedores. A descoberta foi feita pela empresa de segurança JFrog.
Armored Likho mira agências governamentais e setor elétrico com o stealer BusySnake
02/07/2026
Um agente de ameaças até então não documentado, denominado Armored Likho, foi atribuído a ataques cibernéticos contra agências governamentais e o setor de energia elétrica na Rússia, Brasil e Cazaquistão. Segundo análise técnica da Kaspersky, o grupo combina campanhas com motivação financeira voltadas a indivíduos privados com espionagem cibernética direcionada a organizações. O malware utilizado nas operações é identificado como BusySnake, um stealer (ladrão de informações) ainda em investigação.
Membro do Parlamento Europeu investigando spyware foi hackeado com Pegasus
02/07/2026
Um relatório do Citizen Lab revelou que o ex-eurodeputado Stelios Kouloglou teve seu dispositivo móvel hackeado repetidamente com o spyware Pegasus enquanto servia em um comitê responsável por investigar o abuso de ferramentas de vigilância comercial na União Europeia. A análise forense do dispositivo confirmou as infecções, evidenciando um caso grave de uso de spyware contra um legislador encarregado justamente de fiscalizar esse tipo de tecnologia.
PamStealer: Novo Stealer para macOS se Passa por Gerenciador de Clipboard Legítimo
02/07/2026
Pesquisadores da Jamf Threat Labs identificaram um novo malware de roubo de informações para macOS chamado PamStealer. O malware é distribuído como um arquivo AppleScript compilado (.scpt) que se disfarça de Maccy, um gerenciador de área de transferência legítimo e open-source. O nome PamStealer deriva de sua capacidade de explorar o PAM (Pluggable Authentication Modules) do macOS para roubar senhas de login. O ataque utiliza sites falsos que imitam o projeto Maccy para enganar as vítimas e infectar seus sistemas, exfiltrando dados sensíveis dos dispositivos comprometidos.
Google Desmantela Rede de Proxy Residencial NetNut com 2 Milhões de Dispositivos
02/07/2026
O Google, em parceria com o FBI, Lumen e outras organizações, degradou significativamente a rede NetNut (também rastreada como ‘Popa’), uma das maiores redes de proxy residencial do mundo. A rede utilizava dispositivos domésticos comprometidos como relés para tráfego de terceiros, chegando a abranger milhões de dispositivos. A ação foi conduzida pelo Google Threat Intelligence Group (GTIG) e resultou na redução expressiva do pool de dispositivos utilizáveis pela rede.


Seja o primeiro a comentar