Autoridades dos EUA anunciaram a derrubada de uma operação que usava anúncios fraudulentos em buscadores para imitar bancos e roubar credenciais, arrecadando pelo menos US$ 14,6 milhões. O comunicado não detalhou número de vítimas, agências responsáveis ou se houve recuperação de fundos.
A Microsoft ativará por padrão, a partir de janeiro, recursos de segurança de mensagens no Teams para mitigar conteúdo identificado como malicioso, informa o BleepingComputer. O relatório não detalha controles específicos nem apresenta instruções oficiais de rollout; administradores devem aguardar documentação da Microsoft para orientar a implementação.
Pesquisadores da Picus Security relataram o HardBit 4.0, que usa força bruta em RDP/SMB e o dropper Neshta para entregar e persistir o ransomware. A variante altera o Registro para desativar proteções do Windows Defender, usa ofuscação e exige uma passphrase em tempo de execução; recomendações incluem monitorar RDP/SMB e manter backups isolados.
ServiceNow anunciou a aquisição da Armis por US$ 7,75 bilhões em dinheiro, segundo o SecurityWeek. O negócio foi confirmado após rumores e vem semanas depois de a Armis ter levantado US$ 435 milhões; detalhes sobre cronograma, integrações e impactos operacionais não foram divulgados na matéria.
PoC e módulo Metasploit para CVE‑2025‑37164 tornam crítica a correção em HPE OneView (< 11.0). Falha no endpoint id‑pools permite execução de comandos sem autenticação; HPE liberou hotfix—implemente imediatamente e isole consoles.
Kaspersky detalha metodologia para avaliar eficácia de SIEMs: problemas comuns incluem inventário de fontes desatualizado, coletores inativos, normalização frágil e baixa cobertura de regras. Recomenda‑se auditoria contínua e integração com TI.
ESET revisita CVE‑2025‑50165 no Windows Imaging Component: apesar da gravidade, exploração exige condições específicas (re‑encodificação de JPEG 12/16‑bit e leakage), reduzindo probabilidade de ataque em massa; Microsoft lançou correções.
Campanha 'Operation Artemis' usa documentos HWP e impersona roteiristas de emissoras sul‑coreanas para distribuir malware via DLL side‑loading. Forense aponta RoKRAT e infraestrutura de C2 em Yandex Cloud; detecção exige EDR comportamental.
Baker University confirmou um acesso não autorizado ocorrido há cerca de um ano que resultou na exfiltração de informações pessoais, de saúde e financeiras de mais de 53.000 pessoas. A matéria não detalha vetores, cronologia completa ou medidas mitigatórias adotadas.
Pesquisador liberou GhostLocker, ferramenta que usa políticas do AppLocker para bloquear serviços userland de EDRs, deixando apenas drivers em kernel ativos e comprometendo a análise. Relatos apontam neutralização em testes contra produtos comerciais; não há indicação de exploração em massa.
A autoridade antitruste da Itália multou a Apple em US$116 milhões por entender que a ativação de um recurso de privacidade restringia a concorrência na App Store. A Apple anunciou que recorrerá; detalhes sobre o recurso e exigências corretivas não foram divulgados na matéria.
Kaspersky descreve campanha que distribui o trojan Webrat via repositórios GitHub disfarçados como PoCs/exploits (incluindo CVE‑2025‑10294 e CVE‑2025‑59295). O ZIP analisado continha um executável malicioso que eleva privilégios, desativa Defender e baixa o Webrat; o malware rouba credenciais, carteiras e possui capacidades de spyware. Recomenda‑se análise de PoCs em VMs isoladas e bloqueio de domínios/URLs observados.
Analistas da Ontinue identificaram atacantes reaproveitando o agente legítimo Nezha (ferramenta de monitoramento open‑source) para operar como RAT, comprometendo centenas de endpoints. O agente roda com privilégios elevados (SYSTEM/root) e binário legítimo obteve zero detecções em 72 vendors no VirusTotal. O script de implantação apontava para C2 na Alibaba Cloud (IP 47.79.42.91). Recomendações: caçar presença de Nezha, isolar dashboards e checar
Pesquisadores identificaram duas extensões Chrome chamadas "Phantom Shuttle" que funcionam como VPNs/proxies, mas interceptam tráfego HTTP e exfiltram credenciais (hardcoded: topfany:963852wei) para phantomshuttle.space. As extensões estão ativas desde 2017 e somam mais de 2.180 instalações; Socket.dev solicitou o takedown na Chrome Web Store. Recomendações incluem desinstalar, trocar senhas e aplicar políticas de whitelist para extensões.
Análise da Koi revela pacote npm 'lotusbail' com >56k downloads que exfiltra chaves de sessão, mensagens e mídia do WhatsApp ao disfarçar‑se como fork da biblioteca baileys. O pacote usava múltiplas camadas de ofuscação e persistência.