O FBI emitiu um alerta sobre o uso de QR codes maliciosos pelo grupo norte‑coreano Kimsuky para campanhas de spearphishing que visam organizações nos EUA. O aviso descreve o vetor, mas não fornece indicadores técnicos completos nem métricas de alcance.
Relatos do BleepingComputer indicam que vários modelos de switches Cisco estão entrando em reboot em loop após registrar erros fatais do cliente DNS. A matéria não detalha modelos ou versões afetadas; não há advisory público da Cisco no conteúdo acessível. Equipes de rede devem coletar logs, isolar equipamentos e abrir chamado ao TAC.
Pesquisa descreve campanha chamada Boto Cor‑de‑Rosa que usa WhatsApp para propagar o trojan bancário Astaroth no Brasil; o malware obtém contatos e envia mensagens maliciosas, mas o relatório acessado não traz IoCs ou estimativa de alcance.
Guia prático com camadas de proteção para reduzir fraudes de pagamento e 'friendly fraud' em e‑commerce: bloqueio de bots, filtro de risco no checkout, verificações step‑up, 3D Secure seletivo, alertas de disputa e gestão de evidências.
Campanha de phishing se passando por DocuSign direciona vítimas a páginas com código de acesso e lures que carregam loaders PowerShell codificados. O malware descriptografa o payload em memória, injeta em processos confiáveis e cria persistência via Run/task agendada.
CrowdStrike vai adquirir a SGNL por US$740 milhões em dinheiro para integrar capacidades de "continuous identity" ao Falcon. A compra visa conectar sinais de endpoint e análise de sessão em tempo real; termos técnicos e roadmap de integração não foram detalhados na matéria.
GreyNoise contabiliza mais de 8,1 milhões de sessões explorando o React2Shell (CVE-2025-55182). A exploração usa infraestrutura em cloud, AMSI bypass e centenas de milhares de sessões diárias; defesa requer patch imediato, monitoramento de PowerShell e bloqueio dinâmico.
Relatório da Cisco Talos descreve a operação do grupo UAT-7290 contra operadoras de telecomunicações no Sul da Ásia, usando um conjunto modular para Linux (RushDrop, DriveSwitch, SilentRaid). Atores ampliaram alcance ao Sudeste da Europa; recomendações incluem hardening de borda, monitoramento DNS e análise de persistência.
Microsoft lança ferramenta nativa no Microsoft 365 Admin Center para migrar canais do Slack para o Teams. O fluxo usa export ZIP no Azure Blob com URL SAS; preview começou em dezembro de 2025 e GA será entre janeiro e março de 2026.
Relatos públicos apontam que as falhas ShadowLeak e ZombieAgent permitiam exfiltrar dados de serviços conectados ao ChatGPT (Gmail, Outlook, GitHub, Google Drive) explorando Connectors e Memory. A Radware reportou os vetores; OpenAI aplicou correções em 2025.
Microsoft anuncia enforcement de MFA para acessos ao Microsoft 365 Admin Center a partir de 9 de fevereiro de 2026. A medida afeta portais administrativos e pode bloquear logins de administradores sem MFA configurado, segundo a empresa.
Gendigital detalha AuraStealer: infostealer entregue via cracks e campanhas em redes sociais, vendido por assinatura (US$295–585/mês). Usa geofencing, detecção de VM, obfuscação de fluxo e outros mecanismos anti‑análise; rouba dados de navegadores, carteiras e tokens. Indicadores e mitigação são possíveis via EDR e políticas de execução.
CVE‑2026‑20029 permite que administradores autenticados no Cisco ISE enviem XML malicioso para ler arquivos arbitrários do sistema. PoC público existe; Cisco publicou patches (3.2 Patch 8, 3.3 Patch 8, 3.4 Patch 4). A recomendação é aplicar correções ou isolar interfaces administrativas imediatamente.
Duas falhas em Snort 3 (CVE‑2026‑20026 e CVE‑2026‑20027) permitem negação de serviço e vazamento de dados na engine de detecção da Cisco. Affects Secure FTD 7.0.0+ e Meraki; Cisco lançou Snort 3.9.6.0 e hotfixes. Recomenda‑se aplicar atualizações e monitorar reinicializações anômalas.
Pesquisadores documentaram o ConsentFix: ataque OAuth que usa fluxos legítimos do Microsoft Entra para extrair códigos de autorização expostos em páginas de erro e permitir que invasores resgatem tokens, contornando Conditional Access. A detecção depende de correlação entre sign‑ins interativos e não interativos na janela de validade do código (~10 minutos).