Uma vulnerabilidade crítica em FortiWeb está sendo explorada em ambiente real para criar contas administrativas sem autenticação; testes mostram que FortiWeb 8.0.1 é afetado enquanto 8.0.2 rejeita o PoC, e Fortinet não havia divulgado um aviso oficial até 13/11/2025.
A campanha ClickFix induz vítimas a colar comandos em terminais, distribuindo infostealers distintos por plataforma: ACR em Windows e Odyssey em macOS. A técnica, identificada pela Intel471, usa páginas hospedadas em serviços de cloud para evitar bloqueio e executa payloads em memória, dificultando detecção tradicional.
Grupo Kraken, ativo desde agosto de 2025, opera um ransomware cross‑platform com builds para Windows, Linux e VMware ESXi, utilizando RSA‑4096 e ChaCha20, túneis reversos (Cloudflared) e técnicas de double‑extortion; Cisco Talos e outras análises documentam a cadeia de ataque e a capacidade de comprometer ambientes virtualizados.
Pesquisa citada pelo The Hacker News e atribuída ao pesquisador do Netcraft Andrew Brandt aponta que um ator de fala russa registrou mais de 4.300 domínios falsos usados para criar sites de viagens destinados a capturar dados de pagamento de hóspedes de hotéis. A campanha usa e-mails de spam para direcionar vítimas, mas fontes não detalham número de vítimas ou técnicas de infraestrutura.
O Google entrou com ação judicial contra o kit Lighthouse, que teria facilitado campanhas de smishing infectando mais de 1 milhão de pessoas em 120+ países. A empresa identificou 107 modelos de páginas fraudulentas e cita roubo estimado entre 12,7M e 115M de cartões nos EUA; medidas legais e técnicas foram anunciadas.
Análise da ANY.RUN mostra uma campanha que esconde loaders AES/Base64 dentro de PNGs (Vile.png, Mands.png) e usa um PowerShell em duas etapas para carregar XWorm em memória. O dropper JavaScript (PurchaseOrder_25005092.JS) também cria persistência via tarefa agendada; a técnica dificulta detecção por assinaturas.
Pesquisa da ASEC identifica campanha que usa páginas de download falsas para instalar versões manipuladas de LogMeIn Resolve e PDQ Connect e distribuir o backdoor PatoRAT. A campanha emprega instaladores com nomes enganosos e company IDs embutidos e permite execução remota via PowerShell; PatoRAT contém strings em português e armazena configuração cifrada por XOR (0xAA).
Uma extensão maliciosa chamada "Safery: Ethereum Wallet" publicada na Chrome Web Store captura seed phrases de carteiras Ethereum para exfiltração. Pesquisadores alertam para remoção imediata e recomendam uso de hardware wallets para proteção de chaves privadas.
GitLab lançou atualizações (18.5.2, 18.4.4, 18.3.6) para corrigir múltiplas vulnerabilidades, incluindo uma falha de prompt injection no GitLab Duo que pode induzir vazamento de dados de issues confidenciais. Instalações self-managed devem priorizar o upgrade.
Pesquisa aponta dezenas de milhares de pacotes NPM maliciosos que distribuem um worm autorreplicante; sinais no código e nomes aleatórios sugerem um ator indonésio. A cobertura recomenda auditoria de dependências, uso de registries privados e restrições em pipelines CI/CD.
O NHS investiga uma listagem do grupo Cl0p que o associa a uma campanha explorando CVE-2025-61882 contra Oracle E-Business Suite. Oracle liberou patches em setembro; o NHS afirma que nenhum dado foi publicado até o momento e trabalha com o NCSC na apuração.
Pesquisas recentes destacam movimentação intensa das famílias de trojans bancários Coyote e Maverick direcionadas ao Brasil. Maverick, em particular, contém lógica que o faz se auto-terminar quando detecta usuários fora do país, evidenciando um foco geográfico nas campanhas que usam phishing e aplicativos falsos para roubo de credenciais e tokens.
A Synnovis confirmou que informações de pacientes foram roubadas durante um ataque de ransomware que interrompeu serviços de patologia em vários hospitais de Londres; fontes não quantificam o volume de dados nem detalham o vetor de intrusão.
CVE-2025-4619 no PAN‑OS permite que pacotes maliciosos provoquem reinicialização remota de firewalls (PA‑Series, VM‑Series, Prisma Access). Versões afetadas: PAN‑OS 10.2 (<=10.2.13), 11.1 (<=11.1.6) e 11.2 (<=11.2.4). Palo Alto recomenda atualização imediata; não há workarounds conhecidos.
CVE-2025-9242, uma vulnerabilidade crítica em appliances WatchGuard Firebox com CVSS 9.3, está sendo explorada ativamente. A falha permite execução remota de código sem autenticação; fontes não detalham modelos/versões ou IOCs, e recomendam consulta ao advisory oficial.