Brecha no EngageLab SDK permitia bypass do sandbox e acesso a dados privados, afetando apps de crypto com mais de 30 milhões de instalações; versão corrigida já foi liberada.

Vulnerabilidade critical CVE-2026-39987 permitiu RCE sem auth e foi explorada em menos de 10 horas após a divulgação, com acesso a shell e tentativa de roubo de credenciais via /terminal/ws.

Hackers hijacked o update system do plugin no WordPress e Joomla, inseriram backdoors e um hidden admin, além de roubar dados; a vendor recomenda atualizar para 3.5.1.36 e revisar o site.

Nova PhaaS usa QR code, AiTM e device-code flow para roubar credenciais e session token de CEOs, CFOs e VPs, burlando MFA e filtros com páginas e logs ofuscados.

O Google ativou o DBSC no Windows, vinculando session cookies ao hardware via TPM para impedir roubo e uso indevido. No macOS, a defesa chegará em uma atualização futura.

Empresa holandesa de EHR tirou website e serviços digitais do ar após ataque; Z-CERT investiga impacto, enquanto hospitais reportam indisponibilidade em HiX, Zorgportaal e HiX Mobile.

Grupo usa phishing e AiTM para roubar tokens do Microsoft 365, burlar MFA e alterar dados de direct deposit em contas de payroll, desviando pagamentos via Workday e outras plataformas.

Campanha hack-for-hire com links à Índia usou spear-phishing e fake pages para roubar contas Apple e Google de alvos no MENA, com possível entrega de spyware Android e acesso persistente.

Campanha usa sites falsos da Apple e ClickFix para executar curl | zsh, baixar AMOS e roubar Keychain, passwords, cookies e dados de carteiras cripto.

a empresa vai liberar patch para iOS 18 contra o exploit DarkSword, permitindo correção sem upgrade para iOS 26 e mirando usuários que evitam a nova versão.

novo botnet DDoS usa Telegram, infecta IoT, oculta comandos com XOR e evita alvos sensíveis; a campanha mira roteadores, câmeras e gateways, com tráfego vindo sobretudo do Vietnam.

ataque expôs dados de 308 mil clientes após breach em 2025. Informações como nome, passaporte e contato foram afetadas; empresa alerta para phishing, scams e troca de senhas.

A ameaça usa social engineering, phishing e fake updates para invadir empresas, roubar dados e extorquir vítimas, contornando MFA com kits maliciosos e domínios spoofed; Google recomenda FIDO2 e monitoramento contínuo.

Hackers invadiram sistemas da rede de Bitcoin ATM e roubaram mais de 50 Bitcoin de wallets corporativas; a empresa diz que o incidente ficou restrito ao ambiente interno e acionou autoridades.

A empresa bloqueou maintainer de projetos como WireGuard e VeraCrypt, impedindo builds e security patches no Windows; Microsoft diz que houve falha na verification obrigatória, mas crítica aponta falta de aviso e suporte.

Campanha usa SVG minúsculo para esconder skimmer, exibe overlay falso de checkout e exfiltra dados de pagamento; brecha PolyShell ainda não tem patch oficial em versões estáveis.

zero-day em PDF permite coleta de dados e pode abrir caminho para RCE e SBX, com uso de JavaScript obfuscado e engenharia social em campanhas ativas desde dezembro de 2025.

Pesquisadores acharam, com ajuda de Claude AI, uma falha CVE-2026-34197 em versões antes de 5.19.4 e de 6.0.0 a 6.2.3, capaz de executar commands arbitrários via Jolokia e XML remoto.

Operação internacional desativou campanha da APT28 que sequestrava DNS em routers MikroTik e TP-Link para capturar logins e OAuth tokens da Microsoft, afetando 18 mil dispositivos em 120 países.

Brecha em provedor de integração roubou tokens e afetou dezenas de empresas, com foco em Snowflake; ShinyHunters assumiu a autoria e tenta extorsão, enquanto Salesforce detectou a investida a tempo.