Nossos especialistas descobriram um ataque à cadeia de suprimentos em grande escala via DAEMON Tools – software para emulação de unidades ópticas. Os invasores conseguiram injetar código malicioso nos instaladores do software, e todos os arquivos executáveis trojanizados estão assinados com uma assinatura digital válida da AVB Disc Soft – a desenvolvedora do DAEMON Tools. A versão maliciosa do programa está em circulação desde 8 de abril de 2026. No momento da redação deste artigo, o ataque ainda está em andamento. Os pesquisadores da Kaspersky acreditam que se trata de um ataque direcionado.

Quais são os riscos de instalar a versão maliciosa do DAEMON Tools?

Depois que o software infectado com trojan é instalado no computador da vítima, um arquivo malicioso é executado toda vez que o sistema é inicializado – enviando uma solicitação a um servidor de comando e controle. Em resposta, o servidor pode enviar um comando para baixar e executar cargas maliciosas adicionais.

Primeiro, os invasores implantam um coletor de informações que reúne o endereço MAC, o nome do host, o nome de domínio DNS, listas de processos em execução e de softwares instalados, além das configurações de idioma. O malware então envia essas informações para o servidor de comando e controle.

Em alguns casos, em resposta às informações coletadas, o servidor de comando envia um backdoor minimalista para a máquina da vítima. Ele é capaz de baixar cargas maliciosas adicionais, executar comandos de shell e rodar módulos de shellcode na memória.

O backdoor pode ser usado para implantar um implantado mais sofisticado chamado QUIC RAT. Ele suporta vários protocolos de comunicação com o servidor de comando e controle e é capaz de injetar cargas maliciosas nos processos notepad.exe e conhost.exe.

Informações técnicas mais detalhadas, juntamente com indicadores de comprometimento, podem ser encontradas no artigo dos especialistas no blog Securelist.

Quem está sendo alvo?

Desde o início de abril, foram detectadas várias milhares de tentativas de instalar cargas maliciosas adicionais por meio do software DAEMON Tools infectado. A maioria dos dispositivos infectados pertencia a usuários domésticos, mas aproximadamente 10% das tentativas de instalação foram detectadas em sistemas em execução em organizações. Geograficamente, as vítimas estavam espalhadas por cerca de cem países e territórios diferentes. A maioria das vítimas estava localizada na Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China.

Na maioria das vezes, o ataque se limitava à instalação de um coletor de informações. O backdoor infectou apenas uma dúzia de máquinas em organizações governamentais, científicas e de manufatura, bem como em empresas de varejo na Rússia, Bielorrússia e Tailândia.

O que exatamente foi infectado

O código malicioso foi detectado nas versões do DAEMON Tools que vão da 12.5.0.2421 à 12.5.0.2434. Os invasores comprometeram os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe, que estão instalados no diretório principal do DAEMON Tools.

Como se proteger?

Se o software DAEMON Tools for utilizado no seu computador (ou em qualquer outro local da sua organização), nossos especialistas recomendam verificar minuciosamente os computadores nos quais ele está instalado em busca de qualquer atividade incomum a partir de 8 de abril.

Além disso, recomendamos o uso de soluções de segurança confiáveis em todos os computadores domésticos e corporativos usados para acessar a internet. Nossas soluções protegem com sucesso os usuários contra todos os malwares usados no ataque à cadeia de suprimentos via DAEMON Tools.

Muitas pessoas veem a telemedicina como uma das maiores conquistas do avanço científico: é possível, basicamente, ter uma consulta médica em cinco minutos, sem sair do sofá. Mas há um porém…

Dados médicos são vendidos na dark web ou em mercados ilegais por valores dezenas de vezes superiores aos de informações de cartão de crédito ou credenciais de redes sociais. Diferentemente de um cartão de crédito, que pode ser bloqueado e substituído, não é possível “reiniciar” seu histórico médico. Seu nome, data de nascimento, endereço, telefone, número do plano de saúde, diagnósticos, resultados de exames, prescrições e planos de tratamento permanecem relevantes por anos. Isso representa uma verdadeira mina de ouro para usos que vão desde marketing direcionado até chantagem, fraude ou roubo de identidade.

E, com o avanço da IA, a Internet está agora repleta de sites falsos que alegam oferecer serviços médicos, mas que, na verdade, são projetados para extrair dados confidenciais de vítimas desavisadas. Hoje, vamos explorar quais informações médicas estão em risco, por que invasores desejam esses dados e como você pode impedir esse tipo de ameaça.

Mais valiosos do que dados de cartões de crédito

Criminosos monetizam dados médicos roubados tanto em grande escala quanto por meio de vendas individuais. A primeira ação geralmente é exigir pagamento de resgate das organizações invadidas. (De fato, em 2024, 91% dos vazamentos de dados de saúde relacionados a malware nos Estados Unidos foram resultado de ataques de ransomware). Posteriormente, os dados vazados passam a ser utilizados em ataques direcionados e personalizados. Eles permitem que invasores construam um perfil médico da vítima (quais medicamentos ela compra, com que frequência e quais utiliza de forma contínua) para, então, vender essas informações para a indústria farmacêutica ou para profissionais de marketing, ou utilizá-las em golpes de phishing direcionado, como a oferta de um suposto tratamento inovador. Os criminosos também podem chantagear pacientes com base em diagnósticos sensíveis ou usar essas informações para obter prescrições de substâncias controladas de forma fraudulenta. Além disso, seguradoras também têm grande interesse nesses dados. Essas empresas analisam tais informações para aumentar o valor dos prêmios de seguro de saúde ou, em alguns casos, até negar cobertura. Em resumo, existem inúmeras formas de usar esses dados contra você.

Qual é gravidade disso tudo na prática?

O maior vazamento de dados médicos da história aconteceu em fevereiro de 2024, quando o grupo de hackers BlackCat invadiu os sistemas da empresa de assistência médica Change Healthcare. A empresa é uma divisão do UnitedHealth Group, responsável por processar cerca de 15 bilhões de transações de seguros por ano e atuar como intermediária financeira entre pacientes, prestadores de serviços de saúde e seguradoras.

Durante nove dias, os invasores circularam livremente pelos sistemas internos da Change Healthcare, extraindo seis terabytes de dados confidenciais antes de, finalmente, executar o ataque de ransomware. Para conter a propagação do malware, a UnitedHealth precisou tirar completamente do ar os data centers da Change Healthcare e acabou pagando um resgate de 22 milhões de dólares aos criminosos. O ataque praticamente paralisou o sistema de saúde dos Estados Unidos. O número de vítimas foi revisado três vezes: inicialmente 100 milhões, depois 190 milhões, até chegar ao total final de impressionantes 192,7 milhões de pessoas, com prejuízos estimados em 2,9 bilhões de dólares. E a causa (do lado da Change Healthcare) desse incidente de grandes proporções, que analisamos em detalhe em outro conteúdo, foi simplesmente… a ausência de autenticação em dois fatores em um portal de acesso remoto via desktop.

Antes disso, a startup de telemedicina em saúde mental Cerebral incorporou ferramentas de rastreamento de terceiros diretamente em seu site e aplicativos. Como resultado, os dados de 3,2 milhões de pacientes (incluindo nomes, históricos médicos e de prescrições, além de informações de seguro) foram compartilhados com plataformas como LinkedIn, Snapchat e TikTok. A Comissão Federal de Comércio dos Estados Unidos aplicou à empresa uma multa de 7,1 milhões de dólares e impôs uma medida inédita: a proibição do uso de dados médicos para fins publicitários. Vale mencionar que a mesma startup também ganhou destaque negativo ao enviar aos clientes cartões promocionais sem envelope, expondo nomes e mensagens que facilitavam a identificação do diagnóstico por qualquer pessoa.

Por que a telemedicina é tão vulnerável

Vamos analisar os principais pontos de fragilidade dos serviços de telemedicina.

• Rastreadores de anúncios em aplicativos de saúde. Ferramentas de rastreamento de empresas como Facebook, TikTok e Snapchat frequentemente já vêm integradas às plataformas de telemedicina, permitindo o compartilhamento de dados dos pacientes com anunciantes sem que os usuários tenham conhecimento.
• Canais de comunicação não seguros. Em alguns casos, médicos se comunicam com pacientes por meio de aplicativos de mensagens comuns, em vez de plataformas médicas certificadas. Embora seja prático, isso pode ser ilegal para a clínica e totalmente inseguro para o paciente.
• Vulnerabilidades nas plataformas. Plataformas de telemedicina estão sujeitas a ataques clássicos da Web, como injeção de SQL (que permite a extração de bancos de dados completos de pacientes), sequestro de sessão e interceptação de dados quando a criptografia da conexão é fraca ou inexistente.
• Treinamento insuficiente das equipes. Nossas pesquisas indicam que 30% dos médicos já lidaram com comprometimento de dados de pacientes especificamente durante atendimentos por telemedicina, e 42% dos profissionais de saúde não compreendem plenamente como os dados dos pacientes são protegidos.
• Dispositivos médicos desatualizados. Muitos dispositivos médicos vestíveis (como monitores cardíacos ou medidores de pressão arterial) utilizam um protocolo de transmissão de dados antigo chamado MQTT. Esse protocolo apresenta vulnerabilidades que podem permitir a invasores acessar informações sensíveis ou até interferir no funcionamento dos dispositivos.

Spam e phishing na telemedicina

Invasores não são os únicos interessados na área da saúde já que spammers e golpistas também atuam fortemente nesse segmento. Eles oferecem “serviços médicos” com promessas boas demais para serem verdade, enviam e-mails sobre supostas mudanças no seu plano de saúde ou divulgam “tratamentos milenares do Himalaia”. Naturalmente, todos os links enviados levam a sites suspeitos, que oferecem produtos ou serviços duvidosos.

Se você acabar acessando um site de phishing como esses, os golpistas vão tentar extrair o máximo possível de dados pessoais: fotos de documentos, apólice do seguro, prescrições médicas e, em alguns casos… até imagens de partes do corpo sob o pretexto de avaliação clínica. A partir daí, essas informações podem ser vendidas na dark web ou usadas em esquemas de chantagem, extorsão e novos ataques de phishing. Para entender melhor como funciona essa cadeia clandestina de dados, vale explorar o conteúdo: O que acontece com os dados roubados por meio de phishing?

Como regra geral, sites de clínicas falsas costumam omitir a seção de política de privacidade e bombardear você com ofertas “somente hoje” que parecem boas demais para ser verdade. Ao mesmo tempo, com o avanço da IA, criar um site com aparência profissional, praticamente indistinguível de um legítimo, se tornou extremamente fácil. Já não é necessário ter habilidades de design nem domínio do idioma da vítima. Por isso, recomendamos a utilização da nossa solução de segurança completa, que foi projetada para detectar spam, golpes e phishing e alertar você sobre sites falsos antes mesmo de acessá-los.

Dicas de segurança para pacientes de telemedicina

• Crie um e-mail exclusivo para serviços de saúde. Se esse endereço vazar após um incidente de segurança em uma clínica, fica muito mais difícil para golpistas conectarem essas informações ao restante da sua vida digital.
• Evite usar login com Google, Apple ou redes sociais. Manter os acessos separados dificulta a associação entre seus dados médicos e suas contas pessoais.
• Verifique qual plataforma será usada na consulta. Se a clínica sugerir uma ligação ou conversa por aplicativos de mensagens comuns, desconfie. O mais seguro é utilizar um portal do paciente oficial, com comunicação criptografada.
• Nunca envie documentos médicos por aplicativos de mensagem ou redes sociais. Resultados de exames, laudos e prontuários devem ser enviados exclusivamente pelo portal oficial da clínica.
• Use senhas únicas e fortes para cada conta. Seu acesso ao portal governamental, ao sistema da clínica e ao aplicativo de agendamento médico deve ter senhas diferentes. O Kaspersky Password Manager pode gerar e armazenar todas elas com segurança, além de monitorar vazamentos de dados e alertar caso alguma de suas contas seja comprometida.
• Ative a autenticação em dois fatores. Priorize serviços governamentais e instituições de saúde. Recomendamos o uso de aplicativos autenticadores em vez de códigos por SMS, pois são mais seguros e totalmente anônimos. O Kaspersky Password Manager pode ajudar nesse processo.
• Compartilhe apenas o necessário. Não se sinta obrigado a preencher todos os campos opcionais em aplicativos médicos ou em sites. Quanto menos dados um serviço armazenar, menor será o vazamento.
• Tenha cuidado ao compartilhar informações de saúde nas mídias sociais ou em aplicativos de bate-papo. Os golpistas adoram explorar as pessoas quando elas estão vulneráveis. Por exemplo, em 2024, invasores conquistaram a confiança do desenvolvedor do XZ Utils, que havia compartilhado publicamente questões de esgotamento e depressão. Eles o convenceram a ceder o controle da ferramenta, que depois foi comprometida com código malicioso. Como o XZ Utils é amplamente utilizado em sistemas Linux e impacta o OpenSSH (um protocolo de acesso remoto a servidores), o ataque poderia ter afetado uma parcela significativa da Internet se não tivesse sido detectado a tempo.
• Não instale aplicativos de telemedicina de desenvolvedores desconhecidos. Verifique as avaliações e dedique um momento para revisar a política de privacidade. Até mesmo plataformas consolidadas podem compartilhar seus dados com terceiros.
• Acompanhe seus registros médicos. Prescrições incomuns, consultas que você não realizou ou medicamentos desconhecidos podem ser sinais de que sua conta foi comprometida.
• Configure e mantenha atualizados seus dispositivos de saúde. Monitores de atividade física, medidores de pressão arterial, balanças inteligentes e outros dispositivos de monitoramento de atividades enviam dados pela Internet. Configurações inadequadas ou vulnerabilidades não corrigidas facilitam a ocorrência de vazamentos de dados.

O que mais você precisa saber sobre como proteger sua saúde on-line:

• Vazamento de dados mentais: vulnerabilidades em aplicativos de saúde mental
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso
• Interações com bots podem resultar em tragédias
• Privacidade em aplicativos de saúde reprodutiva
• Cinco problemas da “telessaúde”

O BTS, um fenômeno global do K-pop, retornou aos palcos recentemente após um hiato de quase quatro anos: os membros do grupo estavam cumprindo o serviço militar obrigatório na Coreia do Sul. Por esse motivo, não é surpresa que os cibercriminosos tenham se aproveitado da tão esperada turnê mundial da banda, ARIRANG, para lançar uma campanha de sites falsos visando fãs ansiosos pela compra de ingressos.

Identificamos pelo menos 10 domínios fraudulentos que imitam as páginas oficiais de pré-venda para os shows da banda no Brasil, França, Espanha, Portugal, Argentina, México, Peru, Chile e Colômbia, todos criados no início de abril. Neste artigo, explicamos exatamente como os golpistas operam e como evitar a compra de ingressos falsos.

Como funciona o golpe dos ingressos falsos

Devido à alta demanda por ingressos para a turnê mundial, alguns dos organizadores do evento prepararam medidas adicionais para garantir que não haja cambistas. No Brasil, os serviços de venda de ingressos adotaram um formato de “pré-reserva”: o usuário primeiro faz uma reserva online e depois paga pessoalmente na bilheteria. Embora justificada, a mudança causou confusão entre os fãs e criou uma oportunidade para que criminosos cometessem fraudes.

Os golpistas criam páginas quase idênticas às oficiais, replicando o layout, o design e todo o processo de compra – para usuários comuns, a experiência parece totalmente legítima. Os links para esses sites estão circulando nas redes sociais, principalmente no Instagram.

No Brasil, as vítimas são solicitadas a efetuar pagamentos via PIX, o sistema de pagamentos instantâneos operado pelo Banco Central do Brasil. Em alguns casos, os sites chegam a simular uma opção de pagamento com cartão, mas alegam alta demanda ou erros no sistema para pressionar os usuários a escolherem o PIX. Os pagamentos via PIX são então direcionados para contas laranja, dificultando a recuperação dos fundos.

Esse golpe é um exemplo perfeito de como funciona a engenharia social. Ele se aproveita de uma base de fãs enorme e altamente engajada, levando muitos usuários a agir de forma impulsiva. Os falsos “erros” que o site exibe durante o pagamento criam uma sensação de urgência e causam pânico – golpistas sabem muito bem com que rapidez os ingressos do BTS se esgotam. Além disso, as dúvidas sobre o novo sistema de compra estabelecido pelos organizadores do evento ajudam os criminosos a tornar os sites falsos ainda mais convincentes.

Como se proteger contra golpes de ingressos

Para realmente conseguir ingressos para o show do seu grupo favorito – e não cair vítima de golpistas –, é importante ter em mente estas regras básicas de segurança cibernética:

• Acesse apenas serviços oficiais de venda de ingressos, que você pode encontrar na página oficial dedicada à turnê do BTS. Digite o endereço do site diretamente no seu navegador e evite links recebidos por mensagens, redes sociais ou e-mail.
• Verifique o domínio com cuidado. Pequenas alterações no endereço geralmente indicam fraude. Isso inclui traços adicionais, domínios territoriais incomuns e alterações imperceptíveis, como substituir o “l” minúsculo pelo “I” maiúsculo.
• Verifique se o site possui páginas de Política de Privacidade e Termos de Uso. Se elas estiverem faltando, você definitivamente está visitando um site falso. Mas lembre-se: a presença dessas páginas não garante que o site seja legítimo. Com a IA moderna, gerar essas páginas leva apenas alguns segundos.
• Verifique cuidadosamente o formato de venda para cada país. No Brasil, o pagamento só deve ser feito pessoalmente, portanto, qualquer solicitação de pagamento online durante a pré-venda é um forte indício de golpe. Outros países e organizadores de eventos podem oferecer pagamentos online.
• Se você foi vítima de um golpe, entre em contato imediatamente com seu banco. Se você forneceu informações do cartão de crédito aos criminosos, deve solicitar a reemissão do cartão para evitar novos pagamentos não autorizados.
• Ative os alertas bancários. Notificações em tempo real permitem que você identifique rapidamente transações suspeitas.
• Use uma proteção de segurança cibernética que detecta e bloqueia automaticamente sites fraudulentos. Kaspersky Premium, nossa solução robusta de segurança cibernética, também bloqueia tentativas de phishing, protege seus dados pessoais e ajuda a proteger sua identidade.
• Cuidado com ingressos “gratuitos” ou com “desconto“. No fim das contas, não existe almoço grátis – especialmente quando se trata de grupos musicais mundialmente famosos.

Mais sobre golpes:

• Phishing e spam: as campanhas mais ousadas de 2025
• Como phishers e golpistas usam IA
• Trojan para Android que simula serviços governamentais e aplicativos da Starlink
• Mais 8 dicas para identificar golpistas online
• Conheça cinco sinais de alerta de golpes online

Milhões de pipelines de desenvolvimento de software automatizados dependem de ferramentas de segurança, como Trivy e Checkmarx AST, integradas ao processo de compilação. E foram essas soluções confiáveis que recentemente se tornaram o ponto de entrada para um dos maiores e mais perigosos ataques contra a cadeia de suprimentos da história moderna. Nesta postagem, discutiremos como auditar os fluxos de trabalho automatizados e como proteger a infraestrutura de nuvem corporativa.

Linha do tempo do ataque e as consequências conhecidas

Em 19 de março, um ataque direcionado e bem-sucedido contra a cadeia de suprimentos foi realizado por meio do Trivy, uma ferramenta de verificação de vulnerabilidades de código aberto amplamente usada em pipelines de CI/CD. Os invasores, um grupo conhecido como TeamPCP, conseguiram injetar malware nos fluxos de trabalho oficiais do GitHub Actions e nas imagens do Docker associadas ao Trivy. Com isso, cada verificação automatizada de pipeline feita acionou um malware que roubou chaves SSH, tokens de acesso à nuvem, carteiras de criptomoedas e outros dados valiosos dos sistemas comprometidos. Dada a natureza crítica do incidente, o identificador CVE-2026-33634 foi atribuído a ele, com uma pontuação CVSS4B, praticamente máxima, de 9,4.

Mais tarde, naquele mesmo dia, a equipe do Trivy detectou o ataque, removeu os artefatos maliciosos dos canais de distribuição e interrompeu aquela fase do ataque. No entanto, os invasores já tinham conseguido acessar os ambientes de muitos usuários do Trivy.

Em 23 de março, um incidente semelhante foi descoberto em outra ferramenta de segurança do aplicativo: um GitHub Action para Checkmarx KICS, e também, para Checkmarx AST. Três horas depois, o código malicioso foi então removido do ambiente. O TeamPCP também conseguiu comprometer as extensões do OpenVSX compatíveis com Checkmarx: cx-dev-assist 1.7.0 e ast-results. Os relatórios que indicam quando ocorreu o momento da resolução dessa parte do incidente variam.

Em 24 de março, um projeto popular que usa a verificação de código do Trivy (o gateway LiteLLM AI, que nada mais é do que uma biblioteca universal para acesso a vários provedores de LLM) foi atacado. As versões 1.82.7 e 1.82.8, carregadas no repositório PyPI, foram comprometidas. Essas versões ficaram disponíveis publicamente por cerca de cinco horas.

Mas o fato do ataque ter durado apenas algumas horas não é motivo para desconsiderar o evento. Dada a popularidade dos projetos afetados, o código malicioso pode ter sido executado milhares de vezes, inclusive dentro da infraestrutura de empresas muito grandes.

Isso permitiu que os invasores não só implementassem backdoors persistentes em clusters do Kubernetes, mas também iniciassem o CanisterWorm autorreplicante no ecossistema npm do JavaScript.

O código dos invasores tem recursos destrutivos que eliminam um cluster Kubernetes, e todos os seus nós, se o fuso horário de Teerã ou o farsi for detectado como idioma principal no sistema comprometido. Em outras regiões, o malware simplesmente rouba dados com o uso do CanisterWorm.

De acordo com especialistas, mais de 20 mil repositórios são considerados suscetíveis a ataques. Os invasores alegam ter roubado centenas de gigabytes de dados e mais de 500 mil contas.

Como o Trivy foi atacado

Para comprometer o Trivy, os invasores usaram as credenciais roubadas em um incidente anterior. O comprometimento anterior do Trivy, ocorrido no final de fevereiro, provavelmente não foi contido de forma plena, e os invasores, ou seja, o mesmo grupo TeamPCP, retornaram com um novo ataque. A Aqua Security, por meio de sua equipe de desenvolvedores do Trivy, especula que, como as credenciais estavam sendo eliminadas gradualmente após o incidente anterior, os invasores conseguiram gerar novos tokens de acesso para si mesmos antes que os antigos comprometidos fossem revogados.

Com isso, os invasores do grupo TeamPCP conseguiram comprometer o GitHub Actions usado em pipelines de CI/CD. Com o uso de credenciais com privilégios de gravação de tags, os invasores forçaram a substituição de 76 das 77 tags de versão no aquasecurity/trivy-action, além de todas as 7 tags no aquasecurity/setup-trivy, e redirecionaram as versões confiáveis existentes para as versões maliciosas. Essa tática de ataque se assemelha com as táticas observadas na campanha Shai-Hulud 2.0. Com isso, os fluxos de trabalho em todo o pipeline começaram a executar o código dos invasores, porém, os metadados da versão não mostravam as alterações visíveis.

Paralelamente a isso, os invasores publicaram um binário Trivy infectado (v0.69.4) nos canais de distribuição oficiais, inclusive com versões do GitHub e registros de contêiner.

Comprometimento da ferramenta LiteLLM

O comprometimento da popular ferramenta de acesso ao modelo de linguagem LiteLLM pode desencadear, por si só, uma grande onda de ataques em toda a cadeia de projetos que utiliza o recurso. O ataque ocorreu em 24 de março de 2026, quando os invasores do TeamPCP publicaram diretamente as versões maliciosas da biblioteca (1.82.7 e 1.82.8) no PyPI. Entre 10:39 UTC e 16:00 UTC, esses pacotes comprometidos continham malware que roubava credenciais. Ele foi integrado no arquivo proxy_server.py, e a versão 1.82.8 também continha um arquivo litellm_init malicioso. Os dados roubados foram exfiltrados para o servidor models.litellm[.]cloud.

Os clientes que usam o LiteLLM Cloud ou a imagem oficial do LiteLLM Proxy Docker não foram afetados devido ao bloqueio estrito da versão, enquanto os desenvolvedores e os projetos de downstream que instalaram as versões não fixadas pelo pip, durante a janela de tempo especificada, foram comprometidos.

Em três horas, os pacotes maliciosos foram removidos do repositório PyPI, e a equipe do LiteLLM suspendeu as novas versões, atualizou as credenciais e envolveu um processo externo de resposta a incidentes. As equipes que usam o LiteLLM em seus projetos são aconselhadas a verificar imediatamente o indicador de comprometimento litellm_init.pth e atualizar rotineiramente todos os segredos que possam estar comprometidos.

Recursos do malware TeamPCP Cloud Stealer

Os invasores adicionaram uma nova lógica ao GitHub Actions, ao executável do Trivy e preservaram a funcionalidade original. Os resultados da verificação de vulnerabilidades por meio do Trivy pareciam normais, mas, ao mesmo tempo, dados valiosos estavam sendo pesquisados e extraídos. O código malicioso atuava da seguinte maneira:

• realizando reconhecimento (coletando dados de rede e variáveis de ambiente);
• procurando tokens e credenciais para acessar ambientes de nuvem AWS e GCP;
• verificando a memória (/proc/*/mem ) para extrair segredos armazenados na memória dos processos Runner.Worker e Runner.Listener;
• extraindo segredos do Kubernetes (/run/secrets/kubernetes.io/serviceaccount);
• coletando dados para conexão com servidores de banco de dados (MySQL, PostgreSQL, MongoDB, Redis, Vault);
• coletando quaisquer outras chaves e segredos de API de arquivos de ambiente e arquivos de configuração de CI/CD (.env, .json, .yml);
• pesquisando webhooks para canais Slack e Discord;
• procurando dados relativos às carteiras de criptomoedas (variáveis relativas ao blockchain Solana, além de dados rpcuser e rpcpassword).

Os dados coletados foram criptografados e carregados em um servidor com um nome semelhante ao dos desenvolvedores do Trivy (scan.aquasecurtiy[.]org). Como se fosse um mecanismo de backup, os invasores forneceram um método para carregar os dados em um repositório denominado docs-tpcp.

O ataque ao CheckMarx e ao LiteLLM usou uma tática semelhante aos outros domínios de typosquatting: models.litellm[.]cloud e checkmarx[.]zone.

Uma análise técnica detalhada do malware, juntamente com indicadores de comprometimento, pode ser encontrada no artigo de nosso especialista no blog Securelist.

Estratégias de resposta e defesa ao CVE-2026-33634

As verificações baseadas em assinatura e as verificações de dependência existentes em registros públicos não são mais suficientes, pois o código malicioso foi injetado diretamente em ações confiáveis e assinadas, o que fez com que a detecção fosse burlada até que o monitoramento comportamental fosse aplicado. Os pipelines de CI/CD se tornaram o “novo perímetro” de segurança.

Ações imediatas. Verifique e confirme se todos os fluxos de trabalho usam versões seguras (Trivy binary 0.69.3, trivy-action 0.35.0 e setup-trivy 0.2.6).

Os administradores de pipeline de CI/CD e as equipes de segurança devem revisar imediatamente as dependências das soluções Checkmarx (kics-github-action e ast-github-action) e Trivy (setup-trivy e trivy-action). Se os fluxos de trabalho fizerem referência a uma tag de versão em vez de um hash SHA específico, revise cuidadosamente os logs de execução do fluxo de trabalho durante o ataque ativo contra a cadeia de suprimentos.

Também é necessário verificar os logs de rede quanto ao tráfego para os domínios scan.aquasecurtiy[.]org, checkmarx[.]zone e models.litellm[.]cloud. A presença desse tráfego indica que os dados confidenciais foram exfiltrados com êxito.

Se um repositório denominado docs-tpcp tiver aparecido no GitHub da organização, isso também poderá indicar uma violação bem-sucedida de dados.

Verifique os hosts e clusters quanto aos sinais de comprometimento, ou seja, a presença de arquivos ~/.config/sysmon/sysmon.py, isto é, pods suspeitos no Kubernetes.

Limpe o cache e realize um inventário dos módulos PyPI: verifique se há módulos maliciosos e reverta para versões limpas.

Em qualquer caso, uma identificação proativa de ameaças deve ser realizada, tendo em vista que os sistemas tenham sido comprometidos com êxito e que os invasores avançaram rapidamente dentro dos sistemas afetados.

É recomendável restaurar os ambientes afetados por meio de backups verificados.

Fixação de dependências e gerenciamento de segredos. Verifique e confirme se as versões de dependência exatas estão fixadas com o uso de hashes criptográficos em todos os pipelines e Dockerfiles. Aconselhamos fazer a transição de tokens de longa duração para credenciais de curta duração com o uso de uma ferramenta de gerenciamento de segredos e fazer a implementação de integrações OIDC onde houver compatibilidade. Minimize a injeção de segredos no ambiente de tempo de execução, faça isso apenas quando for absolutamente necessário. Verifique e confirme se os segredos não estão armazenados em disco ou em arquivos temporários, e se eles não estão sendo reutilizados em processos diferentes.

Atualize todas as credenciais que possam estar comprometidas, ou seja, chaves de API, variáveis de ambiente, chaves SSH, tokens de conta de serviço do Kubernetes e outros segredos.

Outras medidas de segurança. Permita apenas o uso do GitHub Actions originado por uma lista aprovada pela organização e bloqueie os processos novos e não verificados. Configure o GITHUB_TOKEN e outras chaves de acesso de acordo com o princípio do privilégio mínimo. Não conceda permissões de gravação, a menos que seja absolutamente necessário.

Para aumentar a segurança do GitHub Actions, há várias ferramentas de código aberto disponíveis:

• zizmor: uma ferramenta para análise estática e detecção de erros de configuração no GitHub Actions;
• gato e Gato-X: duas versões de uma ferramenta que ajuda a identificar pipelines estruturalmente vulneráveis;
• allstar: um aplicativo do GitHub, desenvolvido pelo OpenSSF, para configurar e aplicar políticas de segurança em organizações e repositórios do GitHub.

Se quiser saber mais detalhes sobre os ataques contra a cadeia de suprimentos, deixamos aqui o nosso convite para consultar o relatório analítico Reação da cadeia de suprimentos: proteção ao ecossistema digital global em uma era de interdependência. Ele é baseado em insights de especialistas técnicos e revela com que frequência as organizações enfrentam os riscos para a cadeia de suprimentos e de relacionamento confiável, onde permanecem as lacunas de proteção e quais são as estratégias que devem ser empregadas para melhorar a resiliência contra esses tipos de ameaças.

Há cerca de um ano, publicamos uma postagem sobre a técnica ClickFix, que estava ganhando popularidade entre os invasores. A essência dos ataques usando o ClickFix é convencer a vítima, sob vários pretextos, a executar um comando malicioso em seu computador. Ou seja, do ponto de vista das soluções de segurança cibernética, ele é executado em nome do usuário ativo e com seus privilégios.

Nos primeiros usos dessa técnica, os cibercriminosos tentavam convencer as vítimas de que elas precisavam executar um comando para corrigir algum problema ou passar por um captcha e, na grande maioria dos casos, o comando malicioso era um script do PowerShell. No entanto, desde então, os invasores criaram uma série de novos truques sobre os quais os usuários devem ser avisados, bem como uma série de novas variantes de entrega de carga maliciosa, que também merecem atenção.

Uso de mshta.exe

No ano passado, os especialistas da Microsoft publicaram um relatório sobre ataques cibernéticos direcionados a proprietários de hotéis que trabalham com a Booking.com. Os invasores enviaram notificações falsas do serviço ou e-mails fingindo ser de hóspedes chamando a atenção para uma avaliação. Em ambos os casos, o e-mail continha um link para um site imitando o site Booking.com, que pedia à vítima para provar que não era um robô executando um código pelo menu Executar.

Há duas diferenças principais entre esse ataque e o ClickFix. Primeiro, ninguém pede para o usuário copiar a string (afinal, uma string com código às vezes levanta suspeitas). Ela é copiada para a área de transferência pelo site malicioso, provavelmente quando o usuário clica em uma caixa de seleção que imita o mecanismo reCAPTCHA. Em segundo lugar, a string maliciosa invoca o utilitário mshta.exe legítimo, que serve para executar aplicativos escritos em HTML. Ele entra em contato com o servidor dos invasores e executa a carga maliciosa.

Vídeo no TikTok e PowerShell com privilégios de administrador

A BleepingComputer publicou um artigo em outubro de 2025 sobre uma campanha que espalha malware por meio de instruções em vídeos do TikTok. Os próprios vídeos imitam tutoriais sobre como ativar software proprietário gratuitamente. O conselho que fornecem se resume à necessidade de executar o PowerShell com privilégios de administrador e, em seguida, executar o comando iex (irm {address}). Aqui, o comando irm baixa um script malicioso de um servidor controlado por invasores e o comando iex (Invoke-Expression) o executa. O script, por sua vez, baixa um malware infostealer para o computador da vítima.

Uso do protocolo Finger

Outra variante incomum do ataque ClickFix usa o conhecido truque do captcha, mas o script malicioso usa o antigo protocolo Finger. O utilitário de mesmo nome permite que qualquer pessoa solicite dados sobre um usuário específico em um servidor remoto. Hoje, o protocolo raramente é usado, mas ainda é compatível com Windows, macOS e diversos sistemas baseados em Linux.

O usuário é persuadido a abrir a interface da linha de comando e usá-la para executar um comando que estabelece uma conexão pelo protocolo Finger (usando a porta TCP 79) com o servidor do invasor. O protocolo transfere apenas informações de texto, mas isso é suficiente para baixar outro script para o computador da vítima, que então instala o malware.

Variante CrashFix

Outra variante do ClickFix difere por usar engenharia social mais sofisticada. Ela foi usada em um ataque a usuários que tentavam encontrar uma ferramenta para bloquear banners de publicidade, rastreadores, malware e outros conteúdos indesejados em páginas da web. Ao procurar uma extensão adequada para o Google Chrome, as vítimas encontraram algo chamado NexShield – Advanced Web Guardian, que na verdade era um clone de um software real funcional, mas que em algum momento travava o navegador e exibia uma notificação falsa sobre um problema de segurança detectado e a necessidade de executar uma “verificação” para corrigir o erro. Se o usuário concordasse, ele recebia instruções sobre como abrir o menu Executar e digitar um comando que a extensão havia copiado anteriormente para a área de transferência.

O comando copiava o arquivo finger.exe conhecido para um diretório temporário, o renomeava como ct.exe e, em seguida, iniciava-o com o endereço do invasor. O resto do ataque era idêntico ao caso anterior. Em resposta à solicitação do protocolo Finger, um script malicioso era entregue, que iniciava e instalava um trojan de acesso remoto (neste caso, ModeloRAT).

Entrega de malware por consulta DNS

A equipe de Inteligência de Ameaças da Microsoft também compartilhou uma variante de ataque ClickFix um pouco mais complexa do que o habitual. Infelizmente, eles não descreveram o truque de engenharia social, mas o método de entregar a carga maliciosa é bastante interessante. Provavelmente para dificultar a detecção do ataque em um ambiente corporativo e prolongar a vida útil da infraestrutura maliciosa, os invasores usaram uma etapa adicional: entrar em contato com um servidor DNS controlado pelos invasores.

Ou seja, depois que a vítima é persuadida de alguma forma a copiar e executar um comando malicioso, uma solicitação é enviada ao servidor DNS em nome do usuário por meio do utilitário nslookup legítimo, solicitando dados para o domínio example.com. O comando continha o endereço de um servidor DNS específico controlado pelos invasores. Ele retorna uma resposta que, entre outras coisas, contém uma string com um script malicioso, que por sua vez baixa a carga útil final (neste ataque, ModeloRAT novamente).

Isca de criptomoeda e JavaScript como carga útil

A próxima variante de ataque é interessante por sua engenharia social de vários estágios. Em comentários no Pastebin, os invasores espalharam ativamente uma mensagem sobre uma suposta falha no serviço de câmbio de criptomoedas Swapzone.io. Os proprietários de criptomoedas recebiam convites para visitar um site criado por fraudadores, que continha instruções completas sobre como explorar uma falha capaz de gerar até US$ 13.000 em poucos dias.

As instruções explicavam como as falhas do serviço podiam ser exploradas para trocar criptomoedas a uma taxa mais favorável. Para fazer isso, a vítima precisava abrir o site do serviço no navegador Chrome, digitar manualmente “javascript:” na barra de endereço, colar o script JavaScript copiado do site do invasor e executá-lo. Na realidade, é claro, o script não podia afetar as taxas de câmbio; ele simplesmente substituía os endereços da carteira Bitcoin e, se a vítima realmente tentasse negociar algo, transferiria os fundos para as contas dos invasores.

Como proteger a sua empresa contra ataques ClickFix

Os ataques mais simples que usam a técnica ClickFix podem ser combatidos pelo bloqueio da combinação de teclas [Win] + [R] em dispositivos de trabalho. Mas, como vemos nos exemplos listados, esse está longe de ser o único tipo de ataque em que os usuários são instruídos a executar código malicioso.

Portanto, o principal conselho é aumentar a conscientização em segurança cibernética dos funcionários. Eles devem entender claramente que, se alguém lhes pedir para executar qualquer manipulação incomum no sistema e/ou copiar e colar um código em algum lugar, na maioria dos casos trata-se de um truque usado pelos cibercriminosos. O treinamento de conscientização de segurança pode ser organizado com a Kaspersky Automated Security Awareness Platform.

Além disso, para se proteger contra esses ataques cibernéticos, recomendamos:

• Usar proteção confiável em todos os dispositivos corporativos.
• Monitorar atividades suspeitas na rede da empresa por meio de uma solução XDR.
• Se os recursos internos forem insuficientes, usar um serviço externo para detectar ameaças e responder a elas prontamente.

Todos os anos, golpistas inventam novas maneiras de enganar as pessoas, e 2025 não foi exceção. No ano passado, nosso sistema antiphishing bloqueou mais de 554 milhões de acessos a links de phishing, e nosso Antivírus de E-mail bloqueou quase 145 milhões de anexos maliciosos. Para completar, quase 45% de todos os e-mails no mundo acabaram sendo spam. Detalhamos abaixo os esquemas de phishing e spam mais impressionantes do ano passado. Caso queira se aprofundar no assunto, leia o relatório completo Spam e Phishing em 2025 no Securelist.

Phishing no entretenimento

Os amantes de música e os cinéfilos foram os principais alvos de golpistas em 2025. Pessoas mal-intencionadas criaram sites para a venda de ingressos falsos, além de versões falsificadas de serviços de streaming populares.

Nesses sites falsos, os usuários recebiam ingressos “gratuitos” para grandes shows. A pegadinha? Eles só tinham que pagar uma pequena “taxa de processamento” ou o “custo de envio”. Naturalmente, o que aconteceu foi que o dinheiro ganho com esforço dos usuários foi direto para o bolso dos golpistas.

No caso dos serviços de streaming, ocorreu o seguinte: os usuários receberam uma oferta tentadora para migrar suas listas de reprodução do Spotify para o YouTube inserindo suas credenciais do Spotify. Em outra ocasião, eles foram convidados a votar no seu artista favorito em uma enquete (uma oportunidade que a maioria dos fãs acha difícil deixar passar). Para adicionar uma camada de legitimidade, os golpistas citaram nomes como Google e Spotify. O formulário de phishing tinha como alvo várias plataformas ao mesmo tempo (Facebook, Instagram ou e-mails), e exigia que os usuários inserissem as credenciais das suas contas para votar.

No Brasil, os golpistas foram mais ousados: eles ofereceram aos usuários a chance de ganhar dinheiro apenas ouvindo e classificando músicas em um suposto serviço de um parceiro do Spotify. Durante o registro, os usuários tinham que fornecer o número do Pix (o sistema brasileiro de pagamento instantâneo) e, em seguida, fazer um “pagamento de verificação” único de R$ 19,90 (cerca de US$ 4) para “confirmar sua identidade”. Essa taxa representava, obviamente, uma fração dos “ganhos potenciais” prometidos. O formulário de pagamento parecia muito autêntico e solicitava dados pessoais adicionais, que provavelmente seriam coletados para ataques futuros.

O golpe do “namoro cultural” demonstrou muita criatividade. Depois do “match” e de algumas conversas breves em aplicativos de namoro, um novo “interesse amoroso” convidava a vítima para assistir a uma peça de teatro ou a um filme e enviava um link para comprar ingressos. Uma vez que o “pagamento” fosse concluído, o aplicativo de namoro e o site de venda de ingressos simplesmente desapareciam. Uma tática semelhante foi usada para vender ingressos para salas de fuga (escape rooms) imersivas, que ficaram muito populares recentemente; o design das páginas imitava sites reais para enganar os usuários.

Phishing em aplicativos de mensagens

O roubo de contas do Telegram e do WhatsApp se tornou uma das ameaças mais difundidas do ano. Os golpistas dominaram a arte de mascarar o phishing como atividades padrão do aplicativo de bate-papo e expandiram seu alcance geográfico de forma significativa.

No Telegram, as assinaturas Premium gratuitas foram a isca principal. Essas páginas de phishing só estavam disponíveis em russo e inglês, mas houve uma grande expansão para outros idiomas em 2025. As vítimas recebiam uma mensagem (geralmente da conta invadida de um amigo) oferecendo um “presente”. Para ativá-lo, o usuário precisava fazer login na sua conta do Telegram no site do invasor, o que levava imediatamente a outra conta invadida.

Outro golpe comum envolvia ofertas feitas por celebridades. Um ataque específico, disfarçado como uma oferta de NFTs, destacou-se porque operou por meio de um Telegram Mini App. Para o usuário comum, detectar um Mini App malicioso é muito mais difícil do que identificar uma URL externa suspeita.

Por fim, o golpe clássico vote no meu amigo utilizando aplicativos de mensagens evoluiu em 2025. Ele solicitava que as pessoas votassem no “melhor dentista da cidade” ou no “principal líder operacional”, mas, infelizmente, isso era apenas uma isca para a invasão de contas.

Outro método inteligente para sequestrar contas do WhatsApp foi descoberto na China, em que as páginas de phishing eram uma imitação perfeita da interface real do WhatsApp. As vítimas foram informadas de que, devido a alguma suposta “atividade ilegal”, elas precisavam passar por uma “verificação adicional”, o que resultou no roubo das suas contas, como você já deve ter adivinhado.

Personificação de serviços governamentais

O phishing que imita mensagens e portais do governo é um “clássico do gênero”, mas em 2025, os golpistas adicionaram alguns elementos novos.

Na Rússia, os ataques de vishing contra usuários de serviços governamentais ganharam força. As vítimas receberam e-mails alegando que um login não autorizado havia sido feito nas suas contas, e por isso deveriam ligar para um número específico e fazer uma “verificação de segurança”. Para parecer legítimo, os e-mails continham informações técnicas falsas: endereços IP, modelo dos dispositivos e a data e hora do suposto login. Os golpistas também enviaram notificações falsas de aprovação de empréstimos: caso o destinatário não tivesse solicitado um empréstimo (e não tinha), ele deveria ligar para uma equipe de suporte falsa. Uma vez que a vítima em pânico falasse com um “operador”, a engenharia social se encarregava do resto do trabalho.

No Brasil, invasores criaram portais governamentais falsos com o objetivo de coletar números de contribuintes (CPF). Como esse número é a identificação principal para acessar serviços estaduais, bancos de dados nacionais e documentos pessoais, um CPF sequestrado viabiliza o roubo de identidade.

Na Noruega, os golpistas visavam pessoas que desejavam renovar a carteira de motorista. Um site que imita a Administração de Estradas Públicas da Noruega coletou uma quantidade enorme de dados pessoais: desde números de placas, nomes completos, endereços e números de telefone até os números de identificação pessoal exclusivos atribuídos aos residentes. A cereja do bolo foi solicitar que os motoristas pagassem uma “taxa de substituição de licença” de 1.200 NOK (mais de US$ 125). Os golpistas colocaram as mãos em dados pessoais, informações de cartões de crédito e dinheiro. Um verdadeiro golpe triplo!

De um modo geral, motoristas são um alvo atraente: está claro que eles têm dinheiro e um carro, e temem perdê-lo. Golpistas sediados no Reino Unido tiraram vantagem desse fato ao solicitar que motoristas pagassem com urgência um imposto em atraso relativo ao veículo deles para evitar alguma “ação de execução” não especificada. Esta mensagem urgente de “aja agora!” é uma estratégia clássica de phishing para que a vítima não perceba que uma URL é suspeita ou que sua formatação é mal feita.

Podemos usar sua identidade, por favor?

Em 2025, observamos um aumento nos ataques de phishing envolvendo verificações de Conheça seu cliente (KYC). Para reforçar a segurança, muitos serviços agora verificam os usuários por meio de biometria e documentos oficiais com foto. Os golpistas aprenderam a coletar esses dados ao falsificar as páginas de serviços populares que implementam essas verificações.

O que diferencia esses ataques é que, além das informações pessoais padrão, há a exigência de fotos de documentos de identidade ou do rosto da vítima, às vezes de vários ângulos. Esse tipo de perfil completo pode ser vendido em marketplaces da dark Web ou usado para fins de roubo de identidade. Falamos mais sobre esse processo na nossa postagem O que acontece com os dados roubados por meio de phishing?

Golpistas de IA

Naturalmente, os fraudadores não iriam deixar de aproveitar a disseminação da inteligência artificial. O ChatGPT tornou-se uma grande isca: fraudadores criaram páginas falsas de checkout de assinatura do ChatGPT Plus e ofereceram “prompts exclusivos” com a garantia de que o usuário iria viralizar nas mídias sociais.

O golpe “ganhar dinheiro com IA” foi particularmente cínico. Os golpistas ofereciam renda passiva advinda de apostas supostamente feitas pelo ChatGPT: o bot faria todo o trabalho difícil enquanto o usuário apenas observaria o dinheiro cair na conta. Parece um sonho, certo? Mas para “agarrar” esta oportunidade, era necessário agir rápido. O preço especial para perder dinheiro era válido por apenas 15 minutos a partir do momento em que a página era acessada, fazendo com que as vítimas não tivessem tempo para pensar duas vezes.

Em geral, os golpistas estão adotando a IA de forma agressiva. Eles estão aproveitando deepfakes, automatizando o design de sites de alta qualidade e gerando uma cópia refinada para o envio massivo de e-mails. Até mesmo chamadas ao vivo com as vítimas estão se tornando componentes de golpes mais complexos. Esse fato foi detalhado na nossa postagem Como phishers e golpistas usam a IA.

Armadilhas disfarçadas de vagas de emprego

Quem está em busca de trabalho é o principal alvo de pessoas mal-intencionadas. Ao divulgar vagas remotas com altos salários em grandes empresas, os phishers coletavam os dados pessoais dos candidatos e às vezes até solicitavam o pagamento de pequenas “taxas de processamento de documentos” ou “comissões”.

Em configurações mais sofisticadas, os sites de phishing de “agências de emprego” solicitavam o número de telefone vinculado à conta do Telegram do usuário durante o registro. Para concluir a “inscrição”, a vítima precisava inserir um “código de confirmação”, que na verdade era um código de autorização do Telegram. Depois de inseri-lo, o site solicitava mais informações relativas ao perfil do usuário, o que claramente era apenas uma distração para impedir que ele percebesse a nova notificação de login no seu telefone. Para “verificar o usuário”, a vítima era instruída a esperar 24 horas, dando aos golpistas, que já tinham meio caminho andado, tempo suficiente para sequestrar a conta do Telegram para sempre.

A empolgação é uma mentira (mas muito convincente)

Como de costume, os golpistas foram rápidos em se inteirar de todas as manchetes que relatavam tendências em 2025, lançando campanhas de e-mail a uma velocidade vertiginosa.

Por exemplo, após o lançamento das moedas de meme $ TRUMP pelo presidente dos EUA, houve uma explosão de golpes prometendo NFTs gratuitas da “Trump Meme Coin” e dos “Trump Digital Trading Cards”. Nós já explicamos em detalhes exatamente como as moedas de meme funcionam e como (não) perder dinheiro com elas.

No segundo em que o iPhone 17 Pro chegou ao mercado, ele se tornou o prêmio oferecido em inúmeras pesquisas falsas. Depois de “ganhar”, os usuários só precisavam fornecer suas informações de contato e pagar pelo envio. Depois que esses dados bancários eram inseridos, o “vencedor” corria o risco de perder não apenas o valor do envio, mas cada centavo da sua conta.

Aproveitando a onda do Ozempic, os golpistas inundaram as caixas de entrada das pessoas com ofertas de versões falsificadas do medicamento ou de “alternativas” suspeitas das quais os farmacêuticos reais nunca tinham ouvido falar.

E durante a turnê mundial da banda de K-pop BLACKPINK, os spammers fizeram publicidade das “malas scooters iguais às que a banda usa”.

Até o casamento de Jeff Bezos no verão de 2025 foi utilizado na aplicação de golpes “nigerianos” por e-mail. Os usuários receberam supostas mensagens do próprio Bezos ou da sua ex-esposa, MacKenzie Scott. Os e-mails prometiam grandes somas de dinheiro em nome de instituições de caridade ou como “compensação” da Amazon.

Como se proteger

Como você pode ver, os golpistas não têm limites quando se trata de inventar novas maneiras de roubar o seu dinheiro e dados pessoais, ou até mesmo toda a sua identidade. Estes são apenas alguns dos exemplos mais loucos de 2025. Você pode ler uma análise completa do cenário de ameaças de phishing e spam na Securelist. Enquanto isso, aqui estão algumas dicas para evitar que você se torne uma vítima. Compartilhe-as com seus amigos e familiares, especialmente crianças, adolescentes e idosos, pois esses grupos costumam ser os principais alvos dos golpistas.

1. Verifique a URL antes de inserir qualquer informação. Mesmo que os pixels da página pareçam perfeitos, a barra de endereço pode revelar o golpe.
2. Não clique em links de mensagens suspeitas, mesmo se forem enviados por alguém que você conheça, pois a conta deles pode facilmente ter sido invadida.
3. Nunca compartilhe códigos de verificação com ninguém. Eles são as chaves mestras da sua vida digital.
4. Ative a autenticação de dois fatores sempre que puder. Isso representa um obstáculo extra essencial para os hackers.
5. Desconfie de ofertas “boas demais para serem verdade”. iPhones grátis, dinheiro fácil e presentes de estranhos são quase sempre uma armadilha. Para relembrar, confira nossa postagem Phishing 101: o que fazer se você receber um e-mail de phishing.
6. Instale uma proteção robusta em todos os seus dispositivos. O Kaspersky Premium bloqueia automaticamente sites de phishing, anexos maliciosos e e-mails de spam antes mesmo de você ter a chance de acessá-los. Além disso, nosso aplicativo Kaspersky for Android tem um sistema antiphishing de três camadas que consegue detectar e neutralizar links maliciosos em qualquer mensagem de qualquer aplicativo. Leia mais sobre isso na nossa postagem Uma nova camada de segurança antiphishing no Kaspersky for Android.

Com a mudança de estação prestes a acontecer, o amor está no ar, porém, ele está sendo vivenciado por meio do enfoque da alta tecnologia. A tecnologia está cada vez mais presente em nossas vidas, e essa presença marcante está remodelando não só os ideais românticos, mas também a linguagem que as pessoas usam para flertar. Por isso, é claro, daremos algumas dicas não muito óbvias para garantir que as pessoas não acabem sendo vítimas de um “match” ruim.

Novas linguagens do amor

Alguma vez você já recebeu o quinto e-card de vídeo de um parente mais velho em um dia qualquer e pensou: como faço para isso parar? Ou ainda, você acha que um ponto no final de uma frase é um sinal de agressão passiva? No mundo das mensagens, diferentes grupos sociais e etários falam seus próprios dialetos digitais, e muitas vezes as coisas se perdem na tradução.

Isso é especialmente óbvio quando a Geração Z e a Geração Alfa usam emoji. Para eles, o rosto que chora alto 😭 muitas vezes não significa tristeza, na verdade, ele significa riso, choque ou obsessão. Por outro lado, o emoji coração nos olhos pode ser usado para expressar ironia em vez de romance: “Perdi minha carteira a caminho de casa 😍😍😍”. Alguns significados duplos já se tornaram universais, como 🔥 para aprovação/elogio, ou 🍆 para… bem, podemos imaginar o que a berinjela pode representar.

Ainda assim, a ambiguidade desses símbolos não impede que as pessoas criem frases inteiras motivadas simplesmente pela imagem dos emojis. Por exemplo, uma declaração de amor pode ser algo do tipo:

🤫❤️🫵

Ou, ainda, um convite para um encontro:

➡️💋🌹🍝🍷❓

A propósito, existem livros inteiros escritos em emoji. Por incrível que pareça, em 2009, alguns entusiastas traduziram todo o livro Moby Dick usando emojis. Os tradutores tiveram que ser criativos, até mesmo pagando voluntários para votar nas combinações mais precisas para cada frase. Tudo bem, sabemos que não se trata exatamente de uma obra-prima literária, afinal, a linguagem de emoji tem seus limites, não é mesmo? Mas o experimento foi bastante fascinante: eles realmente conseguiram transmitir a ideia geral do enredo.

Infelizmente, montar um dicionário definitivo de emojis ou um guia de estilo formal para mensagens de texto é quase impossível. Existem muitas variáveis: idade, contexto, interesses pessoais e círculos sociais. Ainda assim, nunca é demais perguntar aos amigos e entes queridos como eles expressam tons e emoções nas suas mensagens. E aqui vai uma curiosidade: os casais que usam emojis regularmente relatam ter a sensação de estar mais próximos um do outro.

No entanto, se você é um entusiasta de emojis, saiba que seu estilo de escrita é surpreendentemente fácil de falsificar. É muito simples para um invasor reproduzir suas mensagens ou postagens públicas por meio de uma IA para clonar o tom e produzir ataques de engenharia social contra seus amigos e familiares. Portanto, se você receber uma DM frenética ou um pedido de dinheiro urgente como se fosse exatamente do seu melhor amigo, desconfie. Mesmo que a vibe seja parecida, ainda é preciso manter uma postura cética. Aprofundamos a identificação desses golpes de deepfake na nossa postagem sobre o ataque dos clones.

Namoro com uma IA

É claro que, em 2026, é impossível ignorar o tópico dos relacionamentos com a inteligência artificial. Parece que estamos mais perto do que nunca do enredo do filme Ela. Há apenas dez anos, as notícias sobre pessoas namorando robôs pareciam coisa de ficção científica ou lendas urbanas. Hoje, histórias sobre adolescentes envolvidos em romances com seus personagens favoritos no Character AI ou cerimônias de casamento organizadas inteiramente pelo ChatGPT não provocam nada além de uma risada aflita.

Em 2017, o serviço Replika foi lançado, permitindo que os usuários criassem um amigo virtual ou parceiro de vida com tecnologia de IA. Sua fundadora, Eugenia Kuyda, uma nativa russa que vive em São Francisco desde 2010, construiu o chatbot depois que sua amiga sofreu um trágico acidente de carro em 2015 e morreu, restando para ela nada mais do que os registros de bate-papo. O que começou como um bot criado para ajudar a processar sua própria dor acabou sendo liberado para seus amigos e depois para o público em geral. Foi descoberto, então, que muitas pessoas ansiavam por esse tipo de conexão.

O Replika permite que os usuários personalizem os traços de personalidade, os interesses e a aparência de uma personagem. Depois disso, é possível enviar mensagens de texto ou até ligar para ela. Uma assinatura paga desbloqueia a opção de relacionamento romântico, juntamente com fotos e selfies geradas por IA, chamadas de voz com roleplay e a capacidade de escolher a dedo exatamente o que a personagem se lembra das suas conversas.

No entanto, essas interações nem sempre são inofensivas. Em 2021, um chatbot da Replika encorajou, de fato, um usuário na sua trama para assassinar a rainha Elizabeth II. O homem finalmente tentou invadir o Castelo de Windsor, uma “aventura” que terminou com uma sentença de nove anos de prisão em 2023. Após o escândalo, a empresa teve que revisar seus algoritmos para impedir que a IA incitasse comportamentos ilegais. A desvantagem? De acordo com muitos devotos da Replika, o modelo de IA perdeu seu brilho e se tornou indiferente aos usuários. Depois que milhares de usuários se revoltaram contra a versão atualizada, a Replika foi forçada a ceder e dar aos clientes de longa data a opção de reverter para a versão legada do chatbot.

Mas, às vezes, apenas conversar com um bot não é o suficiente. Existem comunidades on-line inteiras de pessoas que realmente se casam com sua IA. Até mesmo os planejadores de casamentos profissionais estão entrando em ação. No ano passado, Yurina Noguchi, 32, se casou com Klaus, uma persona da IA com quem ela estava conversando no ChatGPT. O casamento contou com uma cerimônia completa com convidados, leitura de votos e até uma sessão de fotos do “casal feliz”.

Não importa como seu relacionamento com um chatbot evolua, é essencial lembrar que as redes neurais generativas não têm sentimentos, mesmo que elas se esforcem ao máximo para atender a todas as solicitações, concordar com alguém e fazer tudo o que for possível para agradar. Além disso, a IA não é capaz de pensar de forma independente (pelo menos ainda não). O que acontece é simplesmente o cálculo de uma sequência de palavras estatisticamente mais provável e aceitável para servir de resposta ao prompt.

Amor concebido pelo design: algoritmos de namoro

Quem não está pronto para se casar com um bot também não está tendo uma vida fácil: no mundo contemporâneo, as interações tête-à-tête estão diminuindo a cada ano. O amor moderno requer tecnologia moderna! E, embora as lamúrias sejam ainda bastante comuns: “Ah! Antigamente, as pessoas se apaixonavam de verdade. Mas, agora!? Todo mundo desliza para a esquerda e para a direita, e pronto!” As estatísticas contam uma história diferente. Aproximadamente 16% dos casais em todo o mundo dizem que se conheceram on-line e, em alguns países, esse número chega a 51%.

Dito isso, os aplicativos de namoro como o Tinder despertam algumas emoções seriamente confusas. A Internet está praticamente transbordando de artigos e vídeos alegando que esses aplicativos estão matando as possibilidades de romance e deixando todo mundo solitário. Mas o que a pesquisa realmente diz?

Em 2025, os cientistas conduziram uma meta-análise de estudos que investigou como os aplicativos de namoro afetam o bem-estar, a imagem corporal e a saúde mental dos usuários. Metade dos estudos se concentrou exclusivamente em homens, enquanto a outra metade incluiu homens e mulheres. Aqui estão os resultados: 86% dos entrevistados associaram a imagem corporal negativa ao uso de aplicativos de namoro! A análise também mostrou que, em quase um em cada dois casos, o uso de aplicativos de namoro se correlacionou com um declínio na saúde mental e no bem-estar geral.

Outros pesquisadores observaram que os níveis de depressão são mais baixos entre aqueles que evitam aplicativos de namoro. Por outro lado, os usuários que já lutaram contra a solidão ou a ansiedade geralmente desenvolvem uma dependência de namoro on-line. Eles não apenas entram no aplicativo com o objetivo de construir possíveis relacionamentos, como também para sentir as descargas de dopamina com as curtidas, correspondências e a rolagem interminável de perfis.

No entanto, o problema talvez não seja apenas os algoritmos; talvez isso tenha a ver com as nossas expectativas. Muita gente está convencida de que “a chama do amor” deve arder no primeiro encontro e que todo mundo tem uma “alma gêmea” esperando por eles em algum canto da cidade. Na realidade, esses ideais romantizados só surgiram durante a era romântica como uma refutação ao racionalismo iluminista, onde os casamentos de conveniência eram a norma absoluta.

Também vale a pena notar que a visão romântica do amor não surgiu do nada: os românticos, assim como muitos dos nossos contemporâneos, eram reticentes em relação ao rápido progresso tecnológico, à industrialização e à urbanização. Para eles, o “amor verdadeiro” parecia fundamentalmente incompatível com máquinas frias e cidades sufocadas pela poluição. Afinal, não é por acaso que Anna Karenina encontra seu fim sob as rodas de um trem.

De lá para cá, com todos os avanços tecnológicos em curso, muita gente sente que os algoritmos pressionam cada vez mais as nossas tomadas de decisão. No entanto, isso não significa que o namoro on-line é uma causa perdida. Os pesquisadores ainda precisam chegar a um consenso sobre até que ponto os relacionamentos oriundos da Internet são realmente duradouros ou bem-sucedidos. Conclusão: não entre em pânico, apenas mantenha sua rede digital segura!

Como manter a segurança no namoro on-line

Então, você decidiu hackear o cupido e se inscreveu em um aplicativo de namoro. O que poderia dar errado?

Deepfakes e catfishing

Catfishing é um golpe on-line clássico em que um golpista finge ser outra pessoa. Antigamente, esses golpistas apenas roubavam fotos e histórias de vida de pessoas reais, porém, hoje em dia, eles estão cada vez mais empenhados em aplicar golpes que usam modelos generativos. Algumas IAs conseguem produzir fotos incrivelmente realistas de pessoas que nem existem, e inventar uma história de fundo é moleza (ou deveríamos dizer, um prompt facilita as coisas). A propósito, aquele símbolo de “conta verificada” não oferece nenhuma garantia. Muitas vezes, a IA também consegue enganar os sistemas de verificação de identidade.

Para verificar se alguém está falando com uma pessoa real, é necessário solicitar uma videochamada ou fazer uma pesquisa reversa de imagens nas fotos dela. Se você quiser aprimorar suas habilidades de detecção, confira nossas três postagens sobre como detectar falsificações: desde fotos e gravações de áudio a vídeos deepfake em tempo real, como o tipo usado em bate-papos ao vivo por vídeo.

Phishing e golpes

Imagine o seguinte: você está se dando bem com uma nova conexão há algum tempo e, então, totalmente do nada, a pessoa manda um link suspeito e pede para você clicar nele. Talvez ela queira que você “a ajude a escolher os assentos” ou “compre ingressos para o cinema”. Mesmo que você tenha a sensação de que construiu um vínculo real, existe uma chance de que seu contato seja um golpista (ou apenas um bot) e de que esse link seja malicioso.

Dizer para si mesmo para “nunca clicar em um link malicioso” é um conselho bastante inútil, afinal, os links simplesmente chegam até nós sem nenhum tipo de aviso prévio. Em vez disso, tente fazer o seguinte: para garantir uma navegação segura, use uma solução de segurança robusta que bloqueia automaticamente as tentativas de phishing e impede o acesso a sites suspeitos.

É importante considerar que existe um esquema ainda mais sofisticado conhecido como “abate de porcos”. Nesses casos, o golpista pode conversar com a vítima por semanas ou até meses. Infelizmente, o final é bastante amargo: depois de engabelar a vítima com uma falsa sensação de segurança em um ambiente de brincadeiras amigáveis ou românticas, o golpista casualmente sugere que ela faça um “investimento em criptomoedas imperdível”, e depois desaparece juntamente com os fundos “investidos”.

Swatting e doxing

A Internet está cheia de histórias de horror sobre pessoas obsessivas, assédio e perseguição. É exatamente por isso que postar fotos que revelam onde você mora ou trabalha, ou ainda, fornecer detalhes para estranhos sobre seus pontos de encontro e locais favoritos, é uma roubada. Anteriormente, falamos sobre como evitar ser vítima de doxing, ou seja, a coleta e a divulgação pública das suas informações pessoais sem consentimento. O primeiro passo é bloquear as configurações de privacidade em todas as mídias sociais e aplicativos usando nossa ferramenta gratuita Privacy Checker.

Também recomendamos remover os metadados das suas fotos e vídeos antes da publicação ou envio. Muitos sites e aplicativos não fazem isso por você. Os metadados podem permitir que qualquer pessoa que baixe sua foto identifique as coordenadas exatas de onde ela foi tirada.

Por último, e não menos importante, não se esqueça da sua segurança física. Antes de sair para um encontro, uma precaução inteligente é compartilhar a geolocalização ao vivo e configurar uma palavra segura ou uma frase secreta com um amigo de confiança para mandar uma aviso se as coisas começarem a ficar estranhas.

Sextorsão e nudes

Não recomendamos enviar fotos íntimas para estranhos. Honestamente, não recomendamos essa prática nem mesmo com pessoas conhecidas, afinal de contas, nunca saberemos o que poderá dar errado ao longo do caminho. Mas, se uma conversa seguir para essa direção, sugira mudar para um aplicativo com criptografia de ponta a ponta que seja compatível com a autodestruição de mensagens, por exemplo, excluir após a visualização. Os bate-papos secretos do Telegram são ótimos para isso. Além disso, eles bloqueiam capturas de tela, assim como outros aplicativos de mensagens seguros. Se você vivenciar uma situação desconfortável, confira nossas postagens sobre o que fazer se você for vítima de sextorsão e como remover nudes vazados da Internet.

Mais sobre amor, segurança (e robôs):

• Nem flores nem presentes: como as mulheres são enganadas
• Golpes que visam pessoas apaixonadas ou solitárias
• A IA e a nova realidade da sextorsão
• Cinquenta tons de “sextorsão”
• Seu guia para namoro on-line seguro e privado

Recentemente, detectamos uma nova campanha mal-intencionada que utiliza uma abordagem bastante intrigante. O agente cria suas próprias versões assinadas de uma ferramenta de acesso remoto (RAT) legítima. Para distribuí-las, ele usa um serviço baseado em IA para gerar em massa páginas da Web mal-intencionadas, que se disfarçam de forma convincente como os sites oficiais de vários aplicativos.

Continue lendo para descobrir como esse ataque funciona, por que ele é particularmente perigoso para os usuários e como se proteger.

Como funciona o ataque

Parece que o agente mal-intencionado utiliza várias opções de plataformas para seus ataques. Primeiro, ele claramente está apostando que um número significativo de usuários acesse as páginas falsas por meio de pesquisas simples no Google. Isso acontece porque os sites falsos normalmente têm endereços que correspondem, ou estão muito próximos, ao que os usuários estão procurando.

Em segundo lugar, ele lança campanhas de e-mail mal-intencionadas como uma alternativa. Nesse cenário, o ataque é iniciado quando o usuário recebe um e-mail que contém um link para um site falso. Veja um exemplo similar a seguir:

Caros titulares de $DOP,
A janela de migração de DOP-v1 para DOP-v2 foi oficialmente fechada, com mais de 8B+ tokens migrados com êxito.
Temos o prazer de anunciar que o Portal de Solicitações de DOP-v2 já está ABERTO!
Todos os titulares de $DOP agora podem visitar o portal para solicitar seus tokens com segurança e passar para a próxima fase do ecossistema.
Solicite seus tokens de DOP-v2 agora https://migrate-dop{dot}org/
Bem-vindo ao DOP-v2: um capítulo mais forte, inteligente e recompensador começa hoje.
Agradecemos sua participação nesta jornada.
A Equipe DOP

Algumas das páginas mal-intencionadas que descobrimos nessa campanha se passam por sites de aplicativos antivírus ou de gerenciamento de senhas. Seu conteúdo é claramente elaborado para assustar o usuário com avisos falsos sobre algum tipo de problema de segurança.

Portanto, os invasores também estão usando uma tática conhecida como scareware: impor um aplicativo não seguro aos usuários sob o pretexto de proteção contra uma ameaça imaginária.

Sites falsos criados com o Lovable

Apesar das diferenças de conteúdo, os sites falsos envolvidos nesta campanha mal-intencionada compartilham vários recursos comuns. Para começar, a maioria de seus endereços é construída de acordo com a fórmula {popular app name} + desktop.com, uma URL que corresponde a uma consulta de pesquisa obviamente comum.

Além disso, as próprias páginas falsas parecem bastante profissionais. Curiosamente, a aparência dos sites falsos não replica exatamente o design dos originais, eles não são clones diretos. Em vez disso, são variações muito convincentes de um tema. Como exemplo, podemos ver algumas versões falsas da página da carteira de criptomoedas da Lace. Uma delas tem o seguinte formato:

Outra se parece com isto:

Essas falsificações se parecem muito com o site original da Lace, mas ainda assim diferem dele de muitas maneiras óbvias:

Na verdade, os invasores transformaram um construtor Web com tecnologia de IA em uma arma para criar páginas falsas. Como os invasores agiram de forma apressada e acabaram deixando para trás alguns sinais reveladores, conseguimos identificar exatamente qual serviço eles estão utilizando: Lovable.

O uso de uma ferramenta de IA permitiu que eles reduzissem bastante o tempo necessário para criar um site falso e produzissem falsificações em escala industrial.

Ferramenta de administração remota da Syncro

Outra característica comum dos sites falsos usados nessa campanha é que todos eles distribuem exatamente a mesma carga. O agente mal-intencionado não criou seu próprio cavalo de Troia, nem comprou um no mercado clandestino. Em vez disso, ele está usando sua própria versão de uma ferramenta de acesso remoto perfeitamente legítima: a Syncro.

O aplicativo original facilita o monitoramento centralizado e o acesso remoto para equipes de suporte de TI corporativas e provedores de serviços gerenciados (MSPs). Os serviços da Syncro são relativamente baratos, a partir de US$ 129 por mês, com um número ilimitado de dispositivos gerenciados.

Ao mesmo tempo, a ferramenta tem recursos importantes: além do compartilhamento de tela, o serviço também fornece execução remota de comandos, transferência de arquivos, análise de logs, edição do registro e mais ações em segundo plano. No entanto, o principal recurso da Syncro é um processo simplificado de instalação e conexão. O usuário (ou, neste caso, a vítima) só precisa baixar e executar o arquivo de instalação.

A partir daí, a instalação é executada completamente em segundo plano, carregando secretamente uma versão mal-intencionada da Syncro no computador. Como essa versão tem o CUSTOMER_ID do invasor codificado, ele passa a ter o controle total sobre o computador da vítima.

Depois que a Syncro é instalada no dispositivo da vítima, os invasores passam a ter acesso total e podem usá-la para alcançar seus objetivos. Dado o contexto, esses ataques parecem estar roubando chaves da carteira de criptomoedas das vítimas e desviando fundos para as próprias contas dos invasores.

Como se proteger contra esses ataques

Essa campanha mal-intencionada representa uma ameaça maior para os usuários por dois motivos principais. Primeiro, os sites falsos criados com o serviço de IA parecem bastante profissionais e seus URLs não são excessivamente suspeitos. Obviamente, tanto o design das páginas falsas quanto os domínios usados diferem visivelmente dos reais, mas isso só se torna aparente na comparação direta. À primeira vista, no entanto, é fácil confundir o falso com o genuíno.

Em segundo lugar, os invasores estão usando uma ferramenta de acesso remoto legítima para infectar os usuários. Isso significa que detectar a infecção pode ser difícil.

Nossa solução de segurança tem um veredicto especial, “Not-a-virus“, para casos como esses. Esse veredicto é atribuído, entre outras coisas, quando várias ferramentas de acesso remoto, inclusive a Syncro legítima, são detectadas no dispositivo. Em relação às versões da Syncro usadas para fins mal-intencionados, nossa solução de segurança as identifica como HEUR:Backdoor.OLE2.RA-Based.gen.

É importante lembrar que, por padrão, um antivírus não bloqueará todas as ferramentas de administração remotas legítimas para evitar a interferência no uso intencional. Portanto, recomendamos que preste muita atenção às notificações da sua solução de segurança. Caso veja um aviso de que um software Not-a-virus foi detectado no seu dispositivo, leve-o a sério e, no mínimo, verifique qual aplicativo o acionou.

Se você tem Kaspersky Premium instalado, use o recurso de Detecção de acesso remoto e, se necessário, a opção de remoção do aplicativo, que acompanha sua assinatura premium. Esse recurso detecta cerca de 30 dos aplicativos legítimos de acesso remoto mais populares e, se você sabe que não instalou nenhum deles, deve realmente se preocupar.

Outras recomendações:

• Não baixe aplicativos de fontes duvidosas, especialmente em dispositivos com aplicativos financeiros ou de criptomoedas instalados.
• Sempre verifique os endereços das páginas que você está visitando antes de executar qualquer ação potencialmente perigosa, como baixar um aplicativo ou inserir dados pessoais.
• Preste muita atenção aos avisos dos sistemas antivírus e anti-phishing integrados nas nossas soluções de segurança.

A implementação de redes de longa distância definidas por software (Software-Defined Wide Area Networks, SD-WANs) aumenta a eficiência operacional, reduz custos e melhora a segurança. Esses impactos são tão significativos que, às vezes, podem ser observados em escala nacional. De acordo com o artigo The Transformative Impact of SD-WAN on Society and Global Development (O impacto transformador das SD-WANs na sociedade e no desenvolvimento global) publicado no International Journal for Multidisciplinary Research, a adoção dessa tecnologia pode resultar em aumento de 1,38% no PIB de países em desenvolvimento. No nível corporativo, os efeitos são ainda mais evidentes. Por exemplo, na fabricação industrial moderna e profundamente digitalizada, pode reduzir o tempo de inatividade não planejado em 25%.

Além disso, os projetos de implementação de SD-WAN não apenas proporcionam um rápido retorno do investimento, como também continuam a oferecer benefícios adicionais e maior eficiência conforme a solução recebe atualizações e novas versões são lançadas. Para demonstrar isso, apresentamos o novo Kaspersky SD-WAN 2.5 e seus recursos mais relevantes.

Algoritmos otimizados de redirecionamento de tráfego

Esse é um recurso clássico de SD-WAN e uma das principais vantagens competitivas da tecnologia. O roteamento do tráfego depende da natureza e da localização do aplicativo corporativo, mas também leva em conta as prioridades atuais e as condições da rede: em alguns casos, a confiabilidade é essencial; em outros, a velocidade ou a baixa latência são o fator decisivo. A nova versão do Kaspersky SD-WAN aprimora o algoritmo e passa a incluir dados detalhados sobre a perda de tráfego em cada caminho possível. Isso garante o funcionamento estável de serviços críticos em redes geograficamente distribuídas, por exemplo, ao reduzir falhas em videoconferências nacionais de grande escala. O mais importante é que esse aumento de confiabilidade vem acompanhado da redução da carga de trabalho de engenheiros de rede e equipes de suporte, já que o processo de adaptação de rotas é completamente automatizado.

Encaminhamento condicional de DNS

Esse recurso otimiza a velocidade de resolução de nomes de domínio e ajuda a manter as políticas de segurança para diferentes tipos de aplicativos. Por exemplo, as solicitações relacionadas à infraestrutura em nuvem do MS Office são encaminhadas diretamente do escritório local à CDN da Microsoft, enquanto os nomes de servidores da rede interna são resolvidos por meio do servidor DNS corporativo. Essa abordagem melhora significativamente a velocidade de estabelecimento das conexões e elimina a necessidade de configurar manualmente os roteadores em cada escritório. Em vez disso, uma única política unificada é suficiente para toda a rede.

Alterações programadas de configuração de CPE

Qualquer reconfiguração de rede em larga escala aumenta o risco de interrupções (mesmo que breves) e falhas. Para garantir que esse tipo de evento não prejudique processos críticos de negócios, qualquer alteração de política no Kaspersky SD-WAN pode ser programada para um horário específico. Quer alterar as configurações de roteadores em cem escritórios ao mesmo tempo? Programe a alteração para as 2h no horário local ou para a manhã de sábado. Isso elimina a necessidade de a equipe regional de TI estar fisicamente presente durante a implementação.

Depuração simplificada de BGP e OSPF

A análise do roteamento BGP agora pode ser realizada inteiramente pela interface gráfica do orquestrador. Surgiu um loop de roteamento repentinamente em algum ponto entre os escritórios de Milão e Paris? Em vez de acessar cada equipamento em todos os escritórios e nós intermediários via SSH, você agora pode identificar e resolver o problema por meio de uma única interface, reduzindo significativamente o tempo de inatividade.

Substituição fácil de CPE

Se o equipamento de rede em um escritório precisar ser substituído, agora é possível manter todas as configurações existentes ao substituí-lo. O técnico no escritório simplesmente conecta a nova unidade CPE, e o orquestrador do Kaspersky SD-WAN restaura automaticamente todas as políticas e túneis no dispositivo. Isso oferece vários benefícios imediatos: reduz significativamente o tempo de inatividade; a substituição pode ser realizada por um técnico sem conhecimento aprofundado de protocolos de rede; e diminui consideravelmente a probabilidade de falhas adicionais causadas por erros de configuração manual.

Diagnóstico de LTE

Embora frequentemente seja o canal de comunicação corporativa mais rápido e econômico de implantar, o LTE apresenta uma desvantagem: a instabilidade. Tanto a cobertura celular quanto a velocidade operacional podem variar com frequência, exigindo que os engenheiros de rede tomem providências, como realocar o CPE para uma área com melhor sinal. Agora, você pode tomar essas decisões com base em dados de diagnóstico coletados diretamente pelo orquestrador. Ele exibe os parâmetros de serviço dos dispositivos LTE conectados, incluindo o nível de intensidade do sinal.

Gerenciamento de falhas de energia

Para empresas com os requisitos mais rigorosos de tolerância a falhas e tempo de recuperação, estão disponíveis, mediante solicitação especial, variantes de CPE especializadas e equipadas com uma pequena fonte interna de energia. Em casos de queda de energia, o CPE poderá enviar dados detalhados sobre o tipo de falha para o orquestrador. Isso dá aos administradores tempo para investigar a causa e resolver o problema muito mais rapidamente.

Estas são apenas algumas das inovações do Kaspersky SD-WAN. Outros recursos incluem a capacidade de configurar políticas de segurança para conexões com a porta de console do CPE, além do suporte a redes de grande escala com mais de 2 mil CPEs e balanceamento de carga entre múltiplos orquestradores. Para saber mais sobre como todos esses novos recursos aumentam o valor do SD-WAN para a sua organização, nossos especialistas estão disponíveis para oferecer uma demonstração personalizada.