Os atacantes enganam as vítimas para que insiram um código de dispositivo na página de login legítima da Microsoft, autorizando, sem que elas saibam, um aplicativo controlado pelo atacante e concedendo-lhes acesso à conta alvo sem roubar credenciais ou burlar a autenticação multifator (MFA).

Embora o método não seja novo, a empresa de segurança de e-mail Proofpoint afirma que esses ataques aumentaram significativamente em volume desde setembro e envolvem tanto cibercriminosos com motivações financeiras, como o TA2723, quanto agentes de ameaças alinhados a governos.

“A Proofpoint Threat Research observou vários grupos de ameaças que usam phishing de código de dispositivo para enganar os usuários e levá-los a conceder acesso às suas contas do Microsoft 365 a agentes maliciosos”, alertou a empresa de segurança, acrescentando que campanhas generalizadas usando esses fluxos de ataque são “altamente incomuns”.

Ferramentas e campanhas

As cadeias de ataque observadas pela Proofpoint nas campanhas apresentam pequenas variações, mas todas envolvem enganar as vítimas para que insiram um código de dispositivo nos portais de login legítimos da Microsoft.

Em alguns casos, o código do dispositivo é apresentado como uma senha de uso único, enquanto em outros, a isca pode ser uma notificação de reautorização de token.

Os pesquisadores observaram dois kits de phishing usados ​​nos ataques, nomeadamente o SquarePhish v1 e v2, e o Graphish, que simplificam o processo de phishing.

O SquarePhish é uma ferramenta de teste de intrusão (red teaming) disponível publicamente que visa fluxos de autorização de concessão de dispositivos OAuth por meio de códigos QR, imitando configurações legítimas de MFA/TOTP da Microsoft.

Graphish é um kit de phishing malicioso compartilhado em fóruns clandestinos, que oferece suporte a abusos do OAuth, registros de aplicativos do Azure e ataques de adversário no meio (Ai).

Com relação às campanhas observadas pela Proofpoint, os pesquisadores destacaram três no relatório: 

• Ataques de bônus salariais – Uma campanha que utiliza compartilhamento de documentos como isca e a identidade visual da empresa em diferentes locais para induzir os destinatários a clicarem em links que os direcionam para sites controlados pelo atacante. As vítimas são então instruídas a concluir uma “autenticação segura” inserindo um código fornecido na página de login legítima da Microsoft, o que autoriza um aplicativo controlado pelo atacante.

• Ataques TA2723 – Um grupo envolvido em phishing de credenciais em larga escala, anteriormente conhecido por falsificar contas do Microsoft OneDrive, LinkedIn e DocuSign, que começou a usar phishing de código OAuth em outubro. A Proofpoint avalia que as fases iniciais dessas campanhas provavelmente usaram o SquarePhish2, com ondas posteriores possivelmente migrando para o kit de phishing Graphish.

• Atividade alinhada a Estados – Desde setembro de 2025, a Proofpoint observou um agente de ameaças suspeito, alinhado à Rússia, rastreado como UNK_AcademicFlare, abusando da autorização de código de dispositivo OAuth para assumir o controle de contas. O agente usa contas de e-mail governamentais e militares comprometidas para criar um relacionamento antes de compartilhar links que falsificam o OneDrive, levando as vítimas a um fluxo de phishing de código de dispositivo. A atividade tem como alvo principal os setores governamental, acadêmico, de think tanks e de transporte nos EUA e na Europa.

Para bloquear esses ataques, a Proofpoint recomenda que as organizações usem o Acesso Condicional do Microsoft Entra sempre que possível e considerem a implementação de uma política de origem de login.

Embora processadores de smartphones e tablets atuais, como as linhas Snapdragon e Apple Silicon, possuam arquitetura capaz de executar tarefas complexas, as versões móveis de aplicativos populares entregam funcionalidades reduzidas.

Ponte exemplifica com o ecossistema Google: ferramentas como o Google Docs e Planilhas apresentam menos opções em tablets do que em navegadores de desktop. Outro caso citado é o navegador Chrome para Android, que não suporta extensões, diferentemente de sua versão para Chrome OS, mesmo rodando sobre bases similares.

Para o apresentador, essa discrepância não é acidental:

“O problema é software e, mais do que software, é falta de vontade das empresas de fazer acontecer”, afirma Ponte.

Ele argumenta que gigantes como Apple, Google e Microsoft desenham seus ecossistemas para manter o computador como uma peça central, simplificando excessivamente a experiência móvel para evitar a canibalização de seus próprios produtos ou sistemas operacionais de desktop.

Convergência via inteligência artificial

A matéria destaca que exceções existem, como a Valve, que transporta a experiência completa de desktop para dispositivos portáteis como o Steam Deck e o projeto “Gabe Cube”, provando a viabilidade técnica da convergência.

No mercado mobile tradicional, iniciativas como o modo DeX da Samsung e a previsão de um modo desktop nativo no Android 16 tentam diminuir o abismo entre as plataformas, mas ainda esbarram nas limitações dos aplicativos desenvolvidos para telas de toque.

Um ponto de mudança observado é a ascensão das ferramentas de inteligência artificial generativa. Serviços como ChatGPT, Gemini e Perplexity oferecem interfaces e recursos idênticos tanto no celular quanto no computador, sugerindo um futuro mais unificado.

“Essa barreira mudou recentemente nos últimos dois anos com o pessoal usando a mesma coisa ali no celular e no computador”, observa Ponte.

Apesar da evolução, a previsão se mantém cautelosa. A complexidade de gestão de arquivos e a ausência de recursos avançados em sistemas móveis indicam que o fluxo de trabalho híbrido permanecerá.

“Para 2026, você ainda vai ter um computador pelo que a gente vê”, conclui o apresentador, ressaltando que a unificação total depende mais de decisões corporativas do que de avanços tecnológicos.

Os invasores não estão arrombando fechaduras, eles estão arrombando pessoas. O caminho mais rápido para dentro de muitas empresas ainda é o service desk. Agentes de ameaças como o Scattered Spider transformaram a engenharia social em uma ciência, e seus agentes de help desk são o alvo principal deles.

Um telefonema convincente pode transformar uma redefinição de senha de rotina em acesso total ao domínio.

Os incidentes do MGM Resorts e da Clorox mostraram o quão devastadora uma chamada de engenharia social bem-sucedida pode ser, com um impacto comercial de nove dígitos e semanas de interrupção.

Isso não é um acaso; é o manual.

O treinamento ajuda, os controles decidem

Sim, o treinamento de agentes é importante. Não, ele não vai te salvar sozinho. Engenheiros sociais são especialistas em explorar pessoas prestativas sob pressão de tempo.

Roteiros, “bom senso” e perguntas desafiadoras improvisadas não dão certo quando o agressor está calmo, preparado e é persuasivo.

Se sua última linha de defesa for um agente sobrecarregado tomando uma decisão, você já perdeu.

Conclusão: a verificação do usuário deve ser um fluxo de trabalho de propriedade da segurança , não uma conversa de propriedade do agente.

Uma abordagem de fluxo de trabalho para verificação de usuários do help desk

Transfira a verificação da cabeça do agente para um fluxo de trabalho formal de segurança de TI que seja consistente, registrado e aplicado:

• Controles obrigatórios: Os agentes nunca manipulam ou visualizam credenciais. O fluxo de trabalho o faz.
• Verificação baseada em funções: alinhe a profundidade das verificações ao risco da persona (executivos, administradores, finanças, contratados, etc.). Funções de alto risco exigem provas mais sólidas.
• Flexibilidade baseada em pontos: a vida real acontece — celulares morrem, viagens interrompem o MFA. Use vários tipos de prova com pontuações que somam um limite de aprovação/reprovação.
• Integração ITSM: Mantenha o agente em sua ferramenta habitual (por exemplo, ServiceNow). Os tickets iniciam o fluxo de verificação automaticamente e retornam o resultado + telemetria para o ticket.
• Reduza o estresse e os erros dos agentes:  um fluxo de trabalho formal elimina o fardo de ser um especialista em segurança dos seus agentes. Eles não precisam mais tomar decisões de alto risco, resultando em um processamento de tickets mais rápido, consistente e menos estressante. Isso não significa apenas mais segurança; significa um serviço melhor.
• O que é “bom” (perfis alinhados ao NIST)
• A maioria dos nossos clientes começa com três perfis de verificação mapeados para o risco do usuário e os fatores disponíveis. Poderia ser assim:
• Perfil 1 (Usuário Padrão – Baixa Garantia): Para solicitações de rotina, como redefinição de senha para um funcionário padrão.
  • Método: Uma notificação push para o aplicativo autenticador corporativo registrado (Okta Verify, MS Authenticator). É rápido, familiar e aproveita a infraestrutura existente.
• Perfil 2 (Usuário privilegiado/Ação sensível – Alta garantia): Para administradores de domínio, controladores financeiros ou qualquer pessoa que solicite uma alteração sensível.
  • Método: Requer dois fatores distintos. Por exemplo: notificação push do autenticador bem-sucedida
    E
    um código único enviado para o endereço de e-mail corporativo registrado.
    OU responder a uma pergunta baseada em um atributo não público do sistema HRIS (por exemplo, “Qual é o seu número de identificação de funcionário?”).
• Perfil 3 (Contingência/Falha de MFA – Garantia Flexível): Para quando o usuário perde seu dispositivo MFA principal.
  • Método: O usuário deve atingir 100 pontos em um menu de opções, evitando que fique totalmente bloqueado.
    • Código único para e-mail pessoal registrado: (50 pontos)
    • Código único para número de telefone pessoal registrado: (50 pontos)
    • Verificação do número de série do dispositivo do MDM: (60 pontos)
    • responder a uma pergunta baseada em um atributo não público do sistema HRIS (por exemplo, “Qual é o seu número de identificação de funcionário?”). (50 pontos)
• Dica: Se a MFA não estiver universalmente disponível, prefira dados verificados pela empresa (atributos de RHIS/IDP, postura do dispositivo, sinais geográficos/de comportamento) em vez de informações pessoais triviais e supostas. Mantenha uma lista curta e verificada e descarte qualquer pergunta que vaze ou apareça em violações.
• Detecte ataques precocemente e documente tudo
• Quando a verificação está presente no fluxo de trabalho, você obtém resultados de segurança “de graça”. Estes são alguns dos benefícios extras percebidos por nossos clientes:
• Alerta antecipado: picos de verificações com falha para o mesmo usuário ou função são a fumaça antes do fogo — alerta automático para SecOps. Alerta automático contra contas suspeitas, mesmo usuário ligando em pouco tempo.
• Trilha de auditoria: cada tentativa, fator, pontuação e resultado são carimbados no tíquete.
• Conformidade: relatórios automatizados demonstram controles consistentes em toda a área de trabalho.
• Plano de implementação que não vai quebrar a mesa
• Todas as organizações têm seus próprios princípios de projeto, mas estes são traços comuns:
• Fatores de inventário + lacunas: Quais usuários têm MFA? Quais não têm? Quais dados seguros são adequados para verificações de conhecimento?
• Defina 3 perfis: mapeie para funções de baixo/médio/alto risco; defina o limite de aprovação para 100.
• Integre com o ITSM: acione o fluxo do seu tíquete (por exemplo, ServiceNow) com ID do usuário + categoria; grave os resultados e a telemetria.
• Treine para o processo, não para a persuasão: os agentes aprendem uma coisa: siga o fluxo de trabalho .
• Mensure e ajuste: monitore as taxas de falha, o tempo de resolução, as escalações e as falsas rejeições. Ajuste a pontuação e as perguntas trimestralmente.
• Uma nota sobre nossas ferramentas
• O FastPass Identity Verification Manager (IVM) implementa este modelo: verificação obrigatória, baseada em funções e em pontos, totalmente integrada ao ITSM.
• Ele centraliza verificações, aplica políticas e retorna resultados + contexto ao tíquete para alertas, auditoria e conformidade.
• Se você estiver enfrentando táticas do estilo Aranha Dispersa, esse é o tipo de proteção que os bloqueia no primeiro salto.
• A FastPassCorp auxiliou diversas grandes organizações na implementação de fluxo de trabalho seguro para usuários e adquiriu uma experiência superior na área, documentada nos guias e vídeos disponíveis.
• A lição para viagem
• Não se vence a engenharia social com pôsteres mais simpáticos e roteiros mais longos. Vence-se removendo a discrição, gerando provas e instrumentando o fluxo de trabalho que o invasor está tentando explorar.
• Faça isso e o service desk deixará de ser um alvo fácil e começará a agir como um controle adequado.

Em um novo relatório da empresa russa de segurança móvel Dr. Web, pesquisadores rastreiam o novo spyware como ‘Android.Backdoor.916.origin’, não encontrando vínculos com famílias de malware conhecidas.

Entre suas várias capacidades, o malware pode espionar conversas, transmitir da câmera do telefone, registrar a entrada do usuário com um keylogger ou exfiltrar dados de comunicação de aplicativos de mensagens.

O Dr. Web relata que, desde a descoberta inicial deste malware em janeiro de 2025, ele testou diversas versões subsequentes, indicando desenvolvimento contínuo.

Com base nas iscas de distribuição, nos métodos de infecção e no fato de sua interface oferecer apenas a opção em russo, os pesquisadores acreditam que ele foi projetado para ataques direcionados contra empresas russas.

O Dr. Web viu duas tentativas principais de criação de marca, uma chamada “GuardCB”, representando o Banco Central da Federação Russa, e duas variantes chamadas “SECURITY_FSB” e “ФСБ” (FSB), supostamente tentando representar um software da agência de inteligência russa.

“Ao mesmo tempo, sua interface oferece apenas um idioma: russo. Ou seja, o programa malicioso é totalmente focado em usuários russos”, relata o Dr. Web .

“Isso é confirmado por outras modificações detectadas com nomes de arquivo como “SECURITY_FSB”, “FSB” e outros, que os cibercriminosos estão tentando fazer passar por programas de segurança supostamente relacionados a agências policiais russas.”

Embora a ferramenta antivírus não tenha recursos relacionados à segurança, ela tenta imitar uma ferramenta de segurança genuína para impedir que a vítima a remova do seu dispositivo.

Quando o usuário clica em “scan”, a interface exibe uma simulação programada para retornar um resultado falso positivo em 30% das vezes, com o número de detecções falsas variando (aleatoriamente) entre 1 e 3.

Após a instalação, o malware solicita a concessão de diversas permissões de alto risco, como geolocalização, acesso a SMS e arquivos de mídia, câmera e gravação de áudio, Serviço de Acessibilidade e permissão para ser executado em segundo plano o tempo todo.

Em seguida, ele inicia vários serviços por meio dos quais se conecta ao comando e controle (C2) para receber comandos como:

• Exfiltrar SMS, contatos, histórico de chamadas, geolocalização e imagens armazenadas
• Ative o microfone, a câmera e o streaming de tela
• Capturar entrada de texto e conteúdo do messenger ou navegador (aplicativos Telegram, WhatsApp, Gmail, Chrome, Yandex)
• Execute comandos de shell, mantenha a persistência e habilite a autoproteção

O Dr. Web descobriu que o malware pode alternar entre até 15 provedores de hospedagem e, embora essa função não esteja ativa no momento, ela mostra que o malware foi projetado para ser resiliente.

O bug foi corrigido na atualização cumulativa de visualização KB5062660 para Windows 11 24H2, lançada na terça-feira, com a correção sendo disponibilizada de forma geral a todos os usuários que instalarem as atualizações do Patch Tuesday de agosto.

Redmond reconheceu esse bug pela primeira vez em 3 de julho, quando pediu aos administradores que ignorassem avisos incorretos registrados no Visualizador de Eventos do Firewall do Windows com Segurança Avançada.

Na época, também foi observado que esse bug é causado por um novo recurso ainda em desenvolvimento, que ainda não foi totalmente integrado ao sistema operacional.

“O erro é encontrado no Visualizador de Eventos como evento 2042 para o Firewall do Windows com Segurança Avançada. O evento aparece como ‘Falha na Leitura da Configuração’ com a mensagem ‘Mais dados disponíveis'”, explicou.

“Embora esse evento seja registrado no Visualizador de Eventos sempre que o dispositivo é reiniciado, ele não reflete um problema com o Firewall do Windows e pode ser desconsiderado.”

Em 8 de julho, a empresa pediu desculpas após marcar erroneamente o problema conhecido como resolvido e disse que uma correção estaria disponível em breve.

Nas últimas semanas, Redmond lidou com problemas semelhantes que afetavam outros recursos do Windows, o que resultou em mais avisos errôneos sem nenhum impacto real.

Por exemplo, em abril, a Microsoft confirmou e corrigiu outro problema conhecido que estava causando erros de falha inválidos 0x80070643 após instalar as atualizações do Ambiente de Recuperação do Windows (WinRE) de abril de 2025.

No mesmo mês, a empresa corrigiu um bug que causava erros de criptografia de unidade BitLocker em dispositivos Windows 10 e Windows 11 devido a um problema de relatório. Redmond confirmou o bug em outubro e afirmou que ele afetava apenas ambientes Windows gerenciados onde a criptografia de unidade era aplicada ao sistema operacional e às unidades fixas.

“O Google está ciente da existência de um exploit para o CVE-2025-6554”, afirmou o fornecedor do navegador em um  comunicado de segurança divulgado na segunda-feira. “Este problema foi mitigado em 26/06/2025 por uma alteração de configuração implementada no canal Stable em todas as plataformas.”

A empresa corrigiu o problema de dia zero para usuários no canal Stable Desktop, com novas versões sendo lançadas mundialmente para usuários do Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) e Linux (138.0.7204.96) um dia após o problema ter sido relatado ao Google.

​​O bug foi descoberto por Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, um coletivo de pesquisadores de segurança focados em defender os clientes do Google de ataques patrocinados por estados e outros ataques semelhantes.

O Google TAG frequentemente descobre exploits de dia zero implantados por agentes de ameaças patrocinados pelo governo em ataques direcionados para infectar indivíduos de alto risco, incluindo políticos da oposição, dissidentes e jornalistas, com spyware.

Embora as atualizações de segurança que corrigem o CVE-2025-6554 possam levar dias ou semanas para chegar a todos os usuários, de acordo com o Google, elas ficaram imediatamente disponíveis quando o BleepingComputer verificou se havia atualizações hoje mais cedo.

Usuários que preferem não atualizar manualmente também podem contar com o navegador da web para verificar automaticamente se há novas atualizações e instalá-las após a próxima inicialização.

O bug de dia zero corrigido hoje é uma  vulnerabilidade de confusão de alta gravidade  no mecanismo JavaScript do Chrome V8. Embora essas falhas geralmente causem travamentos do navegador após exploração bem-sucedida, lendo ou gravando memória fora dos limites do buffer, invasores também podem explorá-las para executar código arbitrário em dispositivos sem patches.

Embora o Google tenha declarado que essa vulnerabilidade foi explorada, a empresa ainda não compartilhou detalhes técnicos ou informações adicionais sobre esses ataques.

“O acesso aos detalhes e links do bug poderá ser mantido restrito até que a maioria dos usuários receba uma correção. Também manteremos as restrições caso o bug exista em uma biblioteca de terceiros da qual outros projetos dependam, mas que ainda não foram corrigidos”, afirmou o Google.

Esta é a quarta correção de dia zero do Google Chrome explorada ativamente desde o início do ano, com mais três corrigidas em março, maio e junho.

A primeira, uma falha de escape de sandbox de alta gravidade (CVE-2025-2783) relatada por Boris Larin e Igor Kuznetsov da Kaspersky,  foi usada em ataques de espionagem  direcionados a organizações governamentais e veículos de mídia russos com malware.

O Google lançou outro conjunto de atualizações de segurança emergenciais em maio para lidar com um problema de dia zero no Chrome (CVE-2025-4664) que pode permitir que invasores  sequestrem contas . Um mês depois, a empresa  corrigiu uma vulnerabilidade de leitura e gravação fora dos limites  no mecanismo JavaScript V8 do Chrome, descoberta por Benoît Sevens e Clément Lecigne, do Google TAG.

Em 2024,  o Google corrigiu um total de 10 vulnerabilidades de dia zero  que foram exploradas em ataques ou demonstradas durante competições de hackers Pwn2Own.

Fonte: https://www.bleepingcomputer.com/news/security/google-fixes-fourth-actively-exploited-chrome-zero-day-of-2025/

Existem várias maneiras pelas quais um hacker pode invadir sua rede Wi-Fi. O uso de senhas padrão em roteadores é uma das principais falhas, facilitando o acesso indevido. Além disso, técnicas como ataques de força bruta, ferramentas especializadas e até engenharia social são frequentemente utilizadas para invadir redes Wi-Fi privadas.

Felizmente, existem formas simples de proteger sua conexão. Alterar o nome da sua rede e usar uma senha forte e única são os primeiros passos. Mas, se ainda assim você perceber acessos não autorizados, há uma solução extra que pode garantir sua segurança: usar uma VPN.

Uma VPN como a Surfshark não impede que o sinal da sua rede Wi-Fi seja roubado, mas oferece uma camada extra de proteção. Ela criptografa todos os dados transmitidos, tornando suas informações invisíveis para qualquer pessoa que tente espionar sua rede. Além disso, a VPN oculta sua atividade online, garantindo que ninguém, nem mesmo quem tem acesso à sua rede, consiga ver os sites que você visita ou os arquivos que baixa.

Existem dois principais tipos de interface SSD: o SATA e o NVMe, cada um com características específicas de formato, compatibilidade e desempenho. NVMe é o padrão mais recente, que alcança maiores velocidades de comunicação, utilizando o PCIe da placa mãe. Já dispositivos do tipo Sata, por sua vez, são os mais tradicionais e podem ser compatíveis com máquinas de diferentes gerações. Confira a seguir, um guia completo para você saber mais sobre o SSD e qual tipo se encaixa melhor com o seu perfil de uso.

Veja os tópicos que serão abordados na matéria:

1. O que é SSD
2. SSD vs HD
3. Formatos de SSD
4. Interfaces de SSD
5. Qual SSD comprar?

O que é SSD

Um SSD, Solid-State Drive na sigla em inglês, é um dispositivo de armazenamento de dados que, ao invés de usar discos magnéticos e braço mecânico, utiliza memória em flash para gravar e acessar informações. Sua tecnologia tem operação silenciosa e permite tempos de leitura e gravação muito mais rápidos, o que resulta em melhor desempenho do sistema.

Os SSDs são amplamente usados ​​em computadores, notebooks e outros dispositivos eletrônicos, pois aceleram o carregamento de sistemas operacionais, aplicativos e jogos. O seu aparecimento também trouxe uma maior eficiência energética em relação a tecnologias anteriores, o que é especialmente vantajoso para dispositivos portáteis, como notebooks.

SSD vs HD

O HD (Hard Disk Drive) e o SSD (Solid State Drive) são dispositivos de armazenamento com diferenças marcantes em tecnologia, desempenho e custo. O HD utiliza discos magnéticos giratórios para gravar e acessar dados, enquanto o SSD utiliza memória flash, ou que elimina partes móveis. Essa diferença técnica torna o SSD muito mais rápido, com tempos de inicialização e carregamento de aplicativos significativamente menores. Além disso, o SSD é mais resistente a impactos, silencioso e consome menos energia, sendo ideal para dispositivos portáteis como notebooks.

Os HDs, por sua vez, ainda são mais baratos por gigabyte e apresentam maior capacidade de armazenamento em faixas de preço acessíveis. Em outras palavras, isso os torna uma opção atrativa para quem precisa de muito espaço por um custo menor, como em servidores de arquivos ou backups. No entanto, a popularização dos SSDs têm tornado essa tecnologia cada vez mais acessível, fazendo com que muitos usuários de computadores optem por uma combinação dos dois: o SSD para sistema operacional e programas, e o HD para armazenamento de arquivos grandes.

Formatos de SSD

Os SSDs estão disponíveis em diferentes formatos, cada um projetado para atender necessidades específicas de desempenho, compatibilidade, espaço físico e, claro, orçamento. Os principais formatos incluem 2,5 polegadas, M.2, mSATA e U.2. A seguir, confira um pouco mais sobre cada um desses formatos:

1. Formato 2,5 polegadas

Esse é o formato mais comum, com dimensões semelhantes a um HD tradicional usado em notebooks. Ele se conecta via interface SATA e oferece velocidades moderadas — limitadas pela SATA —, sendo uma opção acessível e amplamente compatível com desktops e laptops.

2. Formato M.2

Os SSDs M.2 são compactos e finos, ideais para dispositivos modernos com espaço limitado, como notebooks ultrafinos. Medindo aproximadamente 22 mm, esse formato é projetado para colocar diretamente slot na placa-mãe de um computador. Inclusive, podem usar interfaces SATA ou NVMe (por meio de PCIe), sendo esses últimos significativamente mais rápidos. Porém, é importante verificar a compatibilidade com a placa-mãe, já que nem todos os slots M.2 suportam NVMe.

3. Formato mSATA

O formato mSATA, menor que 2,5 polegadas, foi projetado para notebooks compactos e sistemas embarcados. Ele utiliza uma interface SATA, oferecendo desempenho semelhante aos SSDs SATA de 2,5 polegadas, mas está sendo gradualmente substituído pelo M.2, que é mais versátil.

4. Formato U.2

Os SSDs U.2 são maiores e geralmente usados ​​em servidores e sistemas de alto desempenho. Eles suportam uma interface NVMe via PCIe, permitindo uma maior quantidade de armazenamento.velocidades muito altas e maior durabilidade. O formato U.2 é menos comum em dispositivos de consumo, mas essencial em aplicações profissionais que exigem alta capacidade e confiabilidade.

Intefaces de SSD

Uma interface, no contexto da tecnologia, é o meio pelo qual dois sistemas ou dispositivos diferentes se conectam e interagem para trocar informações ou realizar operações. No caso de armazenamento, como SSDs, a interface é o padrão de comunicação que determina como o dispositivo se conecta à placa-mãe do computador, bem como a velocidade e a eficiência com que os dados são transferidos. Exemplos comuns de interfaces para SSDs incluem SATA, que é mais lento e amplamente compatível, e NVMe, que utiliza o barramento PCIe para oferecer desempenho extremamente rápido.

1. Interface SATA

A interface SATA (Serial ATA) é uma das mais antigas e amplamente utilizada para SSDs e HDs. Ela oferece uma velocidade de transferência de dados limitada, mas suficiente para tarefas diárias, como inicialização rápida do sistema operacional e execução de aplicativos básicos. Por ser compatível com a maioria das placas-mãe, essa é uma escolha acessível e fácil de implementar em notebooks e desktops, especialmente em modelos mais antigos.

Apesar de sua popularidade, a interface SATA apresenta limitações em termos de desempenho. A velocidade máxima já foi ultrapassada pelas demandas modernas, especialmente em aplicações que envolvem transferência intensiva de dados, como edição de vídeos ou jogos avançados. Ainda assim, os SSDs SATA continuam sendo uma opção econômica para quem busca substituir um HD tradicional por uma solução mais rápida e confiável.

2. Interface NVMe

A interface NVMe (Non-Volatile Memory Express) é uma tecnologia moderna projetada especificamente para SSDs, utilizando o barramento PCIe para alcançar velocidades de transferência muito superiores às do SATA. Dependendo da geração do PCIe utilizado (como PCIe 3.0, 4.0 ou 5.0), os SSDs NVMe podem oferecer velocidades de até 7 GB/s ou mais, tornando-os ideais para tarefas intensivas, como edição de vídeos em 4K, modelagem 3D e execução de jogos com carregamento quase instantâneo.

Além da velocidade, o NVMe também reduz a latência de comunicação com a CPU, permitindo um desempenho mais eficiente. No entanto, essa tecnologia requer uma placa-mãe compatível e, geralmente, tem um custo mais elevado em comparação com os modelos SATA. Apesar disso, são cada vez mais populares e representam o futuro do armazenamento em termos de desempenho, especialmente para profissionais e entusiastas de tecnologia.

Qual SSD comprar?

Para decidir qual SSD comprar, avalie as necessidades específicas de desempenho, compatibilidade com seu sistema e orçamento disponível. Os SSDs de 2,5 polegadas são os mais comuns e utilizam a interface SATA, oferecendo um upgrade de velocidade para o dia-a-dia. Eles são compatíveis com a maioria dos desktops e notebooks, sendo uma opção acessível para quem busca melhorar o desempenho do sistema baseado em HD.

Por outro lado, os SSDs mSATA são menores que os de 2,5 polegadas e também utilizam a mesma interface, apresentando desempenho semelhante. Eles foram projetados para notebooks compactos e sistemas embarcados, mas estão sendo gradualmente substituídos pelos M.2, que são mais versáteis.

Nesse sentido, os SSDs M.2 medem aproximadamente 22 mm e podem utilizar interfaces SATA ou NVMe via PCIe, com os modelos NVMe alcançando velocidades significativamente superiores — ideais para tarefas que desativam alto desempenho. No entanto, é crucial verificar a compatibilidade da placa-mãe com o tipo específico de M.2, já que nem todos os slots suportam NVMe.

Por fim, os SSDs U.2 são maiores e geralmente usados ​​em servidores e sistemas de alto desempenho. Eles suportam uma interface NVMe via PCIe, permitindo velocidades muito altas e maior durabilidade. O formato U.2 é menos comum em dispositivos comuns, mas essencial em aplicações profissionais que exigem alta capacidade e confiabilidade.

A técnica explora os diferentes métodos que os analisadores ZIP e gerenciadores de arquivos usam para manipular arquivos ZIP concatenados.

Essa nova tendência foi identificada pela Perception Point , que descobriu um arquivo ZIP concatenado escondendo um trojan enquanto analisava um ataque de phishing que atraía usuários com um aviso de remessa falso.

Os pesquisadores descobriram que o anexo estava disfarçado como um arquivo RAR e o malware aproveitou a linguagem de script AutoIt para automatizar tarefas maliciosas.

Escondendo malware em ZIPs “quebrados”

O primeiro estágio do ataque é a preparação, onde os agentes da ameaça criam dois ou mais arquivos ZIP separados e ocultam a carga maliciosa em um deles, deixando o restante com conteúdo inócuo.

Em seguida, os arquivos separados são concatenados em um, anexando os dados binários de um arquivo ao outro, mesclando seus conteúdos em um arquivo ZIP combinado.

Embora o resultado final apareça como um arquivo, ele contém várias estruturas ZIP, cada uma com seu próprio diretório central e marcadores finais.

Explorando falhas do aplicativo ZIP

A próxima fase do ataque depende de como os analisadores ZIP lidam com arquivos concatenados. A Perception Point testou 7zip, WinRAR e Windows File Explorer com resultados diferentes:

• O 7zip  lê apenas o primeiro arquivo ZIP (o que pode ser benigno) e pode gerar um aviso sobre dados adicionais, que os usuários podem perder
• O WinRAR lê e exibe ambas as estruturas ZIP, revelando todos os arquivos, incluindo a carga maliciosa oculta.
• O Windows File Explorer  pode não conseguir abrir o arquivo concatenado ou, se renomeado com uma extensão .RAR, pode exibir apenas o segundo arquivo ZIP.

Dependendo do comportamento do aplicativo, os agentes da ameaça podem ajustar seu ataque, como ocultar o malware no primeiro ou no segundo arquivo ZIP da concatenação.

Tentando o arquivo malicioso do ataque ao 7Zip, os pesquisadores da Perception Point viram que apenas um arquivo PDF inofensivo foi mostrado. Abri-lo com o Windows Explorer, no entanto, revelou o executável malicioso.

Para se defender contra arquivos ZIP concatenados, a Perception Point sugere que usuários e organizações usem soluções de segurança que suportem descompactação recursiva.

Geralmente, e-mails com anexos ZIPs ou outros tipos de arquivos compactados devem ser tratados com suspeita, e filtros devem ser implementados em ambientes críticos para bloquear as extensões de arquivo relacionadas.