Os aplicativos que continham o código malicioso incluíam programas de limpeza, galerias de imagens e jogos. Eles não exigiam permissões suspeitas e forneciam a funcionalidade prometida.

Após executar um aplicativo infectado, o malware tentou obter acesso root no dispositivo explorando vulnerabilidades antigas do Android que receberam correções entre 2016 e 2021.

Pesquisadores da empresa de cibersegurança McAfee descobriram a operação NoVoice, mas não conseguiram associá-la a um agente de ameaças específico. No entanto, destacaram que o malware apresentava semelhanças com o  trojan Triada para Android .

Cadeia de infecção NoVoice

Segundo pesquisadores da McAfee, o agente malicioso ocultou componentes maliciosos no  pacote com.facebook.utils , misturando-os com as classes legítimas do SDK do Facebook.

Um payload criptografado (enc.apk) oculto dentro de um arquivo de imagem PNG usando esteganografia é extraído ( h.apk ) e carregado na memória do sistema, enquanto todos os arquivos intermediários são apagados para eliminar vestígios.

A McAfee observa que o agente malicioso evita infectar dispositivos em certas regiões, como Pequim e Shenzhen, na China, e implementou 15 verificações para emuladores, depuradores e VPNs. Se as permissões de localização não estiverem disponíveis, o malware continua a cadeia de infecção.

O malware então contata o servidor de comando e controle (C2) e coleta informações do dispositivo, como detalhes de hardware, versão do kernel, versão do Android (e nível de patch), aplicativos instalados e status de root, para determinar a estratégia de exploração.

Em seguida, o malware consulta o servidor de comando e controle (C2) a cada 60 segundos e baixa vários componentes para exploits específicos do dispositivo, projetados para obter acesso root ao sistema da vítima.

Os pesquisadores criaram um mapa da cadeia de infecção, desde a fase de entrega até a fase de injeção.

A McAfee afirma ter observado 22 vulnerabilidades, incluindo bugs de kernel do tipo “use-after-free” (uso após liberação de memória) e falhas no driver da GPU Mali. Essas vulnerabilidades concedem aos operadores acesso root e permitem que eles desativem a aplicação do SELinux no dispositivo, eliminando efetivamente suas proteções de segurança fundamentais.

Após o processo de root no dispositivo, bibliotecas de sistema essenciais como libandroid_runtime.so e libmedia_jni.so são substituídas por wrappers maliciosos que interceptam chamadas de sistema e redirecionam a execução para código de ataque.

O rootkit estabelece múltiplas camadas de persistência, incluindo a instalação de scripts de recuperação, a substituição do gerenciador de falhas do sistema por um carregador de rootkit e o armazenamento de payloads de fallback na partição do sistema.

Como essa parte do armazenamento do dispositivo não é apagada durante uma restauração de fábrica, o malware persistirá mesmo após uma limpeza completa.

Um serviço de monitoramento é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente os componentes ausentes. Se as verificações falharem, ele força a reinicialização do dispositivo, fazendo com que o rootkit seja recarregado.

Roubo de dados do WhatsApp

Durante a fase de pós-exploração, o código controlado pelo atacante é injetado em todos os aplicativos executados no dispositivo. Dois componentes principais são implantados: um que permite a instalação ou remoção silenciosa de aplicativos e outro que opera dentro de qualquer aplicativo com acesso à internet.

Este último serve como principal mecanismo de roubo de dados, e a McAfee observou que ele tinha como alvo principal o aplicativo de mensagens WhatsApp.

Quando o WhatsApp é iniciado em um dispositivo infectado, o malware extrai dados confidenciais necessários para replicar a sessão da vítima, incluindo bancos de dados de criptografia, chaves do protocolo Signal e identificadores de conta, como número de telefone e detalhes de backup do Google Drive.

Essas informações são então extraídas para o servidor de comando e controle (C2), permitindo que os atacantes clonem a sessão do WhatsApp da vítima em seu próprio dispositivo.

Os pesquisadores observaram que, embora tenham recuperado apenas uma carga útil focada no WhatsApp, o design modular do NoVoice torna tecnicamente possível o uso de outras cargas úteis direcionadas a qualquer aplicativo no dispositivo.

Os aplicativos maliciosos para Android que continham o código NoVoice foram removidos do Google Play após a McAfee, membro da App Defense Alliance, denunciá-los ao Google.

No entanto, os usuários que já os instalaram devem considerar que seus dispositivos e dados estão comprometidos.

Como o NoVoice visa falhas corrigidas até maio de 2021, a atualização para um dispositivo com um patch de segurança mais recente mitiga efetivamente essa ameaça em sua forma atual.

Recomenda-se que os usuários do Android atualizem para modelos com suporte ativo e instalem apenas aplicativos de desenvolvedores confiáveis ​​e conhecidos, mesmo na Google Play.

As contas comerciais do TikTok podem ser alvo de ataques devido ao seu alto potencial de abuso em campanhas de malvertising, fraude publicitária e distribuição de conteúdo malicioso.

A Push Security, empresa de detecção e resposta a ameaças em navegadores, relaciona a campanha a uma já documentada no ano passado, que tinha como alvo contas do Google Ad Manager.

O TikTok já foi usado para disseminar malware que rouba informações por meio de vídeos maliciosos, bem como golpes com criptomoedas através de promoções falsas . As contas do TikTok para empresas são ideais para esses fins devido ao seu maior alcance e à legitimidade percebida.

Em um relatório compartilhado com o BleepingComputer, a Push Security afirma que as vítimas são atraídas para páginas de phishing hospedadas na Cloudflare e registradas em 24 de março por meio da NiceNIC, um registrador frequentemente denunciado por pesquisadores de segurança cibernética por ser usado para atividades cibercriminosas.

A Push Security não conseguiu determinar o mecanismo de entrega inicial, mas acredita que o agente da ameaça utiliza um método semelhante ao observado nas atividades relatadas pela Sublime Security .

O link inicial redireciona através de um URL legítimo do Google Storage, bloqueia bots usando uma verificação do Cloudflare Turnstile e, em seguida, redireciona para as páginas maliciosas.

Os domínios apresentam nomes semelhantes e estão todos hospedados no mesmo bucket do Google Storage:

• welcome.careerscrews[.]com
• bem-vindo.funcionáriodecarreira[.]com
• bem-vindo.carreirasfluxodetrabalho[.]com
• welcome.careerstransform[.]com
• bem-vindo.careersupskill[.]com
• bem-vindo.sucessonacarreira[.]com
• welcome.careersstaffgrid[.]com
• bem-vindo.progressonacarreira[.]com
• bem-vindo.careersgrower[.]com
• welcome.careersengage[.]com
• welcome.careerscrews[.]com

As páginas maliciosas se fazem passar pelas páginas “Agendar uma chamada” do TikTok for Business e do Google Careers, solicitando aos visitantes que insiram informações básicas em um formulário para validar se estão usando um endereço de e-mail comercial.

Após essa etapa, as vítimas são direcionadas para uma página de login falsa, que é um proxy reverso projetado para capturar credenciais e cookies de sessão e exfiltrá-los para o atacante.

Como a página atua como intermediária entre o usuário legítimo e o serviço, o agente malicioso pode sequestrar contas mesmo quando a autenticação de dois fatores (2FA) está ativa.

A Push Security também observa que os titulares de contas comerciais costumam fazer login no TikTok por meio do serviço de login único (SSO) do Google. “Isso significa que qualquer pessoa que use o Google para fazer login em sua conta do TikTok terá efetivamente as duas contas usadas para distribuir anúncios comprometidas de uma só vez.”

Os usuários devem ser extremamente cautelosos com convites e ofertas de emprego suspeitos e nunca confiar em links enviados por contatos desconhecidos. Sempre verifique o domínio antes de inserir suas credenciais e use senhas para proteger contas importantes.

Após investigar o incidente (registrado sob o número EX1256020 ), a Microsoft descobriu que a causa principal foi uma conta virtual recém-criada.

No sábado, começaram a trabalhar para reverter a alteração como uma possível solução a longo prazo para mitigar o impacto, após não conseguirem resolver o problema reiniciando a infraestrutura afetada.

“Este problema pode afetar intermitentemente alguns usuários que tentam acessar o serviço Exchange Online por meio dos aplicativos móveis do Outlook ou do novo cliente de desktop Outlook para Mac”, disse a Microsoft.

“Após uma avaliação mais aprofundada, confirmamos que a alteração identificada no serviço Exchange Online, que tinha como objetivo introduzir uma nova conta virtual, causou impacto. Para solucionar esse problema, estamos desativando a alteração nos ambientes afetados. Assim que possível, forneceremos um cronograma de resolução.”

Embora a Microsoft não tenha divulgado quais regiões ou quantos usuários foram afetados, classificou essa interrupção de serviço como um incidente, o que geralmente se aplica a problemas críticos de serviço com impacto perceptível nos usuários.

Há uma semana, a Microsoft resolveu mais uma interrupção do Exchange Online que estava impedindo os clientes de acessar suas caixas de correio e calendários pelo Outlook na Web, Outlook para desktop, Exchange ActiveSync e outros protocolos de conexão do Exchange Online.

No mesmo dia, a empresa corrigiu um problema separado que causava dificuldades de acesso ao Office.com ou ao login na web do Microsoft 365 Copilot devido ao que a empresa descreveu na época como “um alto volume de tráfego”, afetando o aplicativo Microsoft Copilot para desktop, o Copilot no Microsoft Teams e o Copilot nos aplicativos do Office.

A Microsoft também solucionou uma interrupção no serviço Exchange Online em janeiro, que bloqueava intermitentemente o envio de e-mails pelo protocolo IMAP4 (Internet Mailbox Access Protocol 4), e um incidente semelhante em novembro , que bloqueou o acesso ao Exchange Online pelo cliente de desktop Outlook clássico.

Pesquisadores da Aikido , Socket , Step Security e da comunidade OpenSourceMalware identificaram coletivamente 433 componentes comprometidos neste mês em ataques atribuídos ao GlassWorm.

A evidência de que um único agente malicioso está executando as campanhas do GlassWorm em vários repositórios de código aberto é fornecida pelo uso do mesmo endereço de blockchain Solana para atividades de comando e controle (C2), payloads idênticos ou funcionalmente semelhantes e infraestrutura compartilhada.

O GlassWorm foi observado pela primeira vez em outubro passado , com atacantes usando caracteres Unicode “invisíveis” para ocultar código malicioso que coletava dados de carteiras de criptomoedas e credenciais de desenvolvedores.

A campanha prosseguiu com várias ondas  e expandiu-se para o mercado oficial do Visual Studio Code da Microsoft e para o registro OpenVSX usado por IDEs não suportados, conforme descoberto pelo pesquisador da Secure Annex, John Tuckner.

Os sistemas macOS também foram alvos, com a introdução de clientes trojanizados para Trezor e Ledger, e posteriormente, desenvolvedores foram atacados por meio de extensões OpenVSX comprometidas .

A mais recente onda de ataques do GlassWorm é muito mais extensa e se espalhou para:

• 200 repositórios Python no GitHub
• 151 repositórios GitHub JS/TS
• 72 extensões para VSCode/OpenVSX
• 10 pacotes npm

A invasão inicial ocorre no GitHub, onde as contas são comprometidas para forçar o envio de commits maliciosos.

Em seguida, pacotes e extensões maliciosos são publicados no npm e no VSCode/OpenVSX, apresentando código ofuscado (caracteres Unicode invisíveis) para evitar a detecção.

Em todas as plataformas, a blockchain Solana é consultada a cada cinco segundos em busca de novas instruções. De acordo com a Step Security, entre 27 de novembro de 2025 e 13 de março de 2026, houve 50 novas transações, a maioria para atualizar o URL do payload.

As instruções estavam incorporadas como memorandos nas transações e levavam ao download do ambiente de execução do Node.js e à execução de um programa de roubo de informações baseado em JavaScript. 

O malware tem como alvo dados de carteiras de criptomoedas, credenciais e tokens de acesso, chaves SSH e dados do ambiente de desenvolvimento.

A análise dos comentários no código indica que o GlassWorm é orquestrado por agentes de ameaças que falam russo. Além disso, o malware ignora a execução se o idioma russo for encontrado no sistema. No entanto, esses dados são insuficientes para uma atribuição precisa.

A Step Security recomenda que os desenvolvedores que instalam pacotes Python diretamente do GitHub ou executam repositórios clonados verifiquem se há sinais de comprometimento, procurando em seu código-fonte pela variável marcadora “lzcdrtfxyqiplpd”, um indicador do malware GlassWorm.

Eles também recomendam inspecionar os sistemas em busca da presença do arquivo ~/init.json , usado para persistência, bem como instalações inesperadas do Node.js no diretório home (por exemplo, ~/node-v22*).

Além disso, os desenvolvedores devem procurar arquivos 
i.js suspeitos em projetos clonados recentemente e revisar os históricos de commits do Git em busca de anomalias, como commits em que a data do committer é significativamente mais recente do que a data do autor original.

A falha CVE-2026-20643 permite que conteúdo malicioso da web ignore a política de mesma origem do navegador.

A Apple afirma que a falha era um problema de origem cruzada na API de Navegação, que foi resolvido com uma validação de entrada aprimorada.

ulnerabilidade foi descoberta pelo pesquisador de segurança Thomas Espach, e a nova atualização está disponível para iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 e macOS 26.3.2.

Esta versão marca a primeira vez que a Apple implementa uma correção de segurança através do seu novo recurso de Melhorias de Segurança em Segundo Plano, que é utilizado para distribuir pequenas correções fora do ciclo normal de atualizações de segurança.

“As melhorias de segurança em segundo plano fornecem atualizações de segurança mais leves para componentes como o navegador Safari, a pilha de estrutura WebKit e outras bibliotecas do sistema que se beneficiam de correções de segurança menores e contínuas entre as atualizações de software”, explica a Apple .

“Em casos raros de problemas de compatibilidade, as Melhorias de Segurança em Segundo Plano podem ser removidas temporariamente e aprimoradas em uma atualização de software subsequente.”

No passado, as atualizações de segurança da Apple exigiam que os usuários instalassem uma nova versão do sistema operacional e reiniciassem o dispositivo. No entanto, com as Melhorias de Segurança em Segundo Plano, a Apple agora pode fornecer pequenas atualizações que são aplicadas a componentes específicos em segundo plano.

A Apple adicionou o recurso no iOS 26.1, iPadOS 26.1 e macOS 26.1, afirmando que ele seria usado para corrigir rapidamente falhas de segurança entre as versões.

Os usuários podem acessar o recurso por meio das configurações do dispositivo, no menu Privacidade e Segurança.

• No iPhone e iPad: Acesse Ajustes e toque em Privacidade e Segurança.
• No Mac: No menu Apple, escolha Ajustes do Sistema. Em seguida, clique em Privacidade e Segurança.

A Apple alerta que desinstalar uma atualização de Melhorias de Segurança em Segundo Plano remove todos os patches de segurança aplicados anteriormente, revertendo o dispositivo para a versão original do sistema operacional (como o iOS 26.3.1) sem nenhuma das correções de segurança adicionais.

Isso remove efetivamente as proteções de segurança de resposta rápida fornecidas por meio desse recurso, deixando os dispositivos no nível de segurança básico até que as atualizações sejam reaplicadas ou incluídas em uma futura atualização completa.

Portanto, a menos que uma melhoria básica de segurança cause algum problema no seu dispositivo, é altamente recomendável que ela não seja desinstalada.

Os dispositivos Bluetooth não aparecerão nas Configurações do Windows nem nas Configurações Rápidas, mesmo que estejam funcionando corretamente e conectados aos sistemas afetados.

Esse bug também pode impedir que alguns usuários adicionem novos dispositivos Bluetooth, pois os dispositivos disponíveis não aparecerão na lista de conexões.

A atualização KB5084897 fora de banda (OOB) foi lançada na segunda-feira para sistemas que executam as versões 25H2 e 24H2 do Windows 11 e será instalada automaticamente sem a necessidade de reinicialização.

“A Microsoft identificou um problema que afeta as edições Enterprise do Windows com hotpatch ativado, no qual os dispositivos Bluetooth podem não aparecer na página Bluetooth e dispositivos nas Configurações do Windows ou nas Configurações Rápidas, mesmo que os dispositivos estejam conectados e funcionando conforme o esperado”, explicou a Microsoft .

Além disso, os usuários podem não conseguir adicionar dispositivos Bluetooth porque os dispositivos disponíveis não aparecem na lista de conexões.

Esta atualização cumulativa OOB inclui todas as melhorias e correções de segurança que foram lançadas com as atualizações de hotpatch do Windows de março de 2026 e não será instalada em dispositivos corporativos que recebem atualizações padrão do Windows.

Na sexta-feira, a Microsoft lançou mais uma atualização de segurança OOB para o Windows 11 Enterprise (KB5084597) para corrigir três vulnerabilidades de alta gravidade na ferramenta de gerenciamento do Serviço de Roteamento e Acesso Remoto do Windows (RRAS), que poderiam permitir que invasores executassem código malicioso remotamente ao se conectarem a um servidor malicioso.

“Um invasor autenticado no domínio poderia explorar essa vulnerabilidade enganando um usuário ingressado no domínio para que enviasse uma solicitação a um servidor malicioso por meio do snap-in do Serviço de Roteamento e Acesso Remoto (RRAS)”, observou a empresa em comunicados divulgados na semana passada.

“Este problema aplica-se apenas a um conjunto limitado de cenários envolvendo dispositivos de clientes corporativos que executam atualizações de hotpatch e são usados ​​para gerenciamento remoto de servidores.”

Conforme explica a Microsoft, as atualizações de hotpatch aplicam correções de vulnerabilidades executando patches na memória dos processos em execução e atualizando arquivos no disco, garantindo que as correções permaneçam em vigor após a reinicialização do sistema.

Isso ocorre após uma investigação conjunta com a Samsung que atribuiu esses problemas ao aplicativo Samsung Galaxy Connect , usado para espelhamento de tela, compartilhamento de arquivos e transferência de dados entre dispositivos Samsung Galaxy e PCs com Windows.

Nos dispositivos afetados, os usuários enfrentam problemas para acessar arquivos, iniciar aplicativos ou executar tarefas administrativas e, em alguns casos, dificuldades para elevar privilégios, desinstalar atualizações ou coletar registros devido a falhas de permissão.

A Microsoft removeu temporariamente o aplicativo da Samsung da Microsoft Store após descobrir que ele estava causando problemas em dispositivos Samsung Galaxy Book 4 e em computadores desktop da Samsung com Windows 11. Em seguida, a Samsung lançou uma nova versão do aplicativo para corrigir o problema.

Hoje, a Microsoft e a Samsung também publicaram um guia de recuperação para os sistemas afetados, que exige que os usuários sigam um procedimento de 29 etapas para restaurar as permissões padrão do Windows e pode levar até 15 minutos.

Primeiro, os usuários devem fazer login com a conta de administrador, iniciar o computador afetado, desinstalar o aplicativo Samsung Galaxy Connect (ou Samsung Continuity Service), permitir temporariamente que o Windows repare as permissões da unidade, adicionar uma permissão temporária e, em seguida, restaurar as permissões padrão do Windows usando um arquivo de reparo .bat (em lote).

Após a conclusão de todo o procedimento, o comportamento do sistema Windows deverá retornar ao normal, com a propriedade da unidade restaurada para o Windows (TrustedInstaller) e o Disco Local (C:\) abrindo normalmente.

“Este processo restaura as permissões padrão e seguras do Windows na unidade do sistema e não acessa nem modifica arquivos pessoais”, disse a Microsoft .

“Se você ainda não conseguir acessar a unidade C: após concluir todas as etapas, entre em contato com o Suporte da Samsung e informe o seguinte: ‘Problema de acesso à unidade C: causado pelas permissões do aplicativo Galaxy Connect’.”

A Microsoft também aconselhou os usuários afetados do Windows 11 a entrarem em contato com a Samsung para obter assistência específica para seus dispositivos.

Nos últimos dias, a Microsoft também lançou duas atualizações emergenciais fora de banda (OOB) para dispositivos Windows 11 Enterprise com hotpatch ativado para corrigir um problema de visibilidade de dispositivos Bluetooth e vulnerabilidades de segurança na ferramenta de gerenciamento do Serviço de Roteamento e Acesso Remoto (RRAS).

Novas ferramentas e integrações de IA são adicionadas constantemente, geralmente sem qualquer conhecimento ou supervisão da TI.

Para gerenciar essa nova fonte oculta de risco, você precisa de um sistema que ofereça descoberta contínua, monitoramento em tempo real e governança proativa, sem exigir uma equipe em tempo integral dedicada a rastrear cada nova ferramenta de IA. É exatamente isso que a Nudge Security oferece.

Funciona assim:

Primeiro dia: Obtenha um inventário completo de aplicativos e usuários de IA.

Em primeiro lugar, é importante saber que você não pode proteger o que não consegue ver. O Nudge Security oferece a descoberta imediata de todos os aplicativos e contas de IA já adicionados à sua organização, mesmo aqueles que foram implementados antes de você começar a usar o Nudge. Sem pesquisas, sem palpites, sem depender de relatos pessoais (porque, sejamos honestos, isso nunca funciona).

Você terá uma visão completa do seu cenário de IA desde o momento em que começar.

Como funciona

A detecção de IA oculta da Nudge Security funciona por meio de uma integração simples com seu IdP (Microsoft 365 ou Google Workspace). Leva menos de 5 minutos para habilitar essa integração e, uma vez configurada,

A Nudge Security analisa os e-mails gerados por máquinas enviados por provedores de aplicativos SaaS e de IA (como noreply@dropbox.com ) para documentar atividades como criação de novas contas, alterações de senha, alterações nas configurações de segurança e muito mais.

O Nudge aproveita esse sinal (sem nunca armazenar o conteúdo dos e-mails) para detectar automaticamente novas contas e a adoção de ferramentas em toda a sua força de trabalho. Isso significa que você obtém visibilidade completa da proliferação de ferramentas de IA em tempo real e um inventário completo, desde o primeiro dia, de tudo o que foi implementado até aquele momento.

Você pode obter maior visibilidade implantando a extensão do navegador , que fornece informações e alertas em tempo real quando comportamentos de risco são detectados.

Além disso, você pode “lembrar” os usuários por meio da extensão do navegador (e também via Slack, Teams e e-mail) para alertá-los sobre comportamentos de risco, lembrá-los de práticas seguras, redirecioná-los para ferramentas aprovadas, solicitar contexto adicional sobre ferramentas novas ou desconhecidas e muito mais.

Vamos analisar como isso funciona na prática.

Guia Prático para Descoberta de IA Paralela

A IA oculta está acessando silenciosamente dados confidenciais em todo o seu ambiente SaaS. O uso de IA agora abrange servidores MCP, IA ativa e aplicativos SaaS com recursos de IA — é muito mais do que apenas prompts de bate-papo.

Aprenda como eliminar os pontos cegos da IA ​​e se antecipar aos riscos de exposição de dados com este novo guia.Obtenha seu Guia de Descoberta de IA gratuito →

Monitore conversas de IA para compartilhamento de dados sensíveis.

As ferramentas de IA são incrivelmente úteis, mas também incrivelmente verbosas. Os funcionários colam todo tipo de coisa no ChatGPT, Gemini e em dezenas de outros assistentes de IA disponíveis.

A extensão de navegador Nudge Security monitora conversas de IA e detecta quando dados sensíveis, como informações pessoais identificáveis, segredos ou informações financeiras, são compartilhados.

E não se trata apenas de texto. O Nudge também detecta uploads de arquivos para ferramentas de IA, incluindo contexto sobre quem, o quê, quando e como. Você também verá um resumo visual dos fluxos de dados entre seus sistemas e ferramentas de IA para entender rapidamente onde provavelmente estão os maiores riscos de dados.

Monitorar o uso de ferramentas de IA

Quer saber quais departamentos são usuários avançados de IA? Tem curiosidade para saber se aquela ferramenta não aprovada está reaparecendo? O Nudge monitora o uso de IA por status de aplicativo aprovado/não aprovado, aplicativos específicos e departamento.

Finalmente, você terá dados que mostram como o uso da IA ​​realmente se apresenta na prática, para que possa concentrar seus esforços de segurança nas ferramentas mais utilizadas e orientar os usuários em direção ao conjunto de ferramentas aprovado.

Veja quais aplicativos de IA têm acesso a dados confidenciais.

As ferramentas de IA adoram se integrar aos seus aplicativos SaaS. Conexões com servidores MCP, agentes de IA, complementos do Google Workspace, plugins do Microsoft Copilot — todos eles solicitam acesso a dados.

A Nudge mantém um inventário de integrações e escopos de SaaS para IA, incluindo conexões com servidores MCP , para que você possa ver exatamente onde as ferramentas de IA tiveram acesso aos dados e avaliar o risco.

Receba alertas sobre atividades de risco.

Você não pode monitorar tudo o tempo todo. É por isso que o Nudge oferece alertas configuráveis ​​que notificam você quando novas ferramentas de IA surgem ou quando ocorrem violações de políticas — como o compartilhamento de dados confidenciais ou o uso de ferramentas não aprovadas. Pense nisso como seu sistema de alerta antecipado.

Faça cumprir sua política de IA

Você tem uma política de uso aceitável de IA , certo? (Se não, podemos conversar.) O Nudge automatiza o processo de compartilhamento da sua política com os funcionários, além de coletar e acompanhar as confirmações de uso.

Mas o reconhecimento é apenas o começo. O Nudge fornece diretrizes sobre quando e onde os funcionários estão trabalhando, na forma de lembretes amigáveis ​​(daí o nome) que reforçam sua política e os orientam para um uso mais seguro da IA ​​em tempo real.

É uma governança proativa que não exige que você seja o vilão.

Conclusão

Seu trabalho não é impedir o progresso, mas sim garantir que ele não venha acompanhado de violações de dados. A Nudge Security oferece a visibilidade, o controle e a automação necessários para governar o uso da IA ​​de forma eficaz, para que você possa dormir mais tranquilo.

Os novos recursos foram projetados para ajudar a detectar tentativas de fraude antes que o WhatsApp, o Facebook e o Messenger interajam com elas.

O WhatsApp agora alerta os usuários quando sinais comportamentais sugerem que uma solicitação de vinculação de dispositivo pode ser fraudulenta, uma tática que golpistas vêm usando para invadir contas, enganando os usuários para que compartilhem um código de vinculação ou escaneiem um código QR malicioso.

“Golpistas podem tentar enganá-lo para que você vincule sua conta do WhatsApp ao dispositivo deles”, explicou a Meta na quarta-feira. “Por exemplo, eles podem incentivá-lo a compartilhar seu número de telefone, seguido por um código de vinculação de dispositivo no seu WhatsApp, ou tentar enganá-lo para que você escaneie um código QR sob falsos pretextos, o que vincularia o dispositivo do golpista à sua conta.”

A mudança ocorre após o Serviço de Inteligência e Segurança da Defesa dos Países Baixos (MIVD) e o Serviço Geral de Inteligência e Segurança (AIVD) alertarem que hackers apoiados pelo Estado russo têm como alvo funcionários do governo holandês em uma campanha de phishing direcionada às suas contas do Signal e do WhatsApp.

O WhatsApp permite que os usuários conectem vários dispositivos (por exemplo, computadores, celulares, tablets) a uma conta para enviar e receber mensagens entre eles. Isso é feito escaneando um código QR gerado pelo dispositivo móvel principal, que autoriza o novo dispositivo a acessar e sincronizar as mensagens.

No entanto, os atacantes que enganam um usuário para que ele vincule um dispositivo malicioso obterão acesso às mensagens da vítima, lerão seus chats e poderão até enviar mensagens se passando por ela. Além disso, diferentemente dos ataques de apropriação de conta, as vítimas geralmente mantêm o acesso às suas contas, o que dificulta a detecção da invasão.

A empresa está testando alertas que sinalizam solicitações de amizade suspeitas no Facebook com base em sinais como um pequeno número de conexões em comum ou uma localização de perfil que não corresponde à região do usuário.

O recurso de detecção de golpes do Messenger também será expandido para mais países, identificando padrões consistentes com esquemas comuns, como ofertas de emprego falsas, e dando aos usuários a opção de enviar conversas suspeitas para uma análise por IA.

A Meta também implementou sistemas de IA que analisam textos, imagens e sinais contextuais para identificar a personificação de celebridades, a falsificação de marcas e links enganosos usados ​​por agentes maliciosos para redirecionar potenciais vítimas para sites fraudulentos que se fazem passar por sites legítimos.

No total, em 2025, a Meta afirma ter removido mais de 159 milhões de anúncios fraudulentos e desativado mais de 10,9 milhões de contas no Facebook e Instagram ligadas a operações criminosas de fraude.

A Meta também participou de uma operação global de aplicação da lei que levou à prisão de 21 suspeitos e ao encerramento de mais de 150.000 contas ligadas a redes de fraude no Sudeste Asiático, incluindo grupos que administravam esquemas falsos de investimento em criptomoedas e quadrilhas de extorsão.

“Temos orgulho de colaborar com a Polícia Real Tailandesa, o FBI, a Força-Tarefa do Centro de Combate a Fraudes do Departamento de Justiça e agências de aplicação da lei de todo o mundo para combater essas sofisticadas redes de golpes”, disse Chris Sonderby, vice-presidente e conselheiro geral adjunto da Meta.

“Esta operação é uma prova de como a partilha de informações e a coordenação dos nossos esforços podem gerar progressos reais no combate a esta atividade criminosa na sua origem.”

O Microsoft 365 Backup é um serviço de backup e restauração do SharePoint, OneDrive e Exchange, projetado para proteger contra perda de dados causada por ransomware, exclusão acidental ou corrupção de dados.

Até agora, o Backup do Microsoft 365 funcionava no nível do site ou da unidade, com um único arquivo corrompido ou excluído acionando uma restauração completa demorada. Com os novos recursos de restauração granular, os administradores podem navegar e pesquisar pontos de restauração existentes para sites do SharePoint e contas do OneDrive protegidos e, em seguida, selecionar apenas os arquivos ou pastas específicos que precisam recuperar.

O recurso está disponível exclusivamente para locatários com o Backup do Microsoft 365 já habilitado e só pode ser usado por administradores com a função de Administrador de Backup do SharePoint. Os usuários finais não são afetados diretamente por essa alteração, pois as operações de restauração serão iniciadas apenas por administradores e serão invisíveis para o usuário final.

“O Backup do Microsoft 365 permitirá que os administradores naveguem, pesquisem e restaurem arquivos ou pastas individuais a partir de pontos de restauração do SharePoint e do OneDrive a partir do início de 2026”, disse a Microsoft em uma atualização em sua central de mensagens na quinta-feira .

“Essa restauração granular reduz o tempo de recuperação, exige a função de Administrador de Backup do SharePoint e respeita as políticas de backup existentes sem afetar os usuários.”

O recurso entrou em fase de pré-visualização pública no início de março de 2026 e a previsão é de que esteja disponível para o público em geral em todo o mundo entre o final de abril e o início de maio de 2026.

Antes que a atualização chegue aos seus clientes, a Microsoft recomenda que eles revisem a cobertura do Microsoft 365 Backup para SharePoint e OneDrive, garantam que os administradores de backup estejam familiarizados com o fluxo de trabalho de restauração granular e atualizem os manuais de recuperação internos para contemplar cenários de restauração em nível de arquivo e pasta.

“Este recurso introduz um novo método para os administradores acessarem pontos de restauração existentes do Backup do Microsoft 365 em um nível mais granular (arquivo ou pasta), sem alterar onde ou como os dados de backup são armazenados”, acrescentou a Microsoft. “Os administradores obtêm um controle mais preciso para restaurar arquivos ou pastas específicos que contenham dados pessoais ao responder a cenários de recuperação, correção ou remediação.”

No mês passado, a Microsoft também expandiu o Windows Backup for Organizations , uma ferramenta de backup de nível empresarial que ajuda a simplificar os backups, para permitir que usuários corporativos restaurem configurações pessoais e aplicativos da Microsoft Store de um dispositivo Windows 11 anterior.