PacificNews#234: The life behind bars
Cloudflare bloqueou 416 bilhões de solicitações de bots de IA desde 1º de julho
A empresa de infraestrutura de internet Cloudflare revelou ter bloqueado mais de 400 bilhões de solicitações de bots de Inteligência Artificial (IA) que tentavam coletar dados de seus clientes desde 1º de julho de 2024. A informação foi divulgada pelo cofundador e CEO da Cloudflare, Matthew Prince, durante o evento Big Interview da WIRED, realizado em São Francisco na última quinta-feira.
O número massivo de bloqueios ocorre logo após a empresa ter lançado ferramentas em julho para permitir que seus clientes restrinjam o acesso de bots de IA ao seu conteúdo. Essa iniciativa faz parte do chamado Content Independence Day, um esforço lançado em parceria com grandes editoras e empresas de IA para bloquear, por padrão, os rastreadores de IA do conteúdo, a menos que as empresas de tecnologia paguem pelo acesso.
Em sua fala, Prince destacou a posição controversa do Google nesse novo cenário. Segundo o CEO, a gigante de tecnologia unificou seus mecanismos de busca e de rastreamento de IA. Essa fusão impõe um dilema crucial aos criadores de conteúdo: bloquear o rastreador de IA do Google para proteger seu trabalho também impede que o site seja indexado nos resultados de pesquisa da empresa.
O problema central é que, embora os criadores não queiram que seus trabalhos sejam usados para treinar modelos de IA sem compensação, eles dependem da visibilidade no Google Search para que o público encontre seu material.
Diante desse cenário, Prince observa que a regulamentação pode ser uma intervenção necessária. Enquanto isso, a Cloudflare está trabalhando para pressionar sempre que possível, visando impulsionar a evolução de modelos de negócios de IA que sejam pluralistas e expandam os mercados, em vez de concentrá-los e centralizá-los. Prince argumenta que essa abordagem não só está alinhada com os princípios fundadores da internet aberta, mas também é simplesmente um bom negócio para todos.
Como quase qualquer número de telefone pode ser rastreado pelo WhatsApp e Signal
Um pesquisador de cibersegurança explorou a ideia de um ataque de side-channel capaz de rastrear a atividade de quase qualquer telefone, entendendo seu estado (ligado ou desligado, offline ou online, etc) através do WhatsApp ou Signal. E o mais impactante: no lado da vítima, não há qualquer mensagem, notificação ou aviso visível.
Em termos práticos, o exploit montado pelo pesquisador utiliza o WhatsApp ou Signal através de uma API não oficial, enviando uma reação em formato de “probe” com IDs de mensagem especiais ou inválidos. Quando o aplicativo de mensagens recebe essa mensagem, ele manda de volta um “recibo de recebimento” de forma automática e silenciosa. Medindo o RTT deste recibo, é possível determinar o estado em que o dispositivo se encontra.
RTT, ou round-trip time, é também chamado de “tempo de ping” e, basicamente, é a medida do tempo total que um pacote leva para ir de um ponto a outro na rede e voltar ao seu ponto de origem.
Então, se o RTT recebido é baixo, significa que a tela do dispositivo está ligado, ativo e provavelmente na Wi-Fi; se o RTT é um pouco acima do esperado, também dá para saber que o dispositivo está ligado, com a tela ativa, mas usando dados móveis. Em casos de RTT muito alto, o dispositivo se encontra com a tela desligada ou em modo stand-by, conectado no Wi-Fi. Com valores muito altos de RTT, é possível inferir que o celular esteja com a tela desligada e em dados móveis, ou com recepção limitada. Em casos de timeouts, entende-se que o celular se encontra offline (ou em modo avião).
Parece algo inofensivo, mas um atacante conseguiria usar esses padrões para determinar se uma pessoa provavelmente está em casa (RTT estável, no Wi-Fi), quando ela provavelmente está dormindo (longos períodos em standby ou offline) e quando está fora se movimentando (padrões RTT de dados móveis), sendo possível criar um perfilamento do alvo e entender seus padrões de movimentação e rotina.
Uma forma de se prevenir deste possível ataque é ir até as configurações do WhatsApp e Signal e desligar ou restringir que números desconhecidos possam te enviar mensagem.
A evolução dos sequestros virtuais: IA e redes sociais redefinem o golpe
A nova onda de sequestro virtual nos Estados Unidos ganhou uma modernização preocupante: criminosos estão usando imagens coletadas em redes sociais e manipuladas com inteligência artificial para criar provas de vida falsas e tornar as extorsões mais convincentes. O FBI investiga o avanço dessa tática e alerta que fotos de pessoas desaparecidas também têm sido exploradas para pressionar familiares em momentos de vulnerabilidade.
Segundo a agência, os golpistas têm recorrido a ferramentas de edição e geração de imagens para construir conteúdos que simulem a presença da suposta vítima em cativeiro. Além da facilidade em coletar fotos e vídeos em redes sociais, através do conteúdo disponível é possível identificar familiares e contatos próximos. As abordagens ocorrem principalmente por mensagens de texto, frequentemente acompanhadas de ameaças de violência caso o pagamento não seja realizado imediatamente. Embora muitos casos não envolvam sequestros reais, a sofisticação desse conteúdo amplifica o potencial de engano e a pressão psicológica sobre as vítimas.
Similar aos antigos golpes por ligação, nos quais os fraudadores interpretavam crianças ou parentes em perigo para exigir dinheiro, segundo o FBI, essa nova modalidade também se enquadra na categoria de “golpes de emergência”. Apesar do impacto inicial, as imagens apresentadas costumam exibir falhas perceptíveis em análises posteriores, como ausência de tatuagens, distorções de proporção ou diferenças faciais em relação a fotos autênticas. Como recurso para acelerar a tomada de decisão da vítima, os criminosos às vezes enviam essas fotos de propósito usando recursos de mensagens temporárias para limitar o tempo que as vítimas têm para analisar as imagens.
As autoridades recomendam que familiares adotem medidas preventivas, como estabelecer palavras-código para uso em situações de emergência e limitar a exposição de informações pessoais em redes sociais. Além disso, tentar entrar em contato diretamente com o suposto sequestrado antes de considerar qualquer transferência de dinheiro.
Patches & Updates
React2Shell: Um número crescente de agentes maliciosos tem tentado explorar a vulnerabilidade crítica (CVE-2025-55182) recentemente descoberta no React, a popular biblioteca de código aberto para criação de interfaces de usuário. A falha afeta sistemas que utilizam a versão 19 do React, especificamente implementações que fazem uso de React Server Components (RSC). Além do próprio React, a CVE-2025-55182 também impacta outros frameworks que dependem dele, incluindo Next.js, Waku, React Router e RedwoodSDK. A exploração da vulnerabilidade, conhecida como React2Shell, começou quase imediatamente após sua divulgação. A AWS relatou que pelo menos dois grupos de ameaças cibernéticas conhecidos — Earth Lamia e Jackpot Panda — vêm explorando a falha em ataques desde 3 de dezembro.
LNK: A Microsoft corrigiu silenciosamente a vulnerabilidade CVE-2025-9491 (com pontuação CVSS 7,0), explorada por meio de arquivos LNK, em suas atualizações de segurança de novembro de 2025. A falha permitia que agentes maliciosos ocultassem a verdadeira finalidade de arquivos LNK maliciosos, escondendo o código exibido ao usuário. O bug havia sido divulgado em março pela Zero Day Initiative (ZDI), da Trend Micro, que alertou que quase uma dúzia de agentes maliciosos o explorava há anos. Com isso, atacantes utilizavam arquivos LNK especialmente criados, incorporando argumentos de linha de comando que levavam à execução de malware.
Portugal: As leis que definem o crime cibernético em Portugal foram alteradas para beneficiar pesquisadores de cibersegurança que atuam em boa-fé. Uma nova provisão no Artigo 8.0-A define “atos não puníveis devido ao interesse público em cibersegurança” e trazem exceções à lei penal que antes eram considerados acessos ilegais a sistemas ou interceptação ilegal de dados. Estes casos acontecem quando o propósito da ação é identificar vulnerabilidades e contribuir para a cibersegurança, devendo serem preenchidas diversas condições para tanto. A mudança vai ao encontro de outros dispositivos legais ao redor do mundo, como o alemão e o americano, onde a pesquisa de segurança não apenas é reconhecida, como também recebe um espaço seguro para analisar sistemas de forma proativa, descobrir vulnerabilidades e reportá-las sem medo de consequências legais.
Destaques pelo mundo
Dev: Pesquisadores de cibersegurança encontraram duas extensões no Microsoft Visual Studio Code que foram projetadas para infectar máquinas de desenvolvedores e instaurar um malware de roubo de informações. São elas: BigBlack.bitcoin-black e BigBlack.codo-ai. Além disso, foram identificados pacotes infectados entre diversos ecossistemas usados por desenvolvedores, como Go, npm e Rust. No Go, pacotes vindos do “bpoorman/uuid” e “bpoorman/uid” foram construídos para exfiltrar dados pessoais; 420 pacotes únicos npm publicados por um atacante francês com nomes similares a “elf-stats-*” executam uma shell reversa no sistema e pacotes “finch-rust” publicados pelo usuário faceless personificam ferramentas legítimas e podem roubar suas credenciais.
Android: Duas famílias de malware para dispositivos Android ganharam novas funcionalidades, de acordo com pesquisadores. O primeiro deles, FvncBot, se disfarça de um aplicativo de segurança desenvolvido pela mBank e foi totalmente construído do zero e tem capacidades avançadas de registrar os atos no celular, transmitir totalmente a tela para atacantes e fazer injeções em websites, focado em roubo de aplicações bancárias. Já o outro malware, SeedSnatcher, é distribuído pelo Telegram e tem o foco em roubar frases sementes de carteiras de criptomoedas, além de conseguir interceptar códigos 2FA vindos por SMS, roubar dados do celular, lista de contatos, registros de chamadas e mais. Estima-se que o SeedSnatcher seja desenvolvido por agentes chineses.
Canadá: Organizações canadenses surgiram como alvo de uma campanha cibernética direcionada, orquestrada por um grupo de ameaças conhecido como STAC6565. Acredita-se que o grupo, motivado por interesses financeiros, esteja ativo desde o final de 2018, inicialmente concentrando seus ataques em entidades na Rússia, antes de expandir seu foco para organizações no Canadá, Alemanha, Noruega, Rússia, Eslovênia, Ucrânia, Reino Unido e Estados Unidos. O grupo possui um histórico de utilização de e-mails de phishing para conduzir espionagem comercial.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
