* Documentos revelam que NSO Group usou novos exploits no WhatsApp para implantar Pegasus.
Documentos legais divulgados como parte do processo em andamento entre o WhatsApp, da Meta, e o NSO Group revelaram que a empresa israelense de spyware continuou a explorar vulnerabilidades no aplicativo de mensagens para instalar o spyware Pegasus, mesmo após ser processada. O NSO Group encontrou formas repetidas de instalar a ferramenta de vigilância nos dispositivos-alvo, apesar das defesas implementadas pelo WhatsApp para conter os ataques. O NSO Group admitiu que esses exploits foram criados a partir da extração e engenharia reversa do código do WhatsApp, em violação às leis federais e estaduais, bem como aos Termos de Serviço da plataforma. Os documentos também detalham como o Pegasus foi implantado utilizando o WhatsApp, revelando que o NSO Group, e não seus clientes, controlava diretamente o spyware. Os clientes precisavam apenas fornecer o número do dispositivo-alvo e pressionar “Instalar”, enquanto o NSO cuidava de todo o processo, desde a instalação até a entrega dos dados coletados. Apesar das alegações do NSO Group de que o Pegasus é usado para combater crimes graves e terrorismo, os documentos indicam que o spyware foi instalado com sucesso em “centenas a dezenas de milhares” de dispositivos. A empresa continua a insistir que seus clientes são responsáveis pelo uso do sistema, mas as evidências sugerem o contrário. Desde o início do processo, o WhatsApp e outras empresas de tecnologia, como a Apple, implementaram medidas para reforçar a segurança contra spyware mercenário. A Apple, que processou o NSO Group, retirou sua ação em setembro de 2024, citando o risco de exposição de informações críticas sobre inteligência de ameaças. Ao longo dos anos, a empresa introduziu recursos como o Modo de Bloqueio para endurecer as defesas dos dispositivos e limitar funcionalidades que poderiam ser exploradas.

* Golpes de phishing com falsificação do DocuSign crescem 98%.
Pesquisadores de cibersegurança identificaram um aumento de 98% em ataques de phishing sofisticados que utilizam falsificações do DocuSign para atingir empresas que interagem com agências estaduais e municipais nos Estados Unidos. Desde 8 de novembro, centenas de casos são detectados diariamente, com os atacantes aperfeiçoando suas táticas para escapar dos métodos tradicionais de detecção. Essas campanhas exploram a confiança entre empresas e autoridades reguladoras, com invasores se passando por órgãos como o Departamento de Saúde e Serviços Humanos, o Departamento de Transporte de Maryland e a cidade de Milwaukee. Utilizando contas legítimas do DocuSign e suas APIs, eles criam documentos fraudulentos altamente convincentes para enganar suas vítimas. O esquema segue um padrão típico: os contratantes recebem solicitações urgentes de assinatura digital que imitam comunicações oficiais. Um exemplo citado envolve um contratante de Milwaukee que recebeu uma notificação falsa do Departamento de Obras Públicas da cidade sobre um projeto de US$ 2,8 milhões, solicitando a aprovação imediata de uma ordem de mudança no valor de US$ 175.000. Em outro caso, um contratante da Carolina do Norte recebeu um pedido de US$ 85.000 para uma fiança de conformidade emergencial relacionada a um projeto hospitalar de US$ 12 milhões. Esses documentos usam terminologia precisa para pressionar as vítimas a agirem rapidamente, sem verificar a origem. A eficácia desses ataques se deve a vários fatores. Primeiro, os invasores utilizam a infraestrutura legítima do DocuSign, o que permite que as mensagens passem por filtros de segurança. Além disso, os e-mails são enviados em períodos que coincidem com ciclos de licenciamento, utilizando termos comuns da indústria para aumentar a credibilidade. Por fim, as vítimas são pressionadas a responder imediatamente para evitar atrasos em projetos ou problemas de conformidade, uma tática que explora processos internos já conhecidos pelos alvos.

* Google lança recurso Shielded Email para proteger usuários contra spam.
O Google está preparando um novo recurso chamado Shielded Email, que permitirá aos usuários criarem aliases de e-mail ao se cadastrarem em serviços online, com o objetivo de melhorar a privacidade e combater o spam. A novidade foi descoberta pelo Android Authority após uma análise detalhada da versão mais recente do Google Play Services para Android. O recurso funciona criando endereços de e-mail únicos e de uso único que encaminham mensagens para a conta principal do usuário. Isso evita que o e-mail verdadeiro precise ser informado ao preencher formulários ou ao registrar-se em novos serviços, oferecendo uma camada adicional de privacidade e segurança. A ideia de aliases de e-mail para proteger a privacidade dos usuários não é inédita. Em 2021, a Apple lançou o recurso Hide My Email, que permite aos assinantes do iCloud+ criarem endereços de e-mail aleatórios e descartáveis. Esses aliases podem ser usados em plataformas como Safari, Mail e Apple Pay. Serviços como Bitwarden e DuckDuckGo também introduziram funcionalidades similares, reforçando a tendência de proteger a privacidade em interações digitais. Além disso, o Google já havia implementado recursos semelhantes, como números de cartões virtuais para pagamentos online, disponíveis apenas para cartões elegíveis nos Estados Unidos. O Shielded Email parece ser uma extensão desse esforço para oferecer mais controle e proteção aos usuários no ambiente online. Com o Shielded Email, o Google dá mais um passo para competir com outros provedores que já oferecem recursos semelhantes de proteção de e-mail. A funcionalidade promete ser uma ferramenta importante para reduzir o spam e proteger a privacidade dos usuários em um ambiente digital cada vez mais desafiador.