O sinal desta manhã é bem claro: atacantes continuam vencendo com roubo de sessão, exploits em documentos, phishing direcionado de credenciais e dependências de cadeia de suprimentos. O Chrome finalmente entrega uma melhoria defensiva de verdade, mas o restante do briefing lembra que identidade e higiene de endpoint continuam decidindo o jogo.
Resumo: um endurecimento útil no navegador, um zero-day ativo em PDF, duas campanhas de intrusão direcionadas, uma grande exposição em SDK Android e mais pressão de patch em equipamentos de borda.
O Google lançou Device Bound Session Credentials (DBSC) no Chrome 146 para Windows. O recurso vincula credenciais de sessão de curta duração a chaves protegidas por hardware. Na prática, um infostealer já não consegue roubar um cookie em uma máquina e reutilizá-lo em outra com a mesma facilidade.
Isso importa porque o roubo de cookies virou uma das formas mais rápidas de contornar senha e MFA. O Chrome não cura a infecção, mas dificulta e encarece o sequestro de sessão pós-comprometimento.
Pesquisadores afirmam que um zero-day desconhecido no Adobe Reader vem sendo explorado desde pelo menos dezembro de 2025 por meio de arquivos PDF manipulados. As amostras executam JavaScript ofuscado, coletam informações locais, contatam um servidor remoto e podem abrir caminho para execução de código ou escape de sandbox em um estágio posterior.
Isso é feio porque PDF continua sendo um dos formatos mais confiáveis nos fluxos corporativos. Quando um exploit ativo vem escondido em uma fatura, treinamento de usuário sozinho não resolve.
Relatos ligados à Cisco Talos descrevem LucidRook como um malware modular baseado em Lua usado em campanhas de spear-phishing contra ONGs e universidades taiwanesas. O malware combina entrega em etapas, DLL sideloading, forte ofuscação e carregamento externo de bytecode Lua.
O ponto interessante não é só a família de malware, mas a disciplina operacional. Parece uma campanha feita para acesso direcionado e coleta silenciosa, não para crimeware barulhento.
A pesquisa da Abnormal sobre a plataforma fechada de phishing-as-a-service VENOM mostra foco claro em contas executivas. O kit imita notificações do SharePoint, esconde dados do alvo em fragmentos de URL, usa QR para empurrar a vítima ao mobile e captura acesso por fluxos adversary-in-the-middle e device-code.
Os defensores precisam parar de dourar a pílula: se você ainda depende de MFA padrão e conditional access fraco para executivos, está perdendo.
A Microsoft detalhou uma vulnerabilidade já corrigida no SDK EngageLab que poderia permitir a um app malicioso quebrar pressupostos de isolamento e acessar dados privados de outros apps que usavam o mesmo SDK. O alcance passou de 50 milhões de instalações, incluindo 30 milhões de instalações de carteiras cripto.
Não há evidência pública de exploração maliciosa, mas a lição é óbvia. SDKs móveis de terceiros fazem parte da superfície de ataque.
A SecurityWeek também apontou novos patches de alta severidade para Palo Alto Networks e SonicWall. O risco exato depende do produto, mas o padrão é o mesmo: edge exposto continua sendo um dos caminhos mais rápidos para obter controle administrativo.
Fontes acompanhadas neste briefing: BleepingComputer, The Hacker News e SecurityWeek, publicações de 9 a 10 de abril de 2026.
O KENSAI ajuda equipes a identificar caminhos de ataque expostos, controles fracos de identidade e ativos vulneráveis voltados para a internet antes que virem incidente.
Iniciar varredura grátis →Fique atento.
🗡️ KENSAI Security Team