O sinal desta manhã é feio e conhecido: ferramentas confiáveis, sistemas industriais expostos, sessões roubadas e weaponization quase instantânea. O único ponto positivo é que o e-mail seguro por padrão finalmente ficou um pouco mais viável no mobile.
Top line: Uma violação de cadeia de suprimentos de software, um alerta de exposição OT, uma campanha de roubo de folha, uma RCE em ferramenta de desenvolvimento explorada em menos de 10 horas e uma vitória defensiva do Google.
Atacantes comprometeram uma API secundária da CPUID por cerca de seis horas e trocaram os links oficiais de download para redirecionar usuários de CPU-Z e HWMonitor para um instalador HWiNFO trojanizado. Pesquisadores disseram que o malware era multiestágio, fortemente ofuscado e provavelmente focado em roubo de informações. A CPUID afirma que seus binários originais assinados não foram modificados, mas o limite de confiança já foi quebrado, e isso é o que importa.
Agências federais alertaram que atores ligados ao Irã vêm mirando PLCs da Rockwell Automation e Allen-Bradley desde março, causando interrupções e manipulando telas HMI e SCADA. Em seguida, a Censys contou 5.219 hosts expostos globalmente, com 3.891 nos Estados Unidos. Isso não é apenas uma métrica ruim. É um convite permanente.
Segundo a Microsoft, a Storm-2755 usou páginas de phishing Microsoft 365 do tipo adversary-in-the-middle, roubo de cookies de sessão, regras ocultas de inbox e engenharia social sobre depósito direto para redirecionar salários de funcionários canadenses. A lição é clara: MFA legado não salva quando o invasor rouba a sessão autenticada.
A Sysdig observou exploração da falha de execução remota de código pré-auth no Marimo dentro de 9 horas e 41 minutos após a divulgação pública. O bug estava no endpoint WebSocket /terminal/ws, que ignorava autenticação e entregava um shell interativo a invasores em instâncias expostas. Este é o novo normal: a janela entre disclosure e exploit está encolhendo rápido.
O Google diz que a criptografia ponta a ponta do Gmail agora está disponível no Android e no iOS para usuários enterprise, permitindo que equipes leiam e escrevam mensagens protegidas no mobile sem ferramentas extras. Isso não resolve comprometimento de identidade nem roubo de endpoint, mas reduz a desculpa habitual de que e-mail seguro é complicado demais para fluxos reais.
Sources tracked for this briefing: Fontes acompanhadas para este briefing: BleepingComputer, The Hacker News e relatórios de agências federais ou fornecedores publicados entre 10 e 11 de abril de 2026.
A KENSAI ajuda equipes a encontrar sistemas expostos à internet, fluxos frágeis de identidade e lacunas perigosas na cadeia de suprimentos de software antes que virem incidentes.
Iniciar varredura grátis →Mantenha-se afiado.
🗡️ KENSAI Security Team