← Back to Blog
Briefing de segurança 4 min read 2026-04-11

Briefing de segurança, 11 de abril de 2026: ataque de cadeia de suprimentos na CPUID, PLCs Rockwell expostos, pirataria de folha, RCE no Marimo e Gmail E2EE no mobile

O sinal desta manhã é feio e conhecido: ferramentas confiáveis, sistemas industriais expostos, sessões roubadas e weaponization quase instantânea. O único ponto positivo é que o e-mail seguro por padrão finalmente ficou um pouco mais viável no mobile.


Top line: Uma violação de cadeia de suprimentos de software, um alerta de exposição OT, uma campanha de roubo de folha, uma RCE em ferramenta de desenvolvimento explorada em menos de 10 horas e uma vitória defensiva do Google.


1. A cadeia de download da CPUID foi envenenada

Atacantes comprometeram uma API secundária da CPUID por cerca de seis horas e trocaram os links oficiais de download para redirecionar usuários de CPU-Z e HWMonitor para um instalador HWiNFO trojanizado. Pesquisadores disseram que o malware era multiestágio, fortemente ofuscado e provavelmente focado em roubo de informações. A CPUID afirma que seus binários originais assinados não foram modificados, mas o limite de confiança já foi quebrado, e isso é o que importa.


2. Quase 4 mil PLCs Rockwell dos EUA continuam expostos online

Agências federais alertaram que atores ligados ao Irã vêm mirando PLCs da Rockwell Automation e Allen-Bradley desde março, causando interrupções e manipulando telas HMI e SCADA. Em seguida, a Censys contou 5.219 hosts expostos globalmente, com 3.891 nos Estados Unidos. Isso não é apenas uma métrica ruim. É um convite permanente.


3. A Storm-2755 está roubando salários, não apenas acesso à caixa de entrada

Segundo a Microsoft, a Storm-2755 usou páginas de phishing Microsoft 365 do tipo adversary-in-the-middle, roubo de cookies de sessão, regras ocultas de inbox e engenharia social sobre depósito direto para redirecionar salários de funcionários canadenses. A lição é clara: MFA legado não salva quando o invasor rouba a sessão autenticada.


4. Marimo CVE-2026-39987 foi explorado quase imediatamente

A Sysdig observou exploração da falha de execução remota de código pré-auth no Marimo dentro de 9 horas e 41 minutos após a divulgação pública. O bug estava no endpoint WebSocket /terminal/ws, que ignorava autenticação e entregava um shell interativo a invasores em instâncias expostas. Este é o novo normal: a janela entre disclosure e exploit está encolhendo rápido.


5. A criptografia ponta a ponta do Gmail finalmente chega ao mobile

O Google diz que a criptografia ponta a ponta do Gmail agora está disponível no Android e no iOS para usuários enterprise, permitindo que equipes leiam e escrevam mensagens protegidas no mobile sem ferramentas extras. Isso não resolve comprometimento de identidade nem roubo de endpoint, mas reduz a desculpa habitual de que e-mail seguro é complicado demais para fluxos reais.


O que as equipes de segurança devem fazer hoje

  1. Auditar caminhos confiáveis de distribuição de software.
  2. Isolar ou remover ativos OT expostos à internet.
  3. Endurecer fluxos de identidade de folha e RH.
  4. Corrigir ferramentas de desenvolvimento expostas no dia da divulgação.
  5. Expandir mensagens móveis seguras para equipes sensíveis.

Sources tracked for this briefing: Fontes acompanhadas para este briefing: BleepingComputer, The Hacker News e relatórios de agências federais ou fornecedores publicados entre 10 e 11 de abril de 2026.

Corte o tempo com que os atacantes contam

A KENSAI ajuda equipes a encontrar sistemas expostos à internet, fluxos frágeis de identidade e lacunas perigosas na cadeia de suprimentos de software antes que virem incidentes.

Iniciar varredura grátis →

Mantenha-se afiado.

🗡️ KENSAI Security Team