← Back to Blog
Resumo de Segurança5 min read2026-04-14

Resumo de segurança, 14 de abril de 2026: desmantelamento do W3LL, iscas do APT37 no Facebook, rotação de certificado na OpenAI, infostealer Storm e certificados falsos no wolfSSL

O sinal de hoje é duro: a engenharia social está mais paciente, o roubo de sessão mais silencioso, e os âncoras de confiança, de kits de login a code signing e bibliotecas TLS, estão sob pressão ao mesmo tempo.


Top line: Uma grande derrubada de kit de phishing, uma cadeia norte-coreana de engenharia social, uma contenção de supply chain pela OpenAI, um modelo de infostealer mais silencioso e um bug feio de validação de certificados em software muito presente em ambientes embarcados.


1. O W3LL mostra que kits de phishing viraram plataformas completas de fraude

O FBI e a polícia nacional da Indonésia desmantelaram a operação W3LL, apreenderam infraestrutura e detiveram o suposto desenvolvedor. O kit teria sido usado contra mais de 17 mil vítimas entre 2023 e 2024 e apoiado mais de US$ 20 milhões em fraude tentada, principalmente via roubo de credenciais do Microsoft 365 e cookies de sessão em fluxos adversary-in-the-middle.


2. O APT37 transforma confiança no Facebook em canal de malware

Pesquisadores atribuem ao APT37 uma campanha com perfis falsos no Facebook, conversas no Messenger e acompanhamento por Telegram para convencer alvos a instalar um visualizador de PDF trojanizado. A cadeia entrega RokRAT, abusa de um site legítimo comprometido para C2 e esconde uma carga posterior dentro de uma imagem.


3. A OpenAI rotacionou seu certificado de assinatura macOS após o incidente com Axios

A OpenAI afirmou que um workflow do GitHub Actions no caminho de assinatura macOS baixou a versão envenenada do Axios. A empresa não viu evidência de exfiltração de dados ou roubo do certificado, mas ainda assim revogou e rotacionou o material; versões antigas perderão suporte de atualização e confiança padrão do macOS após 8 de maio de 2026.


4. O Storm move o roubo de credenciais do endpoint para a infraestrutura do atacante

Segundo a BleepingComputer, o Storm rouba bancos de dados do navegador, cookies, dados de wallet e tokens, e depois descriptografa e restaura sessões do lado do atacante, em vez de localmente. Isso remove um dos sinais clássicos de endpoint que os defensores aprenderam a detectar.


5. O wolfSSL corrigiu um problema de certificado forjado com grande risco downstream

O CVE-2026-5194 enfraquece a validação de certificados no wolfSSL ao aceitar digests menores do que o apropriado para vários esquemas de assinatura. Como o wolfSSL está presente em bilhões de aplicações e dispositivos, especialmente embarcados, IoT, industriais e appliances, o impacto vai muito além de servidores web.


O que as equipes de segurança devem fazer hoje

  1. Reforçar controles de identidade resistentes a phishing em torno do Microsoft 365 e de usuários de alto risco.
  2. Revisar como redes sociais, mensageria e compartilhamento de arquivos se cruzam em ataques dirigidos.
  3. Auditar pipelines de assinatura e rotacionar material sensível quando a confiança da cadeia for tocada.
  4. Ampliar a detecção de roubo de senha para roubo de sessão e replay de token.
  5. Encontrar wolfSSL em ambientes embarcados e OT antes que a lacuna de inventário vire incidente.

Fontes acompanhadas para este briefing: The Hacker News e BleepingComputer publicados em 13 de abril de 2026, além dos avisos de fornecedores e pesquisadores citados nesses relatórios.

Reduza a lacuna de confiança antes que os atacantes a usem

A KENSAI ajuda equipes de segurança a encontrar caminhos de identidade expostos, cadeias de software frágeis e sistemas voltados para a internet que são discretamente arriscados antes que virem incidentes.

Start Free Scan →

Fique afiado.

🗡️ KENSAI Security Team