O padrão de hoje é direto: atacantes estão abusando de chat confiável, identidade SaaS confiável e infraestrutura AI confiável mais rápido do que muitas equipes conseguem corrigir ou verificar.
Resumo: Três histórias merecem atenção imediata esta manhã: uma cadeia de engenharia social via Microsoft Teams que termina em comprometimento de domínio, uma invasão real de vishing-para-SaaS na ADT e uma falha SSRF em infraestrutura AI sondada em menos de meio dia.
O Google Mandiant afirma que o UNC6692 usa bombardeio de e-mails e impersonação no Microsoft Teams para pressionar funcionários a instalar um falso patch anti-spam. A vítima, na verdade, executa o conjunto Snow: a extensão de navegador SnowBelt, o túnel SnowGlaze e o backdoor em Python SnowBasin. A partir daí, os operadores despejam LSASS, movem-se lateralmente, alcançam controladores de domínio e exfiltram material do Active Directory. Isso não é apenas mais um phishing; é um caminho de intrusão nativo do chat disfarçado de suporte interno.
A ADT diz que atacantes roubaram dados de clientes e potenciais clientes, incluindo nomes, telefones, endereços e, em uma parcela menor, datas de nascimento e os últimos quatro dígitos de SSNs ou IDs fiscais. A ShinyHunters disse à BleepingComputer que a intrusão começou com um ataque de vishing contra uma conta SSO do Okta e depois se expandiu para o Salesforce. Mesmo que nem toda alegação do atacante esteja correta, a lição operacional é óbvia: quando uma identidade SaaS confiável cai, toda a plataforma de negócio conectada vira raio de impacto.
A falha SSRF do LMDeploy, CVE-2026-33626, teria sido explorada em 12 horas e 31 minutos após a divulgação. Atacantes usaram o carregador de imagens vision-language para sondar metadados AWS, Redis, MySQL, superfícies administrativas locais e um endpoint externo de callback. Isso importa porque o LMDeploy é exatamente o tipo de componente de serving de LLM que equipes implantam rápido e revisam pouco. Quando um advisory entrega a causa raiz e o caminho de código afetado, atacantes não esperam o seu próximo sprint.
Em resumo: O padrão de hoje é direto: atacantes estão abusando de chat confiável, identidade SaaS confiável e infraestrutura AI confiável mais rápido do que muitas equipes conseguem corrigir ou verificar.
A KENSAI ajuda equipes a expor caminhos de ataque em workflows de identidade, plataformas SaaS, ferramentas de colaboração e infraestrutura AI antes que atacantes transformem confiança normal de negócio em acesso de violação.
Scan grátis →Fique atento.
🗡️ KENSAI Security Team