← Voltar ao blog
Security Briefing4 min de leitura2026-04-27

Security Briefing, 27 de abril de 2026: malware Snow via Teams, violação de rede utilitária da Itron, FakeWallet na App Store e o alerta de 13 horas do LMDeploy

O padrão desta manhã é feio e consistente: canais de suporte confiáveis, infraestrutura confiável, lojas de apps confiáveis e tooling de IA confiável estão sendo transformados em rotas de ataque de alta velocidade.


Resumo: Quatro histórias importam antes mesmo de muitas equipes terminarem o standup: engenharia social por chat com consequências em nível de domínio, uma invasão de rede interna no setor utilitário, roubo de wallets via App Store e uma falha de AI serving explorada em menos de meio dia.


1. O malware Snow transforma a confiança no helpdesk do Microsoft Teams em caminho para comprometimento de domínio

O Google Mandiant diz que o UNC6692 combina email bombing com falso contato de helpdesk no Microsoft Teams para empurrar vítimas a instalar um suposto patch anti-spam. Esse patch entrega o kit Snow: SnowBelt para persistência no navegador, SnowGlaze para tunelamento e SnowBasin para execução de comandos. Depois disso, os operadores fazem dump de LSASS, se movem lateralmente e exfiltram material do Active Directory. Isso já não é phishing comum; é confiança em suporte sendo convertida em acesso profundo à rede.


2. A violação interna de TI da Itron é um alerta de infraestrutura crítica, mesmo sem impacto confirmado em clientes

A Itron informou acesso não autorizado a certos sistemas internos e diz ter bloqueado a atividade, iniciado investigação e não ver, por ora, interrupção operacional material. Isso é positivo, mas não basta. A Itron está profundamente inserida em tecnologia utilitária para energia e água. Quando um fornecedor tão integrado relata comprometimento interno, utilities e operadores próximos devem interpretar isso como alerta sobre segmentação, acesso de fornecedores e prontidão de resposta.


3. FakeWallet na App Store da Apple mostra que distribuição móvel confiável continua sendo canal real de roubo

Pesquisadores encontraram 26 apps FakeWallet na App Store da Apple mirando recovery phrases e chaves privadas, incluindo imitações de grandes carteiras. Em alguns casos, os apps redirecionavam usuários para fluxos trojanizados de instalação, com disponibilidade reportada na App Store da China. A lição vai além de cripto: até uma loja confiável pode virar canal de roubo de credenciais e ativos quando imitação de marca e confiança móvel parecem convincentes o bastante.


4. Watchlist: LMDeploy prova que as janelas de exploração de IA estão colapsando

LMDeploy CVE-2026-33626, uma falha SSRF em uma stack open source de serving de LLM, teria sido explorada em 12 horas e 31 minutos após a divulgação. Isso deveria preocupar qualquer equipe que trate infraestrutura de IA como software interno comum. Advisories estão próximos demais de prompts de exploit, e a latência de patch vira exposição.


O que as equipes de segurança devem fazer hoje

  1. Revalide cada fluxo de suporte baseado em Teams e exija confirmação fora de banda para pedidos urgentes de helpdesk.
  2. Revise premissas de segmentação em infraestrutura crítica e redes internas, especialmente ao redor de fornecedores e administração remota.
  3. Envie agora orientação de higiene para wallets móveis e bloqueie padrões de instalação arriscados onde a gestão do dispositivo permitir.
  4. Aplique patches rápidos em componentes de IA e bloqueie por padrão acesso a metadados, loopback e egress desnecessário da infraestrutura de modelos.

Fontes


Conclusão: O padrão desta manhã é feio e consistente: canais de suporte confiáveis, infraestrutura confiável, lojas de apps confiáveis e tooling de IA confiável estão sendo transformados em rotas de ataque de alta velocidade.

Encontre as quebras de confiança antes que virem incidentes

A KENSAI ajuda equipes a revelar rotas de ataque expostas em fluxos de identidade, infraestrutura interna, cadeias móveis de software e stacks de serving de IA antes que atacantes transformem confiança em acesso.

Scan gratuito →

Fique atento.

🗡️ KENSAI Security Team