← Voltar ao blog
Briefing de segurança5 min read2026-05-04

Briefing de segurança, 4 de maio de 2026: ransomware no cPanel, violação na Instructure, golpes com Telegram Mini Apps e caos de certificados no Microsoft Defender

O padrão feio desta manhã é confiança sob pressão: painéis de hospedagem, plataformas educacionais, apps de chat e proteção de endpoint viraram pontos de alavanca assim que o caminho familiar foi tratado como caminho seguro.


Resumo: Corrija o cPanel agora, trate dados ligados à Instructure como potencialmente expostos, não confie em Telegram Mini Apps que pedem depósitos ou APKs, e valide a saúde dos certificados do Defender se sua frota Windows recebeu alertas em 3 de maio.


1. O cPanel saiu de falha crítica para ransomware Linux real em velocidade absurda

A CVE-2026-41940 no cPanel e no WHM já está sendo explorada em massa. Segundo a BleepingComputer, pelo menos 44 mil IPs com cPanel foram comprometidos em ataques em andamento, que rapidamente evoluíram para implantações do ransomware Linux "Sorry", escrito em Go, que adiciona .sorry aos arquivos criptografados.


2. A Instructure agora é um caso real de violação no setor educacional, não apenas um aviso de incidente

A Instructure confirmou que dados de usuários foram roubados no ataque cibernético divulgado na sexta-feira. A empresa afirma que as informações expostas incluem nomes, e-mails, números de estudante e mensagens entre usuários de instituições afetadas. Até agora não há evidência de senhas, datas de nascimento, identificadores governamentais ou dados financeiros, mas o blast radius ainda pode ser enorme se as alegações do ShinyHunters estiverem minimamente corretas.


3. Telegram Mini Apps virou trilho de UX fraudulenta e entrega de malware Android

Pesquisadores da CTM360 afirmam que a operação FEMITBOT usa bots do Telegram mais Mini Apps para imitar marcas, exibir saldos falsos, pressionar vítimas a depositar e, em alguns casos, distribuir APKs Android disfarçados de apps legítimos. O golpe funciona porque o fluxo de phishing continua dentro do Telegram e por isso parece normal.


4. Falsos positivos do Defender transformaram raízes DigiCert confiáveis em risco operacional

Uma atualização de assinaturas do Defender marcou certificados raiz legítimos da DigiCert como Trojan:Win32/Cerdigent.A!dha e, em alguns sistemas, removeu esses certificados do trust store do Windows. A Microsoft diz que o problema foi corrigido a partir da Security Intelligence 1.449.430.0, mas esse tipo de erro defensivo quebra cadeias de confiança em silêncio enquanto as equipes caçam fantasmas.


O que as equipes de segurança devem fazer hoje

  1. Corrigir primeiro cPanel e WHM se ainda existir qualquer painel de hospedagem exposto sem patch.
  2. Avaliar se sua instituição, clientes ou fornecedores dependem de Instructure ou Canvas e preparar comunicação agora.
  3. Publicar um alerta de usuário sobre golpes de investimento no Telegram e bloquear caminhos de APK sideload quando possível.
  4. Auditar endpoints Windows por falsos positivos de certificados no Defender antes que cadeias de confiança quebradas virem indisponibilidade maior.

Fontes


Conclusão: A falha comum de hoje é confiança mal colocada em infraestrutura familiar. Atacantes exploraram isso em cPanel e Telegram, e defensores tropeçaram nisso no tratamento de certificados. Quem validar suposições mais rápido sofrerá menos dano.

Encontre caminhos de confiança expostos antes dos atacantes ou de ferramentas quebradas

A KENSAI ajuda equipes a mapear painéis expostos, dependências SaaS, superfícies de phishing e pontos cegos de cadeia de confiança antes que virem incidentes.

Iniciar varredura gratuita →

Fiquem afiados.

🗡️ Equipe de Segurança KENSAI