← Voltar ao Blog
Briefing de Segurança 7 de março de 2026 9 min de leitura

7 de março de 2026

Uma violação de TI na área da saúde expõe 3,4 milhões de registros de pacientes, Hackers ligados à China implantam três novos implantes contra a infraestrutura de telecomunicações da América do Sul, Wikipedia sofre um worm JavaScript de autopropagação, e uma campanha de malware em vários estágios fornece cargas triplas de RAT por meio de execução sem arquivo. Aqui está tudo o que você precisa saber hoje.


🏥 Violação da TriZetto Healthcare expõe 3,4 milhões de registros de pacientes

⚠️ Exposição massiva de dados de saúde

Soluções para Provedores TriZetto, uma empresa de TI de saúde de propriedade da Cognizant, divulgou uma violação de dados que afeta 3.433.965 indivíduos. Unauthorized access persisted for nearly a year — from novembro 2024 to outubro 2025.

O que foi exposto?

A violação teve como alvo um portal da web usado para verificação de elegibilidade de seguro. Os dados comprometidos incluem:

Cronograma e Resposta

Data Evento
19 de novembro de 2024 O acesso não autorizado começa
2 de outubro de 2025 Atividade suspeita detectada
9 de dezembro de 2025 Prestadores afetados notificados
fevereiro 2026 Começam as notificações do cliente
6 de março de 2026 Arquivo da Maine AG confirma 3,4 milhões de afetados

💡 Preocupação Principal

O Tempo de permanência de 11 meses antes da detecção é alarmante, mas infelizmente comum em violações de cuidados de saúde. A TriZetto está oferecendo aos indivíduos afetados 12 meses de monitoramento de crédito gratuito por meio da Kroll, mas a exposição de SSNs e identificadores do Medicare cria um risco de roubo de identidade a longo prazo. Nenhum grupo de ransomware assumiu a responsabilidade.


🇨🇳 UAT-9244, vinculado à China, implanta três novos implantes nas telecomunicações sul-americanas

⚠️ Infraestrutura crítica sob ataque

Cisco Talos identificou um grupo APT ligado à China designado UAT-9244 comprometendo sistematicamente provedores de telecomunicações na América do Sul usando três famílias de malware anteriormente não documentadas.

O Arsenal de Triplo Implantes

Implante Plataforma Alvo Capacidades
TernPorta Janelas Carregamento lateral de DLL via wsprint.exe, manipulação de processos via driver de kernel incorporado, comunicação C2
Tempo de peer (cara irritado) Linux Acesso backdoor, operações de arquivos, reconhecimento de sistema
Entrada Bruta Dispositivos de borda de rede Persistência de dispositivos de borda, interceptação de tráfego de rede

Atribuição e conexões

UAT-9244 está intimamente associado a FamosoPardal, que compartilha sobreposições táticas com Tufão de Sal — o grupo China-nexus, famoso por visar fornecedores de telecomunicações em todo o mundo. TernDoor é uma variante de CrowDoor/SparrowDoor, apresentando novos códigos de comando e um driver integrado do Windows para controle de processos.

Principais detalhes técnicos:

🎯 Impacto Estratégico

Os provedores de telecomunicações são alvos de espionagem de alto valor – controlar a infraestrutura de comunicações significa acesso potencial a registros de dados de chamadas, conteúdo de SMS e tráfego de Internet de populações inteiras. Esta campanha demonstra o interesse estratégico contínuo da China na infraestrutura digital latino-americana.


🌐 Wikipédia atingida por worm JavaScript de autopropagação

⚠️ Meta-Wiki da Wikimedia vandalizada

A worm JavaScript de autopropagação espalhou-se pelo Meta-Wiki da Wikipédia, modificando scripts de usuários e vandalizando páginas antes que os engenheiros pudessem contê-lo.

Como o verme se espalhou

O ataque explorou os recursos de personalização de JavaScript da Wikipedia – especificamente o MediaWiki:Common.js e User:<username>/common.js scripts que são executados nos navegadores dos editores:

  1. Origem — Um script malicioso (User:Ololoshka562/test.js) was uploaded to Russian Wikipedia, reportedly in março 2024
  2. Gatilho — O script foi executado (possivelmente acidentalmente) por uma conta de funcionário da Wikimedia durante o teste
  3. Propagação em nível de usuário — Substituiu cada editor logado common.js com um carregador para o script malicioso
  4. Escalonamento em todo o site — Se o usuário infectado tivesse privilégios de administrador, o MediaWiki:Common.js global
  5. foi modificado, afetando todos os editores Vandalismo

— Edições automatizadas adicionaram scripts ocultos e vandalismo às páginas do Meta-Wiki

Contenção Engenheiros da Wikimedia edição temporariamente restrita

em todos os projetos enquanto investigavam e revertiam as alterações. O incidente destaca como o JavaScript personalizável pelo usuário em plataformas colaborativas pode se tornar um vetor de ataque – especialmente quando contas privilegiadas executam código não confiável.

🛡️ Lições para Organizações Qualquer plataforma que permita JavaScript carregado pelo usuário enfrenta riscos semelhantes. As organizações devem implementar Política de Segurança de Conteúdo (CSP)


cabeçalhos, restringir contextos de execução de scripts e garantir que contas privilegiadas tenham proteções adicionais contra a execução de código não confiável.

🐛 VOID#GEIST: Malware sem arquivo em vários estágios oferece carga tripla de RAT

⚠️ Cadeia de ataque furtivo em vários estágios Os pesquisadores da Securonix descobriram uma sofisticada campanha de malware com o codinome VOID#GEIST que entrega XWorm, AsyncRAT e Xeno RAT

através de uma cadeia de execução completamente sem arquivo.

Fluxo de ataque Estágio Técnica
1 Objetivo Script em lote ofuscado via phishing
2 Acesso inicial, exibição de PDF chamariz Implantação do segundo script em lote
3 Camada de orquestração Preparação legítima do tempo de execução do Python
4 Portabilidade, abuso de binário confiável Descriptografia de shellcode criptografado
5 Preparação da carga Injeção Early Bird APC no explorer.exe

Execução RAT na memória


— Abre uma fatura em PDF em tela inteira enquanto é executada silenciosamente em segundo plano

💰 Nacional de Gana se declara culpado em rede de fraude BEC de US$ 100 milhões

🏛️ Grande remoção de fraude internacional Um cidadão ganense se declarou culpado de participar de uma enorme rede de fraude que roubou US$ 100 milhões

de vítimas nos Estados Unidos por meio de ataques de comprometimento de e-mail comercial (BEC) e golpes românticos. O caso destaca o escala industrial


— Foram utilizadas redes sofisticadas de mulas de dinheiro para movimentar fundos roubados

🔍 Bing AI promove repositório OpenClaw GitHub falso, empurrando infostealers

⚠️ Resultados de pesquisa de IA armados Da Microsoft Pesquisa aprimorada por IA do Bing

promoveu repositórios OpenClaw GitHub falsos que instruíam os usuários a executar comandos implantando ladrões de informações e malware de proxy. Este incidente é particularmente preocupante porque demonstra como pode ser manipulado para promover conteúdo malicioso com ar de autoridade:

🛡️ Conselhos de Proteção

Sempre verifique os repositórios de software por meio de sites oficiais do projeto, não resultados de pesquisa. Verifique as datas de criação do repositório, contagens de estrelas, histórico de contribuidores e verifique se os URLs correspondem à documentação oficial antes de executar qualquer comando de instalação.


🛡️ Prioridades de Mitigação de Hoje

Para organizações de saúde

  1. Auditoria dos controlos de acesso ao portal Web — Implementar AMF em todos os sistemas de dados de pacientes
  2. Monitorizar intrusões de longa duração — Implementar análises comportamentais para detetar acessos não autorizados persistentes
  3. Revise a segurança do fornecedor — Avaliar as posturas de segurança dos prestadores de serviços de TI terceiros

Para Telecomunicações e Infraestrutura Crítica

  1. Patch Exchange e Windows Server — UAT-9244 explora sistemas desatualizados
  2. Monitore dispositivos de borda — Verificar indicadores de BruteEntry em equipamentos de perímetro de rede
  3. Procure carregamento lateral de DLL — Procure atividades suspeitas de wsprint.exe

Para todas as organizações

  1. Implementar cabeçalhos CSP — Restringir a execução de JavaScript em plataformas web
  2. Monitore ataques sem arquivo — Ajustar EDR para padrões de injeção de APC Early Bird
  3. Verifique as fontes de software — Nunca instale ferramentas dos resultados de pesquisa de IA sem verificação
  4. Formação de sensibilização BEC — Reforçar os procedimentos de verificação de faturas e alterações de pagamentos

📊 Resumo do cenário de ameaças

Ameaça Ator Gravidade Ação necessária
Violação de saúde TriZetto Desconhecido 🔴 Crítico Auditar a segurança dos fornecedores de cuidados de saúde e monitorizar o roubo de identidade
Ataques de telecomunicações UAT-9244 Ligado à China 🔴 Crítico Servidores de patch, procure TernDoor/PeerTime/BruteEntry
Verme JS da Wikipédia Desconhecido 🟠 Alto Implementar CSP, restringir a execução de scripts privilegiados
VOID#GEIST triplo RAT Cibercriminosos 🔴 Crítico Monitore ataques sem arquivo, bloqueie o abuso do TryCloudflare
Rede de fraude BEC de US$ 100 milhões Criminalidade organizada 🟠 Alto Reforçar a sensibilização para o BEC e a verificação dos pagamentos
Repositórios falsos via Bing AI Cibercriminosos 🟠 Alto Verifique as fontes de software, eduque os desenvolvedores

Detecção contínua de ameaças para sua infraestrutura

A verificação de segurança automatizada da KENSAI detecta vulnerabilidades, configurações incorretas e indicadores de comprometimento em toda a sua superfície de ataque — antes que os invasores os explorem.

Inicie a verificação de segurança gratuita

Fique atento. Fique protegido.

🗡️ Equipe de inteligência de ameaças KENSAI