🛡️ KENSAI Inteligência de Segurança
Briefing diário de ameaças — Segunda-feira, 9 de março de 2026 · Gerado automaticamente às 04:00 CET
⚡ TL;DR — Principais notícias
- FBI investiga violação de sistema com dados de vigilância sensíveis
- Violação da Cognizant TriZetto expõe dados de saúde de 3,4 M de pacientes
- Cisco SD-WAN CVE-2026-20127 agora amplamente explorado na natureza
- Anthropic encontrou 22 vulnerabilidades no Firefox com Claude Opus 4.6 em duas semanas
- MuddyWater do Irã infiltrado em bancos e aeroportos dos EUA com nova backdoor Dindoor
- Malware codificado por IA se torna mainstream — Transparent Tribe produz em massa «vibeware»
🔓 Violações de dados e intrusões
FBI investiga violação de sistema de vigilância sensível
Crítico Gov. EUAO FBI está investigando atividade cibernética «suspeita» em um sistema que contém informações de vigilância sensíveis. A agência trabalha para determinar o escopo e o impacto, conforme notificação enviada ao Congresso. O sistema comprometido supostamente contém dados relacionados ao FISA.
Violação da Cognizant TriZetto expõe 3,4 milhões de registros de pacientes
Alto SaúdeA empresa de TI em saúde TriZetto Provider Solutions (subsidiária da Cognizant) sofreu uma violação que expôs informações de saúde sensíveis de mais de 3,4 milhões de pessoas. A empresa desenvolve software utilizado por seguradoras e prestadores de saúde em todos os EUA.
Violação de dados da Transport for London afeta 10 milhões
Alto UK TransporteA Transport for London (TfL) confirmou uma violação de dados afetando aproximadamente 10 milhões de indivíduos. Os detalhes estão surgindo após um incidente cibernético anterior na operadora de transporte britânica.
APT iraniana MuddyWater infiltrada em bancos, aeroportos e empresa de software dos EUA
Crítico Estado-nação IrãA Symantec da Broadcom descobriu que o grupo iraniano MuddyWater (Seedworm) se infiltrou em redes de bancos, aeroportos americanos, uma organização sem fins lucrativos e a filial israelense de uma empresa de software de defesa/aeroespacial. A campanha utiliza uma nova backdoor chamada «Dindoor» e começou no início de fevereiro de 2026, com atividade intensificada após os ataques americano-israelenses contra o Irã.
🐛 CVEs críticos e exploits
CVE-2026-20127 — Cisco Catalyst SD-WAN (Amplamente explorado)
Crítico RedeA WatchTowr reporta tentativas de exploração de numerosos IPs únicos visando esta vulnerabilidade do Cisco Catalyst SD-WAN. Organizações com infraestrutura SD-WAN afetada devem aplicar o patch imediatamente.
CISA adiciona falhas Hikvision e Rockwell CVSS 9.8 ao catálogo KEV
CVSS 9.8 ICS/OTA CISA adicionou duas vulnerabilidades críticas ao seu catálogo de vulnerabilidades exploradas conhecidas: CVE-2017-7921 (autenticação imprópria da Hikvision) e uma falha da Rockwell Automation que permite hacking remoto de ICS. Ambas têm evidências de exploração ativa.
CISA ordena agências federais a corrigir falhas do iOS — Coruna Exploit Kit
Alto Móvel SpywareA CISA ordenou às agências federais dos EUA corrigir três vulnerabilidades do iOS visadas pelo kit de exploração «Coruna» de nível estatal, que ataca 23 vulnerabilidades do iOS 13 ao 17.2.1. Utilizado em campanhas de ciberespionagem e roubo de criptomoedas.
Anthropic descobre 22 vulnerabilidades no Firefox com IA
14 de alta severidade NavegadorO Claude Opus 4.6 da Anthropic encontrou 22 vulnerabilidades no Firefox (14 altas, 7 moderadas, 1 baixa) em apenas duas semanas — quase um quinto de todos os bugs de alta severidade corrigidos no Firefox em 2025. Um use-after-free foi detectado em apenas 20 minutos. Corrigido no Firefox 148. A Anthropic também demonstrou capacidade limitada de geração de exploits (US$ 4.000 em créditos de API, 2 exploits bem-sucedidos de centenas de tentativas).
💀 Ransomware e malware
Ransomware Termite vinculado a ataques ClickFix + CastleRAT
Alto RansomwareO grupo de ameaça Velvet Tempest está implantando o ransomware Termite usando a técnica de engenharia social ClickFix e utilitários legítimos do Windows para entregar DonutLoader e a backdoor CastleRAT. A técnica ClickFix continua evoluindo entre múltiplos atores de ameaça.
Campanhas ClickFix proliferam — agora usando Windows Terminal
Alto Engenharia socialA Microsoft revelou uma nova variante do ClickFix usando Windows Terminal (em vez do diálogo Executar) para implantar Lumma Stealer. Separadamente, uma nova variante «InstallFix» visa usuários com guias falsos de instalação do Claude Code para distribuir infostealers. O ClickFix é agora o vetor de engenharia social dominante entre múltiplos grupos de ameaça.
VOID#GEIST: campanha multi-estágio entregando XWorm, AsyncRAT, Xeno RAT
Malware RATA Securonix descobriu uma campanha de malware multi-estágio usando scripts batch ofuscados para entregar payloads RAT criptografados. Usa runtime Python legítimo e injeção Early Bird APC no explorer.exe. Demonstra a tendência para entrega baseada em scripts que imita atividade legítima do usuário.
Mais de 100 repositórios do GitHub distribuindo o stealer BoryptGrab
Alto Cadeia de suprimentosMais de 100 repositórios do GitHub foram encontrados distribuindo o stealer BoryptGrab visando dados do navegador, carteiras de criptomoedas, informações do sistema e arquivos do usuário. Parte da tendência crescente de abusar de plataformas de desenvolvimento confiáveis para distribuição de malware.
🕵️ Atividade de estados-nação e APT
Transparent Tribe — Produção em massa de «vibeware» gerado por IA
Paquistão IA-Malware ÍndiaO grupo Transparent Tribe, alinhado ao Paquistão, está usando ferramentas de codificação com IA para produzir em massa implantes de malware em linguagens menos conhecidas (Nim, Zig, Crystal), hospedados no Slack, Discord, Supabase e Google Sheets. A Bitdefender chama isso de «industrialização do malware assistida por IA» — inundando alvos com binários poliglotas descartáveis. Um momento marcante nas operações ofensivas habilitadas por IA.
UAT-9244 vinculado à China ataca telecomunicações sul-americanas
China Telecom APTA Cisco Talos rastreia a UAT-9244 (vinculada à FamousSparrow / potencial sobreposição com Salt Typhoon) atacando infraestrutura de telecomunicações crítica na América do Sul desde 2024. Usa três implantes: TernDoor, PeerTime e BruteEntry em Windows, Linux e dispositivos de borda.
Hackers abusam de DNS .arpa e IPv6 para evadir defesas contra phishing
Evasão PhishingAtores de ameaça exploram o domínio de uso especial .arpa e DNS reverso IPv6 em campanhas de phishing para burlar verificações de reputação de domínio e gateways de segurança de e-mail. Uma técnica de evasão inovadora que contorna a filtragem URL tradicional.
🔧 Ferramentas de segurança e lançamentos
OpenAI Codex Security — Scanner de vulnerabilidades com IA
Lançamento de ferramenta Segurança IAA OpenAI lançou o Codex Security em pré-visualização de pesquisa — um agente alimentado por IA que encontra, valida e propõe correções de vulnerabilidades. Escaneou 1,2 M de commits na beta, encontrou 10.561 problemas de alta severidade. Disponível para ChatGPT Pro/Enterprise/Business/Edu. Gratuito no primeiro mês. Nota competitiva: Competidor direto das capacidades de escaneamento automatizado do KENSAI.
ArmorCode levanta US$ 16M para plataforma de gestão de exposição
Financiamento AppSecA ArmorCode levantou US$ 16M para acelerar o desenvolvimento de sua plataforma de gestão de exposição. A empresa foca em gestão de postura de segurança de aplicações (ASPM) e consolidação da gestão de vulnerabilidades.
Evervault levanta US$ 25M em Série B para plataforma de criptografia para desenvolvedores
Financiamento Segurança de dadosA empresa de segurança de dados Evervault levantou US$ 25M (Série B, US$ 46M no total) para sua plataforma de criptografia e orquestração orientada a desenvolvedores. Demanda crescente do mercado por soluções de privacidade por design.
📊 Tendências emergentes e análises
Microsoft: hackers usam IA em cada etapa dos ciberataques
Tendência Ameaças IAA Microsoft alerta que os atores de ameaça estão cada vez mais usando IA em todas as etapas — reconhecimento, engenharia social, desenvolvimento de malware, movimento lateral e exfiltração de dados. A IA reduz barreiras técnicas e acelera cronogramas de ataque. Combinado com o vibeware do Transparent Tribe e as descobertas do Firefox pela Anthropic, março de 2026 marca um claro ponto de inflexão para IA tanto em ataque quanto em defesa.
Google: metade dos 90 zero-days de 2025 visaram empresas
Tendência Zero-DayA análise anual de zero-days do Google revela 90 zero-days explorados em 2025, com quase metade visando produtos empresariais. Fornecedores de spyware e grupos vinculados à China lideraram a atribuição. A mudança para alvos empresariais ressalta a necessidade de gestão proativa de vulnerabilidades.
Engenharia social ClickFix — O vetor dominante de 2026
Tendência Engenharia socialO ClickFix e suas variantes (InstallFix, entrega de CastleRAT) são agora usados por pelo menos 3 grupos de ameaça distintos (Velvet Tempest, campanhas genéricas de Lumma, instaladores falsos de ferramentas CLI). A técnica engana os usuários para executar comandos maliciosos se passando por procedimentos de instalação ou correção. Tornou-se a técnica de engenharia social preferida para 2026.
Atualização da ciberestratégia dos EUA e mudanças de liderança no Pentágono
Política Gov. EUAA nova ciberestratégia de Trump enfatiza dissuasão mais forte, modernização de redes federais, proteção de infraestrutura crítica e investimento em IA + criptografia pós-quântica. James «Aaron» Bishop nomeado novo CISO do Pentágono, substituindo David McKeown após 40 anos de serviço governamental.
🎯 Relevância KENSAI
Inteligência competitiva
OpenAI Codex Security lançado como competidor direto no espaço de escaneamento de vulnerabilidades com IA. Diferencial chave para KENSAI: Codex foca em escaneamento de código/commits enquanto KENSAI oferece pentesting full-stack (DAST + infraestrutura). Posicionar KENSAI como a «avaliação de segurança completa» vs. a abordagem «somente código» do Codex.
Oportunidades de conteúdo
• Artigo «IA vs. IA» — Como a IA encontra vulnerabilidades (Anthropic/Firefox) e como a IA cria malware (Transparent Tribe). KENSAI como lado defensivo desta corrida armamentista.
• Guia de conscientização sobre ClickFix — Múltiplas variantes agora ativas; escrever um guia de detecção/prevenção.
• Cobertura de CVE — CVE-2026-20127 (Cisco SD-WAN) está sendo ativamente explorado; adicionar ao banco de dados CVE do KENSAI se não estiver presente.
Fontes: BleepingComputer · The Hacker News · SecurityWeek · CISA
Próximo relatório: 10 de março de 2026 · 04:00 CET