🛡️ KENSAI Inteligência de Segurança
Resumo Executivo
- Ericsson EUA comprometida por meio de ataque a provedor de serviços — dados de funcionários e clientes roubados
- 0-day no Cisco SD-WAN (CVE-2026-20127) amplamente explorado com PoC público disponível
- CISA adiciona falhas do exploit kit para iOS — kit Coruna visa 23 vulnerabilidades (iOS 13–17.2.1)
- Hackers estatais russos atacam contas de Signal e WhatsApp de funcionários governamentais
- ShinyHunters explorando ativamente falha no Salesforce Aura para roubo de dados
- FBI investiga atividade suspeita em sistema sensível de vigilância
- OpenAI lança Codex Security — agente de IA escaneou 1,2M de commits e encontrou 10.500 problemas de alta severidade
🔓 Vazamentos de Dados e Incidentes
Ericsson EUA divulga vazamento de dados após ataque a provedor de serviços
A Ericsson Inc. (subsidiária norte-americana) confirmou que atacantes roubaram dados de funcionários e clientes após comprometer um de seus provedores de serviços terceirizados. O alcance da violação ainda não foi divulgado. Trata-se de mais um ataque à cadeia de suprimentos que evidencia falhas na gestão de riscos de terceiros.
ShinyHunters explora Salesforce Aura para roubo ativo de dados
A Salesforce está alertando clientes sobre plataformas Experience Cloud mal configuradas que concedem a usuários convidados acesso excessivo a dados. O grupo de extorsão ShinyHunters afirma estar explorando uma nova vulnerabilidade para roubar dados ativamente de instâncias Salesforce, além do problema de má configuração.
FBI investiga violação em sistema sensível de vigilância
O FBI está investigando atividade cibernética «suspeita» em um sistema que contém informações sensíveis de vigilância. A agência notificou o Congresso e trabalha para determinar o alcance e o impacto. Os detalhes permanecem classificados.
UNC4899 (Coreia do Norte) comprometeu empresa cripto via trojan por AirDrop
O ator de ameaças norte-coreano UNC4899 (também conhecido como Jade Sleet/TraderTraitor) comprometeu uma organização de criptomoedas por meio de engenharia social, induzindo um desenvolvedor a enviar um arquivo trojanizado para seu dispositivo de trabalho via AirDrop. Os atacantes migraram para a infraestrutura cloud usando técnicas living-off-the-cloud para roubar milhões em criptomoedas.
🚨 CVEs Críticos e Vulnerabilidades
Cisco Catalyst SD-WAN — Zero-Day ativamente explorado
Vulnerabilidade de severidade máxima no Cisco Catalyst SD-WAN Controller e SD-WAN Manager. Exploit PoC público disponível. WatchTowr reporta exploração generalizada a partir de numerosos IPs únicos. Permite bypass de autenticação e acesso root. Aplicar patch imediatamente.
Nginx UI — Download e descriptografia de backups sem autenticação
Vulnerabilidade crítica no Nginx UI permite que atacantes não autenticados façam download e descriptografem backups completos do sistema, expondo arquivos de configuração, credenciais e dados sensíveis.
Plataforma AVideo — Injeção de comandos sem interação do usuário
Falha de severidade máxima zero-click na plataforma de hospedagem de vídeo open-source AVideo permite que atacantes executem comandos arbitrários em servidores de streaming sem qualquer interação do usuário.
MongoDB — Queda do servidor sem autenticação
Vulnerabilidade CVSS 7.5 permite que atacantes não autenticados derrubem servidores MongoDB expostos utilizando largura de banda mínima. Descoberta por pesquisadores do Cato CTRL.
Plugin de membros do WordPress — Criação de contas de administrador
O plugin User Registration & Membership para WordPress permite que atacantes não autenticados contornem controles de segurança e criem contas de administrador.
CISA adiciona falhas do exploit kit Coruna para iOS ao KEV
Kit de exploits de nível estatal para iOS («Coruna») visa 23 vulnerabilidades afetando iOS 13 até 17.2.1. A CISA adicionou-os ao catálogo de Vulnerabilidades Exploradas Conhecidas em 5 de março. Exploração ativa confirmada.
Cisco Secure Firewall Management Center — RCE e bypass de autenticação
Dois avisos críticos independentes para o Cisco FMC: um permitindo execução remota de código (severidade máxima) e outro permitindo bypass de autenticação sem credenciais.
Falha no ExifTool — Imagens maliciosas executam código no macOS
Pesquisadores da Kaspersky descobriram uma vulnerabilidade em que imagens maliciosas podem desencadear a execução de código no macOS via ExifTool, desafiando suposições sobre a imunidade do macOS contra malware.
Atualização de emergência do Google Chrome — 10 correções de segurança
O Google atualizou o Chrome Stable para a versão 145.0.7632.159, corrigindo 10 vulnerabilidades de segurança, incluindo problemas críticos.
🕵️ Atores de Ameaças e Campanhas
Hackers estatais russos sequestram contas de Signal e WhatsApp
O governo holandês emitiu um alerta: hackers patrocinados pelo estado russo estão executando uma campanha de phishing direcionada a funcionários governamentais, pessoal militar e jornalistas para sequestrar suas contas de Signal e WhatsApp e acessar mensagens criptografadas.
CL-UNK-1068 — Espionagem chinesa em infraestruturas críticas da Ásia
A Palo Alto Unit 42 descobriu uma campanha de espionagem chinesa de vários anos (CL-UNK-1068) direcionada aos setores de aviação, energia, governo, farmacêutico e telecomunicações no sul, sudeste e leste da Ásia. Utiliza malware customizado, ferramentas open-source modificadas e LOLBINs para persistência.
Phishing via Microsoft Teams distribui malware A0Backdoor
Atacantes contactaram funcionários de organizações financeiras e de saúde via Microsoft Teams, enganando-os para conceder acesso remoto através do Quick Assist e implantar uma nova cepa de malware chamada «A0Backdoor».
Ataque ClickFix usa Windows Terminal para evadir detecção
Nova variante de páginas de phishing com CAPTCHA falso agora instrui as vítimas a colar comandos maliciosos no Windows Terminal em vez do diálogo Executar, evadindo métodos de detecção tradicionais.
Mais de 100 repositórios do GitHub distribuem o stealer BoryptGrab
Mais de 100 repositórios do GitHub estão distribuindo o infostealer BoryptGrab, que visa dados do navegador, carteiras de criptomoedas, informações do sistema e arquivos do usuário.
Extensões do Chrome tornam-se maliciosas após transferência de propriedade
Duas extensões do Chrome (QuickLens, ShotBird) tornaram-se maliciosas após transferência de propriedade, permitindo injeção de código e roubo de dados para ~7.800 usuários. Destaca o risco contínuo na cadeia de suprimentos do ecossistema de extensões de navegador.
Pacote npm malicioso implanta RAT (roubo de credenciais)
A JFrog descobriu um pacote npm malicioso que rouba credenciais do sistema, dados do navegador, carteiras cripto, chaves SSH, Apple Keychain e histórico do iMessage. Instala um RAT persistente com proxy SOCKS5 e clonagem de sessões de navegador em tempo real. 178 downloads antes da descoberta.
Mail2Shell — RCE sem interação no FreeScout Help Desk
Vulnerabilidade crítica zero-click no sistema de suporte open-source FreeScout permite que atacantes sequestrem servidores de e-mail simplesmente enviando um e-mail especialmente criado — sem interação do usuário necessária.
🔧 Ferramentas de Segurança e Atualizações do Setor
OpenAI lança o agente Codex Security
A OpenAI apresentou o Codex Security — um agente de segurança baseado em IA que encontra, valida e propõe correções para vulnerabilidades. Na fase de preview, escaneou 1,2 milhão de commits e encontrou 10.561 problemas de alta severidade. Disponível para usuários do ChatGPT Pro/Enterprise/Business/Edu. Gratuito durante o primeiro mês.
Google: Ataques cloud migram de credenciais fracas para exploração de vulnerabilidades
O relatório Cloud Threat Horizons H1 2026 do Google revela que atacantes estão explorando cada vez mais vulnerabilidades recém-divulgadas em software de terceiros (não apenas credenciais fracas) para comprometer ambientes cloud. A janela de exploração diminuiu de semanas para dias.
Fusões e aquisições em cibersegurança: 42 negócios em fevereiro de 2026
Negócios importantes anunciados por Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks e Zscaler. A consolidação continua em ritmo agressivo no mercado de cibersegurança.
ArmorCode levanta $16M para gestão de exposição
A ArmorCode garantiu $16M para acelerar o desenvolvimento de sua plataforma de gestão de postura de segurança de aplicações e gestão de exposição.
Estratégia cibernética de Trump: adversários, infraestrutura crítica e tecnologias emergentes
A nova Estratégia Cibernética dos EUA pede dissuasão mais forte contra adversários cibernéticos, modernização das redes federais, proteção de infraestruturas críticas e investimento em IA e criptografia pós-quântica.
Tribunal da UE: Bancos devem reembolsar imediatamente vítimas de phishing
O Advogado-Geral do Tribunal de Justiça da UE emitiu uma opinião formal sugerindo que os bancos devem reembolsar imediatamente as vítimas de transações não autorizadas relacionadas a phishing. Pode tornar-se precedente vinculante em todos os estados-membros da UE.
📊 Padrões de Ameaças Emergentes
Tendências-chave desta semana
1. Ataques à cadeia de suprimentos em aceleração: Pacotes npm maliciosos, transferências de propriedade de extensões do Chrome e comprometimento de provedores de serviços (Ericsson) — três vetores diferentes de ataque à cadeia de suprimentos em 24 horas. As cadeias de confiança são a nova superfície de ataque.
2. Janela de exploração cloud diminuindo: O relatório do Google confirma que atacantes exploram vulnerabilidades recém-divulgadas em dias, não semanas. Os SLAs de patching precisam ser medidos em horas para serviços expostos na nuvem.
3. Apps de mensagens na mira de estados-nação: APTs russos visam especificamente Signal e WhatsApp para sequestro de contas. Mensageiros criptografados são alvos de alto valor para espionagem, não refúgios seguros.
4. Ferramentas de segurança com IA se popularizam: O lançamento do Codex Security da OpenAI (1,2M de commits escaneados) sinaliza que a detecção de vulnerabilidades impulsionada por IA está migrando de nicho para ferramenta padrão de DevSecOps. Concorrência direta para o mercado da KENSAI.
5. Infraestrutura Cisco sob cerco: 0-day no SD-WAN, RCE no Firewall Management e bypass de autenticação — os produtos Cisco estão enfrentando um cluster de vulnerabilidades críticas. Organizações com infraestrutura Cisco precisam de ciclos de patching emergenciais.