剣 KENSAI
← Back to archive

Relatório Diário de Ameaças

2026-03-17 · Terça-feira · 04:00 CET
Análise automatizada do panorama de segurança em 24h
4
Violações
3
CVEs Críticos
2
Campanhas APT
3
Novas Ferramentas

⚡ Resumo — O Que Importa Hoje

  • Ataque wiper ao Stryker: O grupo iraniano Handala usou a limpeza remota do Intune em ~80K dispositivos — sem malware, apenas uma conta de Administrador Global roubada
  • Escalada na cadeia de suprimentos GlassWorm: Tokens do GitHub roubados usados para injetar malware em centenas de repositórios Python (Django, ML, pacotes PyPI)
  • 0-days do Chrome corrigidos: CVE-2026-3909 (Skia) e CVE-2026-3910 (V8) ativamente explorados — atualize imediatamente
  • Violação do Oracle EBS: Apenas 4 grandes empresas (Broadcom, Bechtel, Estée Lauder, Abbott) ainda não se pronunciaram sobre o impacto
  • Backdoor DRILLAPP: Atores vinculados à Rússia atacam a Ucrânia via depuração do navegador Edge — acesso a microfone e webcam
  • Lançamento do Betterleaks: Novo scanner de segredos open source do criador do Gitleaks — mais rápido, mais inteligente, licença MIT

🔓 Violações e Incidentes

Stryker: Ataque Wiper Vinculado ao Irã Afeta ~80.000 Dispositivos

📅 Mar 16 🏢 Stryker (MedTech) 🌍 Global

O grupo hacktivista Handala (vinculado ao Irã) comprometeu uma conta de administrador da Stryker, criou um novo Administrador Global no Microsoft Entra ID e usou o comando de limpeza remota do Intune para apagar ~80.000 dispositivos entre 5:00 e 8:00 AM UTC em 11 de março. Nenhum malware foi implantado — os atacantes transformaram em arma as capacidades legítimas de MDM. Alguns funcionários perderam dados pessoais de dispositivos BYOD registrados na rede corporativa. Os sistemas de pedidos eletrônicos permanecem offline; os dispositivos médicos foram confirmados como seguros. Microsoft DART e Palo Alto Unit 42 estão investigando.

Perspectiva KENSAI: Este ataque destaca um ponto cego crítico — plataformas MDM como o Intune podem ser transformadas em armas de destruição sem malware. O Artigo 21 da NIS2 exige controles de cadeia de suprimentos e acesso administrativo. As organizações devem impor MFA resistente a phishing em todas as contas de Administrador Global e implementar monitoramento de contas de emergência.
Crítico Wiper Abuso de MDM Irã

Violação do Oracle EBS: 4 Grandes Empresas Ainda em Silêncio

📅 Mar 16 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

A violação do Oracle E-Business Suite continua se desenrolando, com Broadcom, Bechtel, Estée Lauder e Abbott Technologies sendo as únicas grandes empresas que ainda não emitiram declarações públicas sobre o possível impacto. Detalhes sobre o vetor de comprometimento inicial e a extensão permanecem sob investigação.

Alto ERP Vazamento de Dados

Vazamento de Dados de Funcionários do Starbucks por Phishing

📅 Mar 16 🏢 Starbucks

O Starbucks confirmou um vazamento de dados que afeta centenas de funcionários após ataques de phishing direcionados a um portal de funcionários. Informações pessoais dos funcionários foram comprometidas. O incidente destaca os riscos contínuos de ataques baseados em credenciais contra sistemas internos de RH.

Alto Phishing Dados de Funcionários

Vazamento de Dados de Clientes da Loblaw

📅 Mar 16 🏢 Loblaw Companies 🌍 Canadá

A gigante varejista canadense Loblaw divulgou que hackers acessaram PII de clientes, incluindo nomes, endereços de e-mail e números de telefone. A extensão da violação e o vetor de ataque não foram totalmente divulgados.

Médio Varejo PII

Falha de Segurança na UK Companies House Expôs Dados Empresariais Desde Outubro de 2025

📅 Mar 16 🏢 UK Companies House 🌍 Reino Unido

O serviço WebFiling da agência governamental do Reino Unido foi retirado do ar na sexta-feira após a descoberta de uma falha de segurança que vinha expondo informações empresariais desde outubro de 2025 — quase 5 meses de exposição não detectada. O serviço já está de volta online com a correção aplicada.

Alto Governo Exposição de Dados

🛡️ Vulnerabilidades Críticas

0-Days do Chrome: CVE-2026-3909 e CVE-2026-3910 (Ativamente Explorados)

📅 Mar 16 ⚠️ CVSS: Alto 🔴 Explorado em Produção

CVE-2026-3909: Escrita fora dos limites na biblioteca gráfica 2D Skia. CVE-2026-3910: Implementação inadequada no motor JavaScript/WebAssembly V8 levando a acesso OOB. Ambos estão sendo ativamente explorados. O Google lançou patches — atualize o Chrome imediatamente.

Perspectiva KENSAI: Vulnerabilidades de navegador continuam sendo o vetor de ataque #1 do lado do cliente. A varredura DAST do KENSAI pode verificar se as organizações estão aplicando políticas de atualização de navegadores através de análise de cabeçalhos e detecção de versões.
Crítico 0-Day Chrome Em Produção

Wing FTP Server — CISA Sinaliza Exploração Ativa

📅 Mar 16 ⚠️ Na lista KEV 🔴 Explorado em Produção

A CISA adicionou uma vulnerabilidade do Wing FTP Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, alertando que está sendo encadeada ativamente com outras falhas para execução remota de código. As agências federais devem aplicar patches conforme os prazos da BOD 22-01.

Crítico RCE CISA KEV

HPE AOS-CX: Redefinição de Senha de Administrador sem Autenticação

📅 Mar 16 ⚠️ CVSS: Crítico

Uma vulnerabilidade crítica nos switches de rede HPE Aruba AOS-CX permite que atacantes remotos não autenticados redefinam senhas de administrador, contornando completamente os controles de autenticação existentes. Aplique o patch imediatamente — isto afeta a infraestrutura de rede central.

Crítico Infraestrutura de Rede Bypass de Autenticação

Falha no n8n Workflow Automation Explorada

📅 Mar 16 🔴 Explorado em Produção

Uma vulnerabilidade na popular plataforma de automação de fluxos de trabalho n8n está sendo ativamente explorada. Os detalhes surgiram no resumo semanal do SecurityWeek. Organizações que executam instâncias auto-hospedadas do n8n devem verificar atualizações e revisar os controles de acesso imediatamente.

Alto Automação Explorado

🐛 Cadeia de Suprimentos e Malware

GlassWorm ForceMemo: Tokens do GitHub Roubados → Malware em Repositórios Python

📅 Mar 17 ⚠️ Campanha Ativa 🌍 Global

A campanha GlassWorm escalou drasticamente. Os atacantes estão usando tokens do GitHub roubados no ataque anterior às extensões do VS Code para injetar malware ofuscado em centenas de repositórios Python — aplicações Django, código de pesquisa em ML, dashboards Streamlit e pacotes PyPI. A técnica (chamada "ForceMemo") faz rebase de commits maliciosos sobre os legítimos, preservando as informações do autor original e as mensagens de commit para evitar detecção. Qualquer pessoa que execute pip install a partir de um repositório comprometido aciona o malware. As injeções remontam a 8 de março.

Perspectiva KENSAI: Este é um ataque clássico de cadeia de suprimentos — exatamente o tipo de ameaça para o qual o Artigo 21(2)(d) da NIS2 foi escrito. As organizações devem auditar suas dependências Python, verificar assinaturas de commits e procurar indicadores de comprometimento. As capacidades de SBOM e análise de dependências do KENSAI podem identificar pacotes comprometidos.
Crítico Cadeia de Suprimentos Python GitHub

Campanhas ClickFix Distribuem o Infostealer MacSync para macOS

📅 Mar 16 🍎 macOS

Três campanhas ClickFix separadas estão distribuindo o infostealer MacSync através de instaladores falsos de ferramentas de IA (incluindo um falso navegador "OpenAI Atlas"). O ataque depende inteiramente da interação do usuário — as vítimas copiam e executam comandos de terminal ofuscados. Distribuído através de resultados patrocinados de pesquisa do Google que levam a páginas falsas do Google Sites. Pesquisadores da Sophos documentaram a cadeia completa desde novembro de 2025.

Alto macOS Infostealer Engenharia Social

Storm-2561: Clientes VPN Falsos Roubando Credenciais

📅 Mar 16 ⚠️ Campanha Ativa

O ator de ameaças Storm-2561 está distribuindo clientes VPN trojanizados através de envenenamento de SEO, implantando trojans e coletando credenciais de login de usuários desavisados que buscam software VPN legítimo.

Alto VPN Envenenamento de SEO Roubo de Credenciais

Malware Slopoly Surge

📅 Mar 16

Uma nova família de malware chamada "Slopoly" foi sinalizada no resumo semanal do SecurityWeek. Os detalhes ainda estão surgindo, mas foi mencionada junto com outras ameaças notáveis da semana.

Médio Novo Malware

🎯 Atividade APT e de Estado-Nação

DRILLAPP: Backdoor Vinculado à Rússia Ataca a Ucrânia via Depuração do Edge

📅 Mar 16 🏴 Laundry Bear / UAC-0190 🎯 Ucrânia

Um novo backdoor baseado em JavaScript chamado DRILLAPP abusa da funcionalidade de depuração remota do Microsoft Edge para espionagem furtiva contra entidades ucranianas. O malware pode fazer upload/download de arquivos, acessar o microfone e capturar imagens da webcam — tudo através das capacidades nativas do navegador. Distribuído por meio de iscas temáticas judiciais e de caridade com arquivos LNK. Atribuído ao Laundry Bear (Void Blizzard), um grupo de ameaças vinculado à Rússia. Campanha observada desde fevereiro de 2026.

Crítico APT Rússia Espionagem

CL-STA-1087: China Ataca Forças Militares do Sudeste Asiático

📅 Mar 13 🏴 CL-STA-1087 🎯 Militares do Sudeste Asiático

A Palo Alto Unit 42 revelou uma paciente operação de espionagem vinculada à China (ativa desde 2020) direcionada a organizações militares do sudeste asiático com malware personalizado AppleChris e MemFun. Os atacantes demonstraram "paciência operacional estratégica" e focaram em documentos específicos de capacidades militares em vez de roubo de dados em massa.

Alto APT China Militar

Hackers Vinculados ao Irã Expandem Alvos para Infraestrutura dos EUA

📅 Mar 16 🏴 Grupos pró-Irã 🎯 EUA, Oriente Médio

Hackers pró-iranianos estão expandindo-se além dos alvos no Oriente Médio para os Estados Unidos, aumentando os riscos para empreiteiros de defesa, usinas de energia e estações de tratamento de água durante os conflitos regionais em andamento.

Alto Irã Infraestrutura Crítica ICS/OT

Centro de Pesquisa Nuclear da Polônia: Tentativa de Invasão (Possível Irã)

📅 Mar 16 🎯 Polônia

Uma tentativa de invasão foi reportada no centro de pesquisa nuclear da Polônia. As evidências iniciais apontam para o Irã, embora autoridades tenham reconhecido que pode ser uma operação de bandeira falsa. A investigação continua.

Alto Nuclear Infraestrutura Crítica

🔧 Ferramentas de Segurança e Lançamentos

Betterleaks: Scanner de Segredos Open Source (Sucessor do Gitleaks)

📅 Mar 15 📦 Licença MIT 🔗 GitHub

Criado por Zach Rice (autor original do Gitleaks, agora Diretor de Varredura de Segredos na Aikido Security), o Betterleaks é uma reescrita do zero com melhorias significativas: validação de regras baseada em CEL, tokenização BPE para 98,6% de recall (vs 70,4% com entropia), implementação pura em Go, tratamento automático de segredos com múltiplas codificações, varredura Git paralelizada e um conjunto expandido de regras por provedor. Recursos futuros incluem classificação assistida por LLM e revogação automática de segredos.

Novo Lançamento Varredura de Segredos Open Source

Bold Security: Lançamento Furtivo de $40M — Agentes de IA em Dispositivos

📅 Mar 16 💰 Financiamento de $40M

A Bold Security saiu do modo furtivo com $40M em financiamento. Sua abordagem: transformar dispositivos em agentes de IA ativos que entendem as ações do usuário e fornecem proteção em tempo real. Vale acompanhar como potencial concorrente/parceiro no espaço de segurança com IA.

Novo Segurança com IA Startup

Android 17: Bloqueio da API de Acessibilidade para Prevenção de Malware

📅 Mar 16 📱 Android

O Google está testando um recurso de segurança no Android 17 Beta 2 que bloqueia aplicativos não relacionados à acessibilidade de usar a API de Serviços de Acessibilidade no Modo de Proteção Avançada. Isso ataca diretamente um vetor de ataque principal de trojans bancários e spyware no Android.

Novo Android Segurança Móvel

📊 Padrões Emergentes

Tendências-Chave Desta Semana

Vários padrões convergentes que merecem acompanhamento:

1. MDM como Arma: O ataque ao Stryker prova que ferramentas legítimas de gestão (Intune, SCCM, Jamf) são agora superfícies de ataque de primeira classe. Sem necessidade de malware — apenas credenciais de administrador e um comando de limpeza. Espere imitadores.

2. Cascata na Cadeia de Suprimentos (GlassWorm → ForceMemo): Um único comprometimento de cadeia de suprimentos (extensões do VS Code) está agora se espalhando em um ataque de segunda ordem contra repositórios Python. Este padrão de reação em cadeia — onde credenciais roubadas de um ataque alimentam o próximo — está se acelerando.

3. ClickFix se Torna Multiplataforma: A técnica de engenharia social ClickFix (enganar usuários para executar comandos de terminal) cruzou do Windows para o macOS, distribuída via instaladores falsos de ferramentas de IA. O hype da IA é a nova isca de phishing.

4. Navegador como C2: Tanto o DRILLAPP (depuração do Edge) quanto os 0-days do Chrome demonstram que os navegadores continuam sendo a superfície de ataque mais valiosa. A linha entre "navegar" e "comprometido" continua ficando mais tênue.

5. Escalada do Irã: Três notícias vinculadas ao Irã em 24 horas — wiper do Stryker, ataques à infraestrutura dos EUA, instalação nuclear da Polônia. Tensões geopolíticas estão se traduzindo diretamente em operações cibernéticas.

Perspectiva KENSAI: Múltiplas notícias desta semana se mapeiam diretamente para requisitos de conformidade da NIS2: segurança da cadeia de suprimentos (Art. 21.2d), gestão de incidentes (Art. 21.2b), controle de acesso (Art. 21.2i). Este é o panorama de ameaças para o qual o KENSAI foi construído.

📌 Também Notável

Destaques Rápidos

Interrupção do Microsoft Exchange Online — Problema em andamento bloqueando acesso a caixas de correio e calendários (Mar 16)
Google pagou $17M em recompensas por bugs em 2025 — $3,7M somente para o Chrome, $3,5M para segurança na nuvem
Governança de Shadow AI — Nudge Security relata crescimento da adoção não monitorada de ferramentas de IA em empresas
Executivo de empresa de segurança atacado — Phishing sofisticado usando e-mails assinados com DKIM, redirecionamentos confiáveis e páginas de phishing protegidas pelo Cloudflare
Operação contra cibercrime da Interpol — Operação multinacional mencionada em resumos semanais
Vazamento de dados da Telus Digital — Subsidiária canadense de telecomunicações afetada
Vulnerabilidades no Linux AppArmor — Falhas que permitem escalada de privilégios para root