Relatório Diário de Ameaças
⚡ Resumo — O Que Importa Hoje
- Ataque wiper ao Stryker: O grupo iraniano Handala usou a limpeza remota do Intune em ~80K dispositivos — sem malware, apenas uma conta de Administrador Global roubada
- Escalada na cadeia de suprimentos GlassWorm: Tokens do GitHub roubados usados para injetar malware em centenas de repositórios Python (Django, ML, pacotes PyPI)
- 0-days do Chrome corrigidos: CVE-2026-3909 (Skia) e CVE-2026-3910 (V8) ativamente explorados — atualize imediatamente
- Violação do Oracle EBS: Apenas 4 grandes empresas (Broadcom, Bechtel, Estée Lauder, Abbott) ainda não se pronunciaram sobre o impacto
- Backdoor DRILLAPP: Atores vinculados à Rússia atacam a Ucrânia via depuração do navegador Edge — acesso a microfone e webcam
- Lançamento do Betterleaks: Novo scanner de segredos open source do criador do Gitleaks — mais rápido, mais inteligente, licença MIT
🔓 Violações e Incidentes
Stryker: Ataque Wiper Vinculado ao Irã Afeta ~80.000 Dispositivos
O grupo hacktivista Handala (vinculado ao Irã) comprometeu uma conta de administrador da Stryker, criou um novo Administrador Global no Microsoft Entra ID e usou o comando de limpeza remota do Intune para apagar ~80.000 dispositivos entre 5:00 e 8:00 AM UTC em 11 de março. Nenhum malware foi implantado — os atacantes transformaram em arma as capacidades legítimas de MDM. Alguns funcionários perderam dados pessoais de dispositivos BYOD registrados na rede corporativa. Os sistemas de pedidos eletrônicos permanecem offline; os dispositivos médicos foram confirmados como seguros. Microsoft DART e Palo Alto Unit 42 estão investigando.
Violação do Oracle EBS: 4 Grandes Empresas Ainda em Silêncio
A violação do Oracle E-Business Suite continua se desenrolando, com Broadcom, Bechtel, Estée Lauder e Abbott Technologies sendo as únicas grandes empresas que ainda não emitiram declarações públicas sobre o possível impacto. Detalhes sobre o vetor de comprometimento inicial e a extensão permanecem sob investigação.
Alto ERP Vazamento de DadosVazamento de Dados de Funcionários do Starbucks por Phishing
O Starbucks confirmou um vazamento de dados que afeta centenas de funcionários após ataques de phishing direcionados a um portal de funcionários. Informações pessoais dos funcionários foram comprometidas. O incidente destaca os riscos contínuos de ataques baseados em credenciais contra sistemas internos de RH.
Alto Phishing Dados de FuncionáriosVazamento de Dados de Clientes da Loblaw
A gigante varejista canadense Loblaw divulgou que hackers acessaram PII de clientes, incluindo nomes, endereços de e-mail e números de telefone. A extensão da violação e o vetor de ataque não foram totalmente divulgados.
Médio Varejo PIIFalha de Segurança na UK Companies House Expôs Dados Empresariais Desde Outubro de 2025
O serviço WebFiling da agência governamental do Reino Unido foi retirado do ar na sexta-feira após a descoberta de uma falha de segurança que vinha expondo informações empresariais desde outubro de 2025 — quase 5 meses de exposição não detectada. O serviço já está de volta online com a correção aplicada.
Alto Governo Exposição de Dados🛡️ Vulnerabilidades Críticas
0-Days do Chrome: CVE-2026-3909 e CVE-2026-3910 (Ativamente Explorados)
CVE-2026-3909: Escrita fora dos limites na biblioteca gráfica 2D Skia. CVE-2026-3910: Implementação inadequada no motor JavaScript/WebAssembly V8 levando a acesso OOB. Ambos estão sendo ativamente explorados. O Google lançou patches — atualize o Chrome imediatamente.
Wing FTP Server — CISA Sinaliza Exploração Ativa
A CISA adicionou uma vulnerabilidade do Wing FTP Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, alertando que está sendo encadeada ativamente com outras falhas para execução remota de código. As agências federais devem aplicar patches conforme os prazos da BOD 22-01.
Crítico RCE CISA KEVHPE AOS-CX: Redefinição de Senha de Administrador sem Autenticação
Uma vulnerabilidade crítica nos switches de rede HPE Aruba AOS-CX permite que atacantes remotos não autenticados redefinam senhas de administrador, contornando completamente os controles de autenticação existentes. Aplique o patch imediatamente — isto afeta a infraestrutura de rede central.
Crítico Infraestrutura de Rede Bypass de AutenticaçãoFalha no n8n Workflow Automation Explorada
Uma vulnerabilidade na popular plataforma de automação de fluxos de trabalho n8n está sendo ativamente explorada. Os detalhes surgiram no resumo semanal do SecurityWeek. Organizações que executam instâncias auto-hospedadas do n8n devem verificar atualizações e revisar os controles de acesso imediatamente.
Alto Automação Explorado🐛 Cadeia de Suprimentos e Malware
GlassWorm ForceMemo: Tokens do GitHub Roubados → Malware em Repositórios Python
A campanha GlassWorm escalou drasticamente. Os atacantes estão usando tokens do GitHub roubados no ataque anterior às extensões do VS Code para injetar malware ofuscado em centenas de repositórios Python — aplicações Django, código de pesquisa em ML, dashboards Streamlit e pacotes PyPI. A técnica (chamada "ForceMemo") faz rebase de commits maliciosos sobre os legítimos, preservando as informações do autor original e as mensagens de commit para evitar detecção. Qualquer pessoa que execute pip install a partir de um repositório comprometido aciona o malware. As injeções remontam a 8 de março.
Campanhas ClickFix Distribuem o Infostealer MacSync para macOS
Três campanhas ClickFix separadas estão distribuindo o infostealer MacSync através de instaladores falsos de ferramentas de IA (incluindo um falso navegador "OpenAI Atlas"). O ataque depende inteiramente da interação do usuário — as vítimas copiam e executam comandos de terminal ofuscados. Distribuído através de resultados patrocinados de pesquisa do Google que levam a páginas falsas do Google Sites. Pesquisadores da Sophos documentaram a cadeia completa desde novembro de 2025.
Alto macOS Infostealer Engenharia SocialStorm-2561: Clientes VPN Falsos Roubando Credenciais
O ator de ameaças Storm-2561 está distribuindo clientes VPN trojanizados através de envenenamento de SEO, implantando trojans e coletando credenciais de login de usuários desavisados que buscam software VPN legítimo.
Alto VPN Envenenamento de SEO Roubo de CredenciaisMalware Slopoly Surge
Uma nova família de malware chamada "Slopoly" foi sinalizada no resumo semanal do SecurityWeek. Os detalhes ainda estão surgindo, mas foi mencionada junto com outras ameaças notáveis da semana.
Médio Novo Malware🎯 Atividade APT e de Estado-Nação
DRILLAPP: Backdoor Vinculado à Rússia Ataca a Ucrânia via Depuração do Edge
Um novo backdoor baseado em JavaScript chamado DRILLAPP abusa da funcionalidade de depuração remota do Microsoft Edge para espionagem furtiva contra entidades ucranianas. O malware pode fazer upload/download de arquivos, acessar o microfone e capturar imagens da webcam — tudo através das capacidades nativas do navegador. Distribuído por meio de iscas temáticas judiciais e de caridade com arquivos LNK. Atribuído ao Laundry Bear (Void Blizzard), um grupo de ameaças vinculado à Rússia. Campanha observada desde fevereiro de 2026.
Crítico APT Rússia EspionagemCL-STA-1087: China Ataca Forças Militares do Sudeste Asiático
A Palo Alto Unit 42 revelou uma paciente operação de espionagem vinculada à China (ativa desde 2020) direcionada a organizações militares do sudeste asiático com malware personalizado AppleChris e MemFun. Os atacantes demonstraram "paciência operacional estratégica" e focaram em documentos específicos de capacidades militares em vez de roubo de dados em massa.
Alto APT China MilitarHackers Vinculados ao Irã Expandem Alvos para Infraestrutura dos EUA
Hackers pró-iranianos estão expandindo-se além dos alvos no Oriente Médio para os Estados Unidos, aumentando os riscos para empreiteiros de defesa, usinas de energia e estações de tratamento de água durante os conflitos regionais em andamento.
Alto Irã Infraestrutura Crítica ICS/OTCentro de Pesquisa Nuclear da Polônia: Tentativa de Invasão (Possível Irã)
Uma tentativa de invasão foi reportada no centro de pesquisa nuclear da Polônia. As evidências iniciais apontam para o Irã, embora autoridades tenham reconhecido que pode ser uma operação de bandeira falsa. A investigação continua.
Alto Nuclear Infraestrutura Crítica🔧 Ferramentas de Segurança e Lançamentos
Betterleaks: Scanner de Segredos Open Source (Sucessor do Gitleaks)
Criado por Zach Rice (autor original do Gitleaks, agora Diretor de Varredura de Segredos na Aikido Security), o Betterleaks é uma reescrita do zero com melhorias significativas: validação de regras baseada em CEL, tokenização BPE para 98,6% de recall (vs 70,4% com entropia), implementação pura em Go, tratamento automático de segredos com múltiplas codificações, varredura Git paralelizada e um conjunto expandido de regras por provedor. Recursos futuros incluem classificação assistida por LLM e revogação automática de segredos.
Novo Lançamento Varredura de Segredos Open SourceBold Security: Lançamento Furtivo de $40M — Agentes de IA em Dispositivos
A Bold Security saiu do modo furtivo com $40M em financiamento. Sua abordagem: transformar dispositivos em agentes de IA ativos que entendem as ações do usuário e fornecem proteção em tempo real. Vale acompanhar como potencial concorrente/parceiro no espaço de segurança com IA.
Novo Segurança com IA StartupAndroid 17: Bloqueio da API de Acessibilidade para Prevenção de Malware
O Google está testando um recurso de segurança no Android 17 Beta 2 que bloqueia aplicativos não relacionados à acessibilidade de usar a API de Serviços de Acessibilidade no Modo de Proteção Avançada. Isso ataca diretamente um vetor de ataque principal de trojans bancários e spyware no Android.
Novo Android Segurança Móvel📊 Padrões Emergentes
Tendências-Chave Desta Semana
Vários padrões convergentes que merecem acompanhamento:
1. MDM como Arma: O ataque ao Stryker prova que ferramentas legítimas de gestão (Intune, SCCM, Jamf) são agora superfícies de ataque de primeira classe. Sem necessidade de malware — apenas credenciais de administrador e um comando de limpeza. Espere imitadores.
2. Cascata na Cadeia de Suprimentos (GlassWorm → ForceMemo): Um único comprometimento de cadeia de suprimentos (extensões do VS Code) está agora se espalhando em um ataque de segunda ordem contra repositórios Python. Este padrão de reação em cadeia — onde credenciais roubadas de um ataque alimentam o próximo — está se acelerando.
3. ClickFix se Torna Multiplataforma: A técnica de engenharia social ClickFix (enganar usuários para executar comandos de terminal) cruzou do Windows para o macOS, distribuída via instaladores falsos de ferramentas de IA. O hype da IA é a nova isca de phishing.
4. Navegador como C2: Tanto o DRILLAPP (depuração do Edge) quanto os 0-days do Chrome demonstram que os navegadores continuam sendo a superfície de ataque mais valiosa. A linha entre "navegar" e "comprometido" continua ficando mais tênue.
5. Escalada do Irã: Três notícias vinculadas ao Irã em 24 horas — wiper do Stryker, ataques à infraestrutura dos EUA, instalação nuclear da Polônia. Tensões geopolíticas estão se traduzindo diretamente em operações cibernéticas.
📌 Também Notável
Destaques Rápidos
• Interrupção do Microsoft Exchange Online — Problema em andamento bloqueando acesso a caixas de correio e calendários (Mar 16)
• Google pagou $17M em recompensas por bugs em 2025 — $3,7M somente para o Chrome, $3,5M para segurança na nuvem
• Governança de Shadow AI — Nudge Security relata crescimento da adoção não monitorada de ferramentas de IA em empresas
• Executivo de empresa de segurança atacado — Phishing sofisticado usando e-mails assinados com DKIM, redirecionamentos confiáveis e páginas de phishing protegidas pelo Cloudflare
• Operação contra cibercrime da Interpol — Operação multinacional mencionada em resumos semanais
• Vazamento de dados da Telus Digital — Subsidiária canadense de telecomunicações afetada
• Vulnerabilidades no Linux AppArmor — Falhas que permitem escalada de privilégios para root