剣 KENSAI
← Back to archive

Briefing diário de ameaças

2026-03-27 · Sexta-feira · S13
Compilado de BleepingComputer, The Hacker News, SecurityWeek e mais fontes
4
CVEs críticos
3
Violações de dados
2
Exploits ativos
6
Campanhas de ameaças

🔓 Violações de dados e vazamentos

Violação de dados da Hightower Holding — 130.000 afetados

26 marSecurityWeek
ALTO IMPACTO

A empresa financeira Hightower divulgou que hackers exfiltraram nomes, números de segurança social e números de carteira de motorista do seu ambiente. Aproximadamente 130.000 indivíduos foram impactados. A violação destaca o direcionamento contínuo a empresas de serviços financeiros que detêm grandes conjuntos de dados pessoais.

KENSAI Take: Os serviços financeiros continuam sendo alvos prioritários. Empresas que processam dados pessoais em larga escala precisam de monitoramento contínuo de vulnerabilidades — exatamente o que o escaneamento automatizado do KENSAI oferece.

securityweek.com

Ajax Amsterdam FC — Dados de torcedores expostos, sequestro de ingressos

26 marBleepingComputer
MÉDIO

O clube de futebol holandês AFC Ajax divulgou uma violação onde um hacker explorou vulnerabilidades em seus sistemas de TI, acessando dados pessoais de várias centenas de torcedores. O acesso permitiu capacidades de sequestro de ingressos. Demonstra como até organizações «não-tech» enfrentam ataques sofisticados quando detêm dados de consumidores.

bleepingcomputer.com

Administrador do LeakBase preso na Rússia

25–26 marMúltiplas fontes
APLICAÇÃO DA LEI

A polícia russa prendeu um residente de Taganrog que se acredita ser o proprietário do LeakBase, um grande fórum de cibercrime para negociação de bancos de dados roubados e ferramentas de hacking, operacional desde 2021. Equipamento técnico foi apreendido. Separadamente, o suspeito administrador do infostealer RedLine, Hambardzum Minasyan, foi extraditado da Armênia para os EUA para enfrentar acusações criminais.

thehackernews.com

🚨 CVEs críticos e vulnerabilidades

CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)

ATIVAMENTE EXPLORADOCISA KEV
CRÍTICO 9.3

A CISA adicionou CVE-2026-33017 ao seu catálogo de vulnerabilidades exploradas conhecidas. A falha afeta o Langflow ≤1.8.1, um popular framework de workflow AI de código aberto (145K estrelas no GitHub). Permite execução remota de código não autenticada via uma única requisição HTTP manipulada devido à execução de fluxos sem sandbox. A exploração começou apenas 20 horas após a divulgação — sem PoC público existente; atacantes fizeram engenharia reversa dos exploits apenas a partir do aviso. Escaneamento automatizado → exploração → coleta de dados (.env, .db) aconteceu em 24 horas.

KENSAI Take: A infraestrutura AI está se tornando uma superfície de ataque principal. Cronogramas de exploração de 20 horas significam que organizações precisam de escaneamento automatizado contínuo, não pentests trimestrais. Esta é a proposta de valor central do KENSAI.

bleepingcomputer.com

PolyShell — RCE não autenticada no Magento/Adobe Commerce

EXPLORAÇÃO MASSIVA56,7% das lojas vulneráveis
CRÍTICO

Uma nova vulnerabilidade chamada PolyShell afeta o Magento Open Source e Adobe Commerce, permitindo upload de arquivo não autenticado para RCE via a API REST. Em exploração massiva desde 19 de março, com mais de 50 IPs escaneando. A Sansec reporta que 56,7% das lojas vulneráveis foram atacadas. Um novo skimmer de pagamento baseado em WebRTC foi implantado via este vetor, contornando a Content Security Policy usando canais UDP criptografados com DTLS em vez de HTTP. Patch disponível apenas em beta (2.4.9-beta1).

KENSAI Take: Plataformas de e-commerce são infraestrutura crítica para negócios. A técnica de exfiltração WebRTC contorna CSP tradicionais — ferramentas DAST que apenas monitoram HTTP perderão isso completamente. A abordagem multivetorial do KENSAI detecta o que scanners tradicionais perdem.

thehackernews.com

BIND DNS — Vulnerabilidades OOM de alta severidade

26 marSecurityWeek
ALTO

O ISC lançou atualizações corrigindo vulnerabilidades de alta severidade em resolvers BIND DNS. Domínios especialmente criados podiam desencadear condições de falta de memória levando a vazamentos de memória e potencial negação de serviço. Operadores de infraestrutura DNS devem aplicar patches imediatamente.

securityweek.com

Cisco IOS — Múltiplas vulnerabilidades corrigidas

26 marSecurityWeek
ALTO

A Cisco lançou patches para múltiplas vulnerabilidades no software IOS, abordando falhas que poderiam levar a negação de serviço, bypass de boot seguro, divulgação de informações e escalação de privilégios. Infraestrutura de rede executando Cisco IOS deve ser atualizada.

securityweek.com

Apple iOS/macOS 26.4 — Patches de segurança

26 marSecurityWeek
MÉDIO

A Apple lançou correções de segurança para iOS/macOS 26.4, além de backports para versões anteriores: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 e macOS Sonoma 14.8.5. Atualize todos os dispositivos Apple prontamente.

securityweek.com

☠️ Campanhas de ameaças e malware

Red Menshen (China) — Infiltração profunda no backbone de telecomunicações via BPFDoor

26 marThe Hacker News / Rapid7
APTPATROCINADO POR ESTADO

O ator de ameaças ligado à China Red Menshen (Earth Bluecrow / DecisiveArchitect) incorporou implantes a nível de kernel e backdoors passivos profundamente em redes de telecomunicações no Oriente Médio e Ásia desde 2021. A Rapid7 descreveu estes como «algumas das células dormentes digitais mais furtivas» já encontradas. Os implantes BPFDoor permitem espionagem persistente de longo prazo contra redes governamentais através do comprometimento de infraestrutura de telecomunicações.

KENSAI Take: Atores patrocinados por estados operando a nível de kernel em backbones de telecomunicações — a conformidade NIS2 exige que organizações considerem exatamente esses riscos de cadeia de suprimentos. Provedores de telecomunicações na região DACH devem avaliar sua exposição.

thehackernews.com

Sandworm (Rússia) — Backdoors via software pirata

26 marThe Hacker News
APTPATROCINADO POR ESTADO

O APT russo Sandworm está distribuindo backdoors (Tambur, Sumbur, Kalambur, DemiMur) através de software pirata como «Microsoft.Office.2025x64». Usa o Telegram como vetor de distribuição visando usuários ucranianos que buscam cracks de software. O DemiMur força a importação de certificados raiz falsificados no armazenamento de confiança do SO, permitindo manipulação persistente da cadeia de confiança.

thehackernews.com

Coruna iOS Exploit Framework — Evolução da Operation Triangulation

26 marBleepingComputer
ZERO-CLICK

O kit de exploits Coruna foi identificado como uma evolução do framework usado na Operation Triangulation, a campanha de 2023 que visou iPhones via exploits zero-click do iMessage. Isso representa o desenvolvimento contínuo de capacidades sofisticadas de exploração móvel.

bleepingcomputer.com

Keenadu — Backdoor a nível de firmware Android em expansão

26 marSophos / The Hacker News
FIRMWARE

A Sophos detectou o Keenadu, um backdoor de firmware embutido no libandroid_runtime.so do Android que se injeta no processo Zygote (pai de todos os apps Android), dando aos atacantes controle total do dispositivo. Mais de 500 dispositivos comprometidos em ~50 modelos detectados, principalmente dispositivos de baixo custo da Allview, BLU, Dcode, DOOGEE e outros. Vem pré-instalado de fábrica.

thehackernews.com

TeamPCP — Comprometimento da cadeia de suprimentos OSS multi-ecossistema

26 marSecurityWeek
CADEIA DE SUPRIMENTOS

O grupo de ameaças TeamPCP expandiu do comprometimento de tags de GitHub Action (inicialmente Trivy) para ataques ao NPM, Docker Hub, VS Code Extensions e PyPI. O grupo supostamente se uniu ao Lapsus$ para ataques mais amplos à cadeia de suprimentos em múltiplos ecossistemas de pacotes.

securityweek.com

TikTok for Business — Campanha de phishing com evasão anti-bot

26 marBleepingComputer
PHISHING

Nova campanha de phishing visando contas TikTok for Business que usa técnicas anti-bot para impedir que ferramentas de segurança analisem páginas maliciosas. Contas empresariais em redes sociais continuam sendo alvos de alto valor para roubo de credenciais.

bleepingcomputer.com

Reino Unido sanciona marketplace Xinbi

26 marBleepingComputer
SANÇÕES

O Reino Unido sancionou o Xinbi, um marketplace de criptomoedas em chinês que vende dados roubados e equipamentos de internet satelital para redes de fraude no Sudeste Asiático. Conectado a golpes «pig butchering» e outras operações de fraude organizada.

bleepingcomputer.com

🛡️ Ferramentas de segurança e indústria

Conferência RSAC 2026 — Anúncios do Dia 2

26 marSecurityWeek
RSAC 2026

A RSAC 2026 está em andamento com importantes anúncios de fornecedores. Temas-chave incluem operações de segurança impulsionadas por IA, prontidão para criptografia pós-quântica e estratégias de defesa centradas em identidade.

securityweek.com

Dell e HP — Segurança de dispositivos resistente ao quantum

26 marSecurityWeek
PQC

Tanto Dell quanto HP anunciaram novas capacidades de segurança resistentes ao quantum para PCs e impressoras, alinhando-se com o cronograma de migração PQC 2029 recentemente publicado pelo Google. O Google está integrando ML-DSA (Module-Lattice-Based Digital Signature Algorithm) no processo de boot verificado do Android 17.

securityweek.com

GitHub — Detecção de vulnerabilidades com IA

26 marThe Hacker News
AI SECURITY

O GitHub anunciou detecções de segurança impulsionadas por IA no GitHub Code Security, complementando o CodeQL para encontrar vulnerabilidades que a análise estática tradicional não detecta. O modelo de detecção híbrido apresenta problemas e correções sugeridas dentro dos fluxos de trabalho de pull request. Preview público esperado para o início do Q2 2026.

thehackernews.com

Onit Security — US$ 11M para gestão de exposição

26 marSecurityWeek
FINANCIAMENTO

A Onit Security levantou US$ 11M para investir em sua plataforma de gestão de exposição, expandindo para novos setores. O espaço de gestão de exposição continua atraindo investimentos à medida que organizações buscam visibilidade contínua de sua superfície de ataque.

securityweek.com

FCC proíbe roteadores de consumo fabricados no exterior

26 marSecurityWeek
REGULAÇÃO

A FCC proibiu novos roteadores de consumo fabricados fora dos EUA, citando riscos de segurança nacional. A proibição está alinhada com uma determinação da Casa Branca de que todos os roteadores fabricados no exterior constituem uma ameaça de segurança. Implicações significativas para a cadeia de suprimentos da indústria de redes.

securityweek.com

📊 Padrões emergentes

1. A infraestrutura AI é a nova superfície de ataque

CVE-2026-33017 (Langflow) explorado em 20 horas. Ferramentas de workflow AI estão expostas na internet, frequentemente sem patches, e contêm chaves API e credenciais de nuvem. Espere mais CVEs específicos de AI à medida que a adoção acelera. Organizações que implantam ferramentas AI devem tratá-las como infraestrutura crítica.

2. Bypass de CSP via canais não-HTTP

O skimmer de pagamento WebRTC representa uma mudança de paradigma: atacantes usando canais de dados UDP criptografados com DTLS para exfiltrar dados completamente invisíveis para ferramentas de segurança focadas em HTTP. CSP sozinha não é mais suficiente. O monitoramento de segurança deve se expandir além do HTTP para cobrir WebRTC, WebSocket e outras APIs do navegador.

3. Ataques à cadeia de suprimentos se tornam multi-ecossistema

A expansão do TeamPCP de GitHub Actions → NPM → Docker Hub → VS Code → PyPI mostra que atacantes tratam todo o ecossistema OSS como uma única superfície de ataque. Comprometer um gerenciador de pacotes dá pontos de apoio nos outros. SBOM e monitoramento de dependências são agora essenciais, não opcionais.

4. O cronograma da criptografia pós-quântica se cristaliza

O prazo de migração PQC 2029 do Google + anúncios de hardware Dell/HP + integração ML-DSA do Android 17 sinalizam que PQC está passando de teórico para prático. Ataques «armazenar agora, decifrar depois» tornam isso uma ameaça atual, não futura. Organizações cobertas pela NIS2 devem iniciar avaliações de prontidão PQC.

5. A identidade continua sendo o elo mais fraco

A pesquisa da PwC confirma que a IA amplifica a velocidade e escala dos ataques, enquanto o roubo de identidade evolui para uma cadeia de suprimentos cibercriminosa completa. A extradição do admin do RedLine e o fechamento do LeakBase mostram o quão industrializado o roubo de credenciais se tornou. Técnicas de bypass de MFA continuam avançando junto com kits de phishing AITM.

6. Comprometimento a nível de firmware em larga escala

Keenadu vindo pré-instalado em mais de 500 dispositivos em 50 modelos mostra que ataques à cadeia de suprimentos de firmware são reais e generalizados. Dispositivos baratos continuam sendo vetores para vigilância em massa. Organizações com políticas BYOD enfrentam risco aumentado de hardware de consumo comprometido.