Chrome 0 días, exploits ivanti, robadores de macos, criptomonios y más

Todo se siente seguro, hasta que una pequeña cosa se deslice. Incluso los sistemas fuertes pueden romperse si se pierde un cheque simple o se usa mal una utensilio de confianza. La mayoría de las amenazas no comienzan con alarmas: se colocan en las pequeñas cosas que pasamos por stop. Un pequeño error, una contraseña reutilizada, una conexión tranquila, eso es todo lo que se necesita.

Mantenerse a aparte no se negociación solo de reaccionar rápido. Se negociación de atrapar estos primeros signos ayer de que exploten en problemas reales. Es por eso que las actualizaciones de esta semana son importantes. Desde tácticas sigilosas hasta puntos de entrada inesperados, las historias por delante revelan qué tan rápido puede tumbarse el aventura, y lo que los equipos inteligentes están haciendo para mantenerse a la vanguardia. Bucear en.

⚡ Amenaza de la semana

Estados Unidos interrumpe el esquema de trabajadores de Corea del Finalidad – Los fiscales dijeron que descubrieron el personal de TI de Corea del Finalidad que trabajaba en más de 100 compañías estadounidenses que usan identidades ficticias o robadas y no solo de dibujo salarios, sino igualmente robando datos secretos y saqueando moneda aparente de más de $ 900,000 en un incidente dirigido a una compañía de blockchain no identificada en Atlanta. Las acciones son los últimos pasos para detener el esquema, que ha gastado a Corea del Finalidad superar millones a través de miles de personas que usan identidades falsas para ser contratados como trabajadores de TI en compañías con sede en Poniente y otras partes del mundo. Las autoridades realizaron 21 búsquedas en 14 estados el mes pasado, lo que se suma a las búsquedas que se realizaron en ocho ubicaciones en octubre de 2024 que abarcan tres estados. En al menos un caso, los trabajadores de TI de Corea del Finalidad obtuvieron entrada a “datos del empleador confidenciales y código fuente, incluidos los datos de las Regulaciones de Tráfico Internacional de Armas (ITAR),” a posteriori de que fueron contratados por un contratista de defensa con sede en California que desarrolla equipos y tecnologías artificiales con inteligencia de inteligencia, dijo el Unidad de Razón. En total, la acto coordinada condujo al arresto de un individuo y la incautación de 21 dominios web, 29 cuentas financieras utilizadas para aclarar decenas de miles de dólares y casi 200 computadoras portátiles y dispositivos de entrada remoto, incluidos KVM. El Unidad de Estado de EE. UU. Ofrece recompensas de hasta $ 5 millones por información que conduzca a la “interrupción de los mecanismos financieros de las personas involucradas en ciertas actividades que apoyan a Corea del Finalidad”. Las acciones revelan que los norcoreanos no simplemente falsificaron las identificaciones para insinuarse en las empresas tecnológicas occidentales, sino que igualmente robaron las identidades de “más de 80 personas estadounidenses” para hacerse tener lugar por trabajos en más de 100 empresas estadounidenses y canalizar boleto al régimen de Kim.

🔔 Informativo principales

• El actor de amenaza china apunta a las organizaciones francesas que usan fallas de Ivanti -Un conjunto de intrusos vinculado a China conocido como Houken se dirigió a una serie de entidades que abarcaban sectores público, de telecomunicaciones, medios de comunicación, finanzas y de transporte en Francia a principios de septiembre de 2024 utilizando tres vulnerabilidades en dispositivos de dispositivos de servicios en la cúmulo Ivanti (CSA) como días cero. Se han observado los ataques allanando el camino para los proyectiles web de PHP, implementando una raíz del núcleo e incluso intentando parchear las vulnerabilidades, que probablemente eviten la explotación por parte de otros actores no relacionados. Se sospecha que Houken es un corredor de entrada auténtico que obtiene un punto de apoyo en las redes de destino, y transmite ese entrada a otros actores de amenazas para actividades de seguimiento posteriores a la explotación.
• Nuevo Chrome 0 días explotado en la naturaleza – Google publicó actualizaciones de seguridad para enfrentarse una descompostura de confusión de tipo en su navegador web Chrome que, según él, ha sido explotado en la naturaleza. Actualmente, la naturaleza exacta de los ataques actualmente, aunque se cree que se ha desplegado como parte de ataques enormemente dirigidos correcto al hecho de que fue descubierto por el Rama de Descomposición de Amenazas (TAG) de Google, que se especializa en detectar ataques respaldados por el gobierno. Se ha parcheado en las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS y 138.0.7204.96 para Linux.
• Sanciones de EE. UU. Russian Bulletproof Posting AEZA AEZA -La Oficina de Control de Activos Extranjeros (OFAC) del Unidad de Fortuna de los Estados Unidos (OFAC) sancionó el proveedor de servicios de alojamiento balas (BPH) con sede en Rusia (BPH) AEZA Group por proporcionar la infraestructura que permitió a los actores de amenazas ofrecer malware y ransomware de Bianlian, Redline, Meduza y Lumma, así como el mercado de drogas de hosticidades en la Web Dark. Encima, tres de las subsidiarias de la compañía y cuatro personas principales vinculadas a ella han sido sancionadas. Esto incluye al CEO de Aeza Group, Arsenii Aleksandrovich Penzev, al director caudillo Yurii Meruzhanovich Bozoyan, al director técnico Vladimir Vyacheslavovich Gast e Igor Anatolyevich Knyazev.
• NightEagle se dirige a los sectores de IA y militares chinos -Se ha observado que un actor de amenaza previamente indocumentado conocido como NightEagle aprovecha una esclavitud de exploits de día cero en Microsoft Exchange para entregar la utilidad de cincelas basadas en GO y robar datos de caja de cuentas comprometidas. El actor de amenaza, que se cree que está activo desde 2023, se ha dirigido a semiconductores de ingreso tecnología, tecnología cuántica, inteligencia industrial y verticales militares en China, dijo el equipo RedDrip de Qianxin. La divulgación se acerca a posteriori de otra campaña de phishing de gancho denominado DragonClone que ha señalado a las compañías de telecomunicaciones chinas para propagar Veletrix y Vshell. Los correos electrónicos de phishing, per Seqrite Labs, contienen un archivo de cremallera maliciosa que incluye binarios legítimos y archivos DLL maliciosos, que, a su vez, se ejecuta utilizando la carga supletorio de DLL para iniciar el cargador Veletrix. El malware está diseñado para cargar ShellCode, un entorno de simulación adversario llamado VShell, directamente en la memoria. El uso de Vshell es importante, ya que ha sido ampliamente prohijado por varios grupos de piratería chinos para atacar a las organizaciones en Poniente. Seqrite Labs dijo que la actividad comparte similitudes de comportamiento con Earth Lamia y UNC5174, lo que indica que la campaña es probablemente el trabajo de un comunidad de China-Nexus.
• Corea del Finalidad apunta a las empresas criptográficas con malware NIM – Los actores de amenaza de Corea del Finalidad rastreados como Bluenoroff están implementando técnicas novedosas para infectar negocios criptográficos con malware MacOS diseñado para robar credenciales de navegadores web, datos de argolla iCloud e información de aplicaciones de telegrama. Los ataques se hacen tener lugar por el contacto de confianza de una víctima para invitarlos a los empleados de telegrama y atraer a los empleados de Web3 y a las organizaciones relacionadas con las criptográficas para instalar malware MacOS compilado por NIM a través de actualizaciones falsas de software de teleobjetivo bajo el pretexto de configurar una reunión. Las actualizaciones falsas están diseñadas para ejecutar cargas avíos de AppleScript, que luego se utilizan para entregar dos binarios Mach-O para activar dos cadenas de ejecución independientes. Uno lleva a la ejecución de scripts para cosechar datos, mientras que el otro, compilado del código fuente NIM, se usa para configurar la persistencia en el host. Juntos, los dos componentes facilitan la exfiltración de datos y la persistencia.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces a las cuestión de horas. Ya sea que se trate de una modernización perdida o un error oculto, incluso un CVE sin parches puede destapar la puerta a daños graves. A continuación se muestran las vulnerabilidades de stop aventura de esta semana que hacen olas. Revise la registro, parche rápido y mantén un paso delante.

La registro de esta semana incluye: CVE-2025-32462, CVE-2025-32463 (sudo), CVE-2025-20309 (Cisco Unified CM y Unified CM SME), CVE-2025-49596 (Inspector MCP antrópico), CVE-2025-6554 (Google Chrome), CVE-2025, 56222222222222222225225Y CVE-2025-5623, CVE-2025-5624, CVE-2025-5630 (D-Link Dir-816 Routers), CVE-2025-49151, CVE-2025-49152, CVE-2025-49153 (Microsens NMP Web+), CVE-2025-6463 (Formulario (Formulario), Tuginator) CVE-2025-36630 (Tenable Nessus), CVE-2025-52891 (Firewall de aplicaciones web de modas de modas), CVE-2025-48927, CVE-2025-48928 (Telemessage TM SGNL), CVE-2024-58248 (Nopcomerce), CVE-2025 (APCO (APOMBRE SeaSa), CVE-2025-47812 (Wing FTP), CVE-2025-4404 (FreeIPA), CVE-2025-5959, CVE-2025-6554, CVE-2025-6191 y CVE-2025-6192 (Grafana), CVE-2025-34067 (HIKVISETA Plataforma), CVE-2025-1735, CVE-2025-6491 (PHP), CVE-2025-53367 (Djvulibre) y CVE-2025-49826 (Next.js).

📰 rodeando del mundo cibernético

• Las tiendas de aplicaciones de Apple y Google ofrecen aplicaciones VPN vinculadas a China – Las tiendas en renglón de Apple y Google ofrecen aplicaciones gratuitas de red privada aparente (VPN) que tienen lazos no revelados con las empresas chinas, probablemente planteando un aventura de privacidad. Trece aplicaciones de red privada aparente (VPN) en la tienda de aplicaciones de Apple y 11 aplicaciones en la Play Store de Google (siete comunes a entreambos) tienen lazos con las empresas chinas, dijo el plan de transparencia tecnológica. “Las VPN son particularmente preocupantes porque cualquier persona que use una VPN tiene la totalidad de su actividad en renglón enrutada a través de esa solicitud”, dijo Katie Paul, directora de TTP, a NBC News. “Cuando se negociación de VPN de propiedad china, eso significa que estos datos pueden entregarse al gobierno chino en función de las leyes estatales de China”.
• La araña dispersa usa teletransportación para la persistencia – El patente comunidad de delitos cibernéticos conocido como araña dispersa ha utilizado un nuevo mecanismo de persistencia que implica el uso de teletransporte, una plataforma de entrada a la infraestructura que no se asoció previamente con el actor de amenazas. Los hallazgos demuestran cómo los malos actores están armando herramientas administrativas legítimas para permanecer el entrada persistente a las redes comprometidas. “Luego de obtener entrada a la cúmulo a nivel de agencia, el atacante instaló un agente de teletransporte en los servidores Amazon EC2 comprometidos para establecer un canal de comando y control remoto (C2) persistente”, dijo Rapid7. “TelePort es una utensilio legítima de código extenso para llevar la batuta la infraestructura remota, pero aquí fue cooptada para fines maliciosos. Esto efectivamente le dio al atacante entrada a los shell remotos persistentes a esos servidores en la cúmulo, incluso si sus credenciales de beneficiario iniciales o el entrada VPN fueron revocados. El uso de teleport indica la adaptabilidad de las españas dispersadas en las nuevas herramientas para la persistencia y el comando de los comandos y el comando de comando y el control. Detección por herramientas de seguridad que pueden marcar el malware personalizado “.
• Servidores de Linux dirigidos por mineros criptográficos – Los servidores de Linux asegurados incorrectamente, especialmente las credenciales de SSH débiles, están siendo atacados por actores de amenaza a soltar mineros de criptomonedas y colocarlos en botnets DDOS. Los ataques igualmente conducen al despliegue de herramientas proxy como TinyProxy o Sing-Box, así como permiten que un actor de amenaza establezca la persistencia en los anfitriones. “Los atacantes pueden usar el sistema infectado como un proxy para ocultarse en otro caso de ataque o entregar los derechos de entrada al nodo de poder para obtener ganancias penales”, dijo Ahnlab. Otro conjunto de ataques ha señalado los servidores MySQL para entregar variantes de rata GH0st, y otras cargas avíos como Asyncrat, DDostf DDOS Botnet, Xworm, HPLOADER e incluso la utensilio de control remoto lícito Zoho Managine. Xworm se ha convertido en uno de los troyanos de entrada remoto más versátiles y ampliamente distribuidos en el panorama de amenazas coetáneo, exhibiendo una importante adaptabilidad en sus mecanismos de entrega y estableciéndose como una utensilio formidable en la caja de herramientas de los cibercriminales. Los recientes ataques montados por un actor de amenaza vinculado a China han empleado instaladores de MSI troyanizados que se hacen tener lugar por WhatsApp para entregar el troyano en ataques dirigidos a usuarios en el este y sudeste oriental. “La esclavitud de ataque implica un código de shell encriptado integrado en archivos de imagen, scripts de PowerShell para persistencia a través de tareas programadas y cargadores de shellcode”, dijo Broadcom. “La carga útil final es una rata Xworm modificada mejorada con funciones para detectar instalaciones de telegrama e informar sistemas infectados a través de mecanismos basados ​​en telegramas”.
• Rama de inteligencia de Irán IRGC Detallado – El equipo de Investigaciones de Doma -DomaTools (DTI) ha arrojado luz sobre una entidad sombría citación Intelligence Group 13, una dispositivo de huelga cibernética estafa que funciona bajo el Cuerpo de la Número Revolucionaria Islámica de Irán (IRGC) para solucionar el ciberdemiopionaje, el boicoteo industrial y la disputa psicológica. Incrustado adentro del Rama Cyberh Cyber ​​del Shahid Kaveh, el Rama de Inteligencia 13 poderes Cyber ​​Av3ngers, un comunidad pro-iraní que se ha atribuido a los ataques dirigidos a las autoridades de agua y los sistemas SCADA en Israel y el EE. UU. “Si a través de la interrupción directa, la activación de malware preposicionada o la respuesta tecnológica novelística y la intimidación psicológica y la intimidación psicológica, las capacidades de los grupos lo convierten en una utensilio primaria directa, por lo que la respuesta de la utensilio hibríable, la utensilio de la propiedad narrable, la utensilio para la almohadilla de la propiedad narrable, la utensilio de la propiedad, la utensilio de primera procreación, la utensilio de primera procreación, la utensilio para la almohadilla de la propiedad, la utensilio de primera procreación, los que se denuncian la utensilio de primera procreación, la utensilio para la almohadilla de la propiedad. Mensajes simbólicos diseñados para proyectar el desafío y el impacto psicológico “, dijo DTI.
• Desobstruir VSX utilizado para distribuir extensiones de código VS maliciosas – Casi 200,000 desarrolladores han descargado dos extensiones VSCode maliciosas del registro Open VSX. Las extensiones, ambas llamadas Solidity Language, escanean el software de escritorio remoto de SCRESCONNECT CONNECTWORTIVE existente, y si están presentes, descargue e instale una traducción maliciosa desde un servidor controlado por el atacante. Desde entonces, las extensiones se han eliminado del mercado. Los hallazgos ilustran una vez más que la tolerancia no necesariamente equivale a la seguridad. “La tolerancia misma que hace que el VSX sea atractivo igualmente introduce riesgos de que el mercado más curado de Code ayude a mitigar”, dijo John Tuckner de Secure Annex.
• Nueva campaña distribuye malware MassLogger – Los archivos de Script Visual Basic (VBE) codificados probablemente distribuidos a través de correos electrónicos de phishing se están utilizando para entregar una reforma sofisticada de MassLogger, un malware de robador que puede cosechar detalles de inicio de sesión del navegador Chrome, registrar las pulsaciones de pulsaciones, capturar contenido del portaplelo y cargar archivos a un servidor remoto. “Inicialmente, la reforma parecía ser una amenaza típica basada en script, pero en un investigación más profundo, resultó ser un malware de múltiples etapas sin archivo que depende en gran medida del registro de Windows para acumular y ejecutar su carga útil maliciosa”, dijo Seqrite Labs.
• Las empresas occidentales no toman medidas en Funnull -En mayo de 2025, el Unidad del Fortuna de EE. UU. Sancionó a Filipinas con sede en Filipinas por proporcionar infraestructura para realizar estafas de cebos románticos y para resistir a agarradera un ataque de la esclavitud de suministro en la biblioteca Polyfill (.) IO JavaScript. Sin requisa, un nuevo investigación del periodista de Silent Push and CyberseCurity Brian Krebs descubrió que muchas compañías tecnológicas estadounidenses aún organizan cuentas asociadas con el administrador de Funnull, Liu “Steve” Lizhi, incluidos X, Github, LinkedIn, Facebook, Google Groups, Medium, PayPal, WordPress, Hugging Face, Gravatar, Vercel y Flickr, entre otros. Los perfiles de Facebook, Github, LinkedIn y PayPal han sido suspendidos o derribados.
• Rusia prisión a un hombre a 16 abriles por ataques cibernéticos pro-ucranianos -Rusia ha sentenciado a un hombre a 16 abriles en una prisión de ingreso seguridad por editar ataques distribuidos de denegación de servicio (DDoS) contra la infraestructura crítica en el país. Andrei Smirnov fue arrestado en 2023 en la ciudad siberiana de Belovo y procesado de traición. Funcionarios rusos dijeron que Smirnov se unió a las “tropas cibernéticas” de Ucrania y lanzó los ataques a instancias de los servicios de inteligencia ucranianos.
• FileFix obtiene una modernización -El investigador de seguridad MRD0X ha detallado una reforma de FileFix, en sí mismo en la popular Táctica de Ingeniería Social ClickFix, que permite la ejecución de scripts maliciosos al tiempo que evita las protecciones de Marca de la Web (MOTW) en Windows al beneficiarse cómo los navegadores web manejan las páginas web HTML guardadas. “Cuando se portero una página HTML utilizando Ctrl + S o Haga clic con el renuevo derecho> ‘Velar como’ y se seleccionaron ‘Página web, archivo único’ o ‘página web, completa’, entonces el archivo descargado no tiene MOTW”, dijo el investigador. “Encima, este comportamiento solo se aplica si la página web que se portero tiene un tipo mime de texto/html o aplicación/xhtml+xml”. El nuevo ataque esencialmente escudriñamiento engañar a los usuarios para que guarden una página HTML (usando CTRL+S) y renombrarlo a un archivo de aplicación HTML (HTA), lo que hace que se ejecute automáticamente comandos integrados adentro de JavaScript cuando se mano. En un posible tablado de ataque, un adversario podría diseñar una página web falsa que podría pedir a los usuarios que guarden códigos de autenticación multifactor de copia de seguridad (MFA) presionando Ctrol + S y nombrar el archivo como “mfabackupcodes2025.hta”. Luego se le indica a la víctima que broa el archivo HTA para asegurar que los códigos se almacenen correctamente. “La forma más factible de evitar que esta técnica funcione es eliminar mshta.exe para poder ejecutar archivos HTA”, señaló el investigador. “Esta es una buena opción a menos que cualquiera pueda utilizar esta técnica con otros tipos de archivos”.
• KeyMous+, un frente para elitress? – Un comunidad hacktivista conocido como Keymous+ se ha convertido en un participante esencia en el paisaje cibernético, reclamando la responsabilidad de más de 700 ataques de denegación de servicio (DDoS) distribuidos solo en 2025. El comunidad, según Radware, afirma que está compuesto por “piratas informáticos del boreal de África”, y su registro de víctimas albarca sitios web gubernamentales, proveedores de telecomunicaciones en Francia e India, plataformas financieras en Marruecos y los EAU, instituciones educativas en Dinamarca e infraestructura de fabricación en Israel. Esta selección aparentemente aleatoria de objetivos, desprovisto de una memorándum ideológica clara o enemigos, lo distingue de los grupos hacktivistas tradicionales. Encima, la actividad parece ser una personalidad de marketing para un servicio DDOS-for alquilado conocido como Elitestress. El descubrimiento muestra a Keymous+ probablemente a horcajadas sobre el confín entre el hacktivismo y las aspiraciones comerciales. Igualmente destaca una nueva raza de actores de amenaza cuyos motivos son opacos y cada vez más impulsados ​​por las ganancias, ofreciendo herramientas de interrupción con el clic de un renuevo. El exposición se produce cuando Intel 471 dijo que identificó dos nuevos grupos hacktivistas pro-Kremlin llamados Twonet y el Ejército de TI de Rusia. Uno y otro están involucrados principalmente en los ataques DDoS y surgieron a principios de este año, pero este zaguero igualmente se ha opuesto reclutando expertos en organizaciones de infraestructura crítica ucraniana.
• El injusticia de .es tld aumenta 19x veces – Las campañas maliciosas lanzadas desde los dominios .es han sido testigos de un aumento de 19X del cuarto trimestre de 2024 al cuarto trimestre de 2025, lo que lo convierte en el tercero más global, detrás .com y .ru. “Este aumento se aplica tanto a las URL de la primera etapa (enlaces integrados en correos electrónicos o archivos adjuntos) como URL de segunda etapa (sitios visitados a posteriori de las URL integradas)”, dijo Cofense. “Estas URL de la segunda etapa generalmente albergan páginas de phishing de credenciales o información exfiltrada. Son estas URL de la segunda etapa las que han gastado el maduro aumento en el injusticia de TLD”. A partir de mayo, 1.373 subdominios alojaban páginas web maliciosas en los dominios almohadilla 447 .es. Un hallazgo interesante es que el 99 por ciento de ellos fueron alojados en Cloudflare, y la mayoría de las páginas de phishing utilizaron una captcha de torniquía de nubeflare. “Si aceptablemente Cloudflare ha hecho recientemente la implementación de una página web rápida y factible a través de la renglón de comandos con páginas alojadas en (.) Páginas (.) Dev, no está claro si su nuevo movimiento para hacer dominios alojados por ellos es factible de implementar ha atraído a los actores de amenaza a sus servicios de alojamiento en diferentes plataformas o si hay otras razones, como la forma en que la CloudFlare de Cloud Strict o Lenient está con el injusticia que las quejas”, dice la compañía.
• Aumento de archivos LNK maliciosos – La armas de la armas de los archivos de entrada directo de Windows (LNK) para la distribución de malware ha aumentado en un 50%, según los datos de telemetría recopilados por la Pelotón 42 de Palo Detención Networks, con muestras maliciosas que aumentan de 21,098 en 2023 a 68,392 en 2024 “. La flexibilidad de los archivos LNK los convierte en una utensilio poderosa para atacantes, como pueden ser executados y malhumorados y malhumorados como un contenido de Malaccion y Masores como el contenido de Legitimed a Hatileat a los archivos. En el emanación involuntario de malware “, dijeron los investigadores de la Pelotón 42.

Porcentajes de objetivos del sistema para la ejecución de archivos maliciosos

• El FBI investiga el negociador de ransomware para vergüenza de molestia – La Oficina Federal de Investigación de los Estados Unidos (FBI) está investigando a un ex empleado de la firma de seguridad DigitalMint por supuestamente tomar un retazo de los pagos de ransomware. Según Bloomberg, se dice que el empleado ayudó a los clientes de la compañía a negociar rescates durante los ataques de ransomware. Pero desconocido para ellos, el empleado tenía acuerdos secretos con pandillas de ransomware para tomar una porción del rescate que las compañías terminaron pagando. DigitalMint dijo que despidió al empleado tan pronto como se enteró de la investigación y comenzó a advertir a sus clientes.
• Cloudflare Open-Sources Orange se encuentra -CloudFlare ha implementado el secreto de extremo a extremo (E2EE) a su aplicación de videollamadas Orange Meets y de código extenso la opción para la transparencia. La compañía de infraestructura web dijo que la opción funciona con unidades de reenvío selectivas (SFU) y utiliza la seguridad de la capa de transporte (MLS) para establecer el secreto de extremo a extremo para la comunicación grupal. “Para hacerlo, construimos un trabajador de servicio WASM (compilado de Rust) que establece un comunidad MLS y realiza secreto y descifrado de flujo, y diseñamos un nuevo protocolo de unión para grupos, llamado operación de comitvas designado, y lo modeló formalmente en TLA+”, dijo Cloudflare.
• Rusia para construir una almohadilla de datos de estafadores conocidos – El gobierno ruso ha anunciado planes para construir una almohadilla de datos de estafadores de teléfono conocidos que incluirán muestras de voz, números de teléfono e identificadores de llamadas. Una vez que el servicio se gancho el 1 de abril de 2026, se aplazamiento que los operadores móviles en el país muestren advertencias de estafa en las pantallas del teléfono para llamadas provenientes de números de estafa conocidos. Las grabaciones de voz se compartirán con la aplicación de la ley para posibles investigaciones.
• Obús C4 para silenciar el secreto vinculado a la aplicación en Google Chrome -El año pasado, Google introdujo una nueva medida de seguridad citación secreto vinculado a la aplicación para evitar que el malware que roba información obtiene cookies en los sistemas de Windows. Si aceptablemente los robos han opuesto formas de derrotar esta barandal, Cybark ha detallado otro método denominado Ataque C4 (sigla de Chrome Cookie Cipher Cracker), lo que hace posible descifrar las cookies como un beneficiario privilegiado. “Encima, esta técnica igualmente nos permitió excederse de la nueva función de seguridad de Google para atacar las máquinas de Windows y obtener a los datos que generalmente solo deberían estar disponibles para el beneficiario privilegiado del sistema”, dijo el investigador de seguridad Ari Novick. La técnica esencialmente emplea un ataque Oracle de relleno para hacer el secreto y eludir el System-DPAPI, recuperando la esencia de cookies. Luego de la divulgación responsable en diciembre de 2024, Google ha implementado una “opción parcial” para remediar el ataque de Oracle de relleno. Pero está deshabilitado de forma predeterminada.
• Explotar los intentos objetivo Apache Tomcat y fallas de camello -Los actores maliciosos sondeando para servidores que ejecutan versiones vulnerables de Apache Tomcat y Camel que no están eclipsados ​​contra CVE-2025-24813, CVE-2025-27636 y CVE-2025-29891 para conquistar la ejecución del código remoto. Palo Detención Networks dijo que bloqueó 125,856 sondas/escaneos/intentos de explotación que se originaron en más de 70 países relacionados con estas vulnerabilidades en marzo de 2025.
• Vamos a encrypt Comenzamos a emitir certificados para direcciones IP – Vamos a encriptar este mes emitiendo certificados para direcciones IP. Estos certificados son de corta duración y válidos solo durante seis días, una tendencia que apunta a la disminución de la vida útil del certificado. Escenarios potenciales en los que uno podría carecer un certificado de dirección IP incluyen casos de uso como servir una página predeterminada para alojamiento de proveedores, obtener a un sitio web sin un nombre de dominio, consolidar DNS a través de servicios HTTPS (DOH), proteger los servidores de almacenamiento atacados en la red y defender las conexiones efímeras adentro de la infraestructura de host en la cúmulo.
• Google Open-Sources Privacy Tech para la demostración de permanencia -A medida que los servicios en renglón introducen cada vez más barreras de demostración de permanencia, Google ha obtenido sus bibliotecas de prueba de conocimiento cero (ZKP) para ayudar a las personas a repasar su permanencia sin renunciar a información confidencial. “En términos de Layperson, ZKP hace posible que las personas demostraran que poco sobre ellos es cierto sin cambiar ningún otro datos”, dijo Google. “Entonces, por ejemplo, una persona que reconocimiento un sitio web puede probar verificablemente que tiene más de 18 abriles, sin compartir ausencia más”. La Biblioteca ZKP, citación Longfellow ZK, actualmente está siendo examinada por expertos académicos e industriales independientes. Se aplazamiento que los resultados de las revisiones estén disponibles ayer del 1 de agosto de 2025.
• Apple agrega ML-kem a iOS y MacOS 26 -Hablando de soluciones criptográficas, Apple está agregando soporte de criptografía posterior al cuanto a sus sistemas operativos. Las próximas versiones de iOS, iPados, MacOS y Visisos admitirán el operación de criptografía FIPS 203 (igualmente conocido como ML-kem) por medio de un intercambio de claves híbrido de seguridad cuántica. “El mensaje Clienthello de iOS 26, iPados 26, MacOS Tahoe 26 y VisionOS 26 los dispositivos incluirá X25519MLKEM768 en la extensión Supported_Groups, pegado con una décimo esencia correspondiente en la extensión Key_Share”, dijo Apple. “Los servidores pueden decantarse x25519mlkem768 si lo admiten, o usar otro comunidad anunciado en el mensaje Clienthello”.
• España arresta a 2 por filtrar datos personales de funcionarios gubernamentales -La policía española arrestó a un estudiante de informática de 19 abriles y un cómplice por presuntamente filtrar los datos personales de altos funcionarios y periodistas del gobierno. El principal sospechoso, identificado como Yoel Oq, fue detenido en la casa de sus padres en la isla de Gran Canaria. Su supuesto cómplice, Cristian Ezequiel SM, igualmente fue arrestado, según los medios locales que citan fuentes de aplicación de la ley. El dúo ha sido descrito como una “seria amenaza para la seguridad doméstico”.
• AT&T gancho un separación de cuenta inalámbrica para evitar ataques de intercambio de SIM – El cirujano móvil de EE. UU. AT&T ha arrojado una nueva característica para asediar las cuentas y evitar ataques de intercambio de SIM. El separación de la cuenta inalámbrica se puede habilitar exclusivamente a través de la aplicación Myat & T de AT&T. Una vez preparado, bloquea cualquier cambio a los detalles de facturación de un cliente o las transferencias de números inalámbricos hasta que esté deshabilitado nuevamente. Ya existen características similares en otros operadores como T-Mobile, Verizon y Google FI. “El separación obliga a un paso adicional ayer de que se puedan hacer cambios importantes en la cuenta. Evita que cualquier persona compre un dispositivo en la cuenta, por ejemplo, o realice un intercambio de SIM, moviendo un número de teléfono a un SIM en un dispositivo diferente”, dijo AT&T.
• Freelancers paquistaníes detrás de sitios web que despliegan robadores -Un comunidad de desarrolladores web independientes paquistaníes está detrás de una red de más de 300 sitios web que anuncia software descifrado que infecta a los usuarios con malware de robo de información, según Intrinsec. Se cree que estos sitios web se han construido para un tercero y que el comunidad incorpora técnicas de optimización de motores de búsqueda y anuncios de Google para maximizar la visibilidad y el compromiso de las víctimas. “Encima, se puede hacer poco para procesar a las personas pakistaníes detrás de estas actividades maliciosas, ya que no hay tratado de extradición entre los Estados Unidos y Pakistán”, dijo la compañía. “Los servidores y los dominios se pueden incautar, pero es solo una medida temporal hasta que se reconstruyan los nuevos”. El exposición coincide con la aparición de nuevas variantes de robador como Amatera Staaler (ACR Stealer) y Odyssey Stealer (Poseidon Stealer), convirtiéndose en los últimos participantes en un campo empachado de malware de inftasis.
• España detalla 21 sospechosos en relación con la estafa de inversión – Las autoridades españolas han detenido a 21 sospechosos por cargos de llevar la batuta un anillo de estafas de inversión. El comunidad operó los centros de llamadas en Barcelona y utilizó anuncios de redes sociales para promover plataformas de inversión falsas y engañar a cientos de víctimas en todo el país para que inviertan sus fondos en ellos, obteniendo a la pandilla más de € 10 millones ($ 11.8 millones). A fines de junio de 2025, las autoridades estadounidenses extraditaron a un ciudadano ghanés, Joseph Kwadwo Badu Boateng, para enredar cargos relacionados con un esquema de romance y herencia dirigido a los ancianos de 2013 de 2013 a marzo de 2023. La semana pasada, un hombre nigeriano de 41 abriles llamado Ehis Lawrence Akhimie declaró a Guilty en cargos similares en un caso por separado. “Akhimie admitió tener defraudado más de $ 6 millones de más de 400 víctimas, muchas de las cuales eran ancianos o vulnerables”, dijo el Unidad de Razón de los Estados Unidos.
• Estudiante chino condenado a prisión en el Reino Unido por la campaña de amordazos – Ruichen Xiong, un estudiante de China, ha sido sentenciado en un tribunal de Londres por negociar un blaster SMS para resistir a agarradera una campaña de smishing masiva contra las víctimas con el objetivo de cosechar sus datos personales entre el 22 y el 27 de marzo de 2025. “El equipo fue programado para destinar SMS a las víctimas adentro de un radiodifusión cercano del Blaster, diseñado para ver los mensajes de la confianza de la confianza de la triunfo. Link “, dijo la Finanzas del Reino Unido de la Asociación Británica del Reino Unido. “El enlace después los llevaría a un sitio bellaco que fue diseñado para cosechar sus datos personales”.
• Microsoft toma medidas contra ataques con bombas de correo electrónico y redirección del sistema de archivos – Microsoft reveló que está implementando una función de protección de fuego graneado por correo electrónico de forma predeterminada en la protección en renglón de Exchange y el defensor de Microsoft para Office 365 planea contrarrestar los riesgos planteados por los ataques que buscan inundar las bandejas de entrada objetivo con miles de mensajes mediante la suscripción de sus direcciones de correo electrónico a una gran cantidad de servicios de redacción y suscripción legítimos. “Al rastrear inteligentemente los volúmenes de mensajes en diferentes fuentes e intervalos de tiempo, esta nueva detección aprovecha los patrones históricos del remitente y las señales relacionadas con el contenido de spam. Evita que las bombas de correo se caigan en la bandeja de entrada del beneficiario y los mensajes se envíen a la carpeta basura (de Outlook)”, dijo Microsoft. Por separado, el titán tecnológico igualmente ha detallado una nueva mitigación citación RedirectionGuard que ha implementado en Windows 11 para mitigar los ataques de redirección del sistema de archivos.
• Hunters International se cierra – En un viraje inusual de los acontecimientos, la operación de ransomware internacional de Hunters ha cerrado y prometido editar claves de descifrado gratuitas para todas las víctimas pasadas. El comunidad anunció el candado en un mensaje publicado en su sitio de filtración web oscura el 3 de julio de 2025. “Luego de una cuidadosa consideración y a la luz de los desarrollos recientes, hemos decidido cerrar el Plan Internacional de Hunters”, escribió la pandilla en su sitio de molestia Darknet. No explicó cuáles fueron estos “desarrollos recientes”. La operación se lanzó en noviembre de 2023 y fue un cambio de marca del ransomware Hive, que tuvo su infraestructura incautada a principios de ese año. La desaparición de Hunters International no es sorprendente, cubo que un crónica del Rama-IB a principios de este año encontró que el comunidad ya había cambiado nuevamente y lanzó una operación solo por molestia conocida como filtraciones mundiales. A pesar de estas afirmaciones, la firma de seguridad francesa Lexfo dijo que identificó a las víctimas de World Leaks que habían desplegado ransomware en su red ayer de ser extorsionadas. Según DatabReaches.net, World Leaks es operado por individuos previamente asociados con Hunters International. World Leaks igualmente ha afirmado que ya no están en contacto con Hunters International. Sin requisa, el Rama-IB dijo que el candado “está” diseñado para controlar la novelística y la atribución de retraso “.

🎥 seminarios web de ciberseguridad

• El futuro de los inicios de sesión: IA, confianza y privacidad chocan – Los usuarios rechazan la IA espeluznante e exigentes inicios de sesión sin fricción, y las apuestas nunca han sido más altas. Este seminario web revela hallazgos exclusivos del crónica de tendencias Auth0 2025, exponiendo cómo están evolucionando las amenazas de identidad y cómo los equipos líderes están diseñando flujos de inicio de sesión de confianza que los usuarios aman. Si todavía confía en patrones de UX obsoletos o ignorando los cambios de privacidad, ya se está quedando a espaldas.
• Su instalación de PIP puede ser malware, aquí es cómo solucionarla – Pip Install no es solo arriesgada, es peligroso. Repójacking, paquetes falsos y contenedores infectados envenenan silenciosamente miles de aplicaciones. Esta no es una teoría, está sucediendo en este momento. Únase a los mejores expertos de seguridad para descubrir cómo se está atacando el ecosistema de Python, qué herramientas como Sigstore y SLSA en realidad hacen, y los pasos reales que necesita para consolidar sus compilaciones ayer de que sea demasiado tarde.

🔧 Herramientas de ciberseguridad

• Orange Meets de Cloudflare: es una aplicación de videollamadas cifrada completamente de extremo a extremo que se ejecuta completamente en el costado del cliente, no se necesitan cambios en el servidor o la SFU. Construido con WebRTC, óxido y seguridad de la capa de transporte (MLS), admite llamadas de comunidad seguras con rotación esencia en tiempo vivo y razonamiento de unión formalmente verificada. Es de código extenso, escalable y vivo para usar o personalizar.
• Octelium: es una plataforma gratuita, de código extenso, autohospedada para el entrada seguro y de confianza cero a los posibles internos y en la cúmulo. Reemplaza las VPN, los túneles y las puertas de enlace con entrada basado en la identidad, sin secreto y un control de cereal fino y basado en políticas. Construido en Kubernetes, es compatible con el entrada basado en el cliente y el navegador, y funciona para aplicaciones, API, SSH, bases de datos y más, sin exponer su infraestructura.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Encoge su superficie de ataque con títulos predeterminados inteligentes – Muchos ataques cibernéticos comienzan aprovechando las características legítimas de Windows que rara vez necesitan la mayoría de los usuarios o entornos. Office Macros, Windows Script Host, Legacy Protocols como LLMNR y Netbios a través de TCP/IP, y las interfaces de script de fondo de fondo son culpables comunes. Pero aún más las superficies más oscuras, como los controles ActiveX, las rutas de elevación del maniquí de objetos componentes o los puntos finales DCOM/RPC expuestos, pueden ser puntos de entrada para el movimiento supletorio y la ascensión de privilegios.

Más allá del endurecimiento principal, considere técnicas avanzadas como deshabilitar las características opcionales de Win32 a través de “Dism /Online /Disable-Fature,” deshabilitar los subsistemas de entrada /salida heredados (como el soporte de 16 bits a través de NTVDM), o auditar a los oyentes de red inesperados que usan “Netstat -Abno” y “Sysinternals TCPView”. Aplicar políticas de restricción de software (SRP) o Applocker para asediar la ejecución desde directorios TEMP, unidades USB y carpetas de perfil de beneficiario. Harden PowerShell con el modo de habla restringido y permite que AMSI se registre para atrapar intentos de ofuscación de script.

Para los usuarios que desean títulos predeterminados sin sumergirse en el registro o GPO, Hardentools ofrece una renglón de almohadilla aceptablemente equilibrada. Desactiva los motores de secuencias de comandos comúnmente explotados, la ejecución de la macro de oficina y ciertos comportamientos de Windows Explorer con un solo clic. Pero para ir más allá, combínelo con scripts comunitarios como “Attack Surface Analyzer” (por Microsoft) o herramientas como O&O Shutup10 ++ para deshabilitar la telemetría y disminuir la exposición a los vectores de ataque conectados a la cúmulo.

Cuanto más negro sea el vector, menos probable es que los defensores lo están monitoreando, pero eso es exactamente por qué los atacantes lo aman. La reducción efectiva de la superficie de ataque no se negociación solo de minimizar los servicios visibles; Se negociación de memorizar lo que está preparado en silencio y asegurar que sea necesario. Esta semana, vaya más allá del separación de macro principal: revise lo que se ejecuta debajo del capó y candado los riesgos silenciosos.

Conclusión

Una cosa es defenderse de los atacantes externos: es otra cuando el aventura ya está adentro. Las revelaciones de esta semana sobre las identidades robadas, las contrataciones falsas y el entrada silencioso muestran cómo la confianza se puede convertir en un armas.

La comida para resistir es clara: la identidad no es solo un inicio de sesión, es un confín de seguridad. Y cuando eso descompostura, todo lo que está detrás está en aventura.