Scalping de bots DDR5, seguimiento de televisores Samsung, multa de privacidad de Reddit y más

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha listo sobre una campaña de piratería informática dirigida a instituciones gubernamentales ucranianas utilizando correos electrónicos de phishing que contienen un archivo ZIP (o un enlace a un sitio web inerme a ataques de secuencias de comandos entre sitios) para distribuir malware de robo de información SHADOWSNIFF y SALATSTEALER y una puerta trasera Go señal DEAFTICKK. La agencia atribuyó la actividad a un actor de amenazas rastreado como UAC-0252. El mejora se produce cuando una supuesta campaña de espionaje ruso está dirigida a Ucrania con dos cepas de malware previamente no documentadas, BadPaw y MeowMeow, según ClearSky. Si aceptablemente es probable que la campaña sea obra de APT28, la empresa de ciberseguridad no identificó los objetivos de la campaña ni dijo si los ataques tuvieron éxito.

Un nuevo malware como servicio (MaaS) denominado TrustConnect (“trustconnectsoftware(.)com”) se hace suceder por una útil legítima de supervisión y diligencia remota (RMM) por 300 dólares al mes. Se estima que el actor de amenazas detrás de TrustConnect asimismo era un heredero destacado de RedLine Stealer. Según la firma de seguridad de correo electrónico Proofpoint, se ha observado que múltiples actores de amenazas distribuyen el malware a través de correos electrónicos de phishing a partir del 27 de enero de 2026. Los correos electrónicos afirman ser invitaciones a eventos o propuestas de ofertas, engañando a los destinatarios para que hagan clic en enlaces que conducen a la descarga de ejecutables falsos que instalan TrustConnect RAT. La RAT abre puertas traseras a las máquinas de los usuarios y brinda a los atacantes control total del mouse y el teclado, lo que les permite fijar y transmitir la pantalla de la víctima. Además se han observado algunas campañas que entregan software lícito de camino remoto como ScreenConnect y LogMeIn Resolve cercano con TrustConnect entre el 31 de enero y el 3 de febrero de 2026. Los clientes que compran el kit de herramientas tienen camino a un panel para controlar de forma remota los dispositivos infectados y ocasionar instaladores de marca que contienen el malware. Posteriormente de que Proofpoint tomara medidas para interrumpir parte de la infraestructura del malware el 17 de febrero de 2026, el actor de amenazas resurgió con una interpretación renombrada de la plataforma de malware señal DocConnect. “Las interrupciones en las operaciones de MaaS como RedLine, Lumma Stealer y Rhadamanthys han creado nuevas oportunidades para que los creadores de malware llenen los vacíos en el mercado del cibercrimen”, afirmó Proofpoint. “Aunque TrustConnect solo se hizo suceder por un RMM lícito, los señuelos, las cadenas de ataque y las cargas efectos de seguimiento (que incluyen los RMM) muestran superposiciones con técnicas y métodos de entrega que se observan con frecuencia en las campañas de RMM y que utilizan múltiples actores de amenazas”. El mejora se produce en medio de un injusticia vertiginoso del software RMM lícito en ataques cibernéticos.

Google ha anunciado que se lanzarán nuevas versiones de Chrome cada dos semanas, alejándose del ciclo de emanación flagrante de cuatro semanas. Desde 2021, Google ha estado enviando versiones principales de Chrome cada cuatro semanas y, desde 2023, ha estado entregando actualizaciones de seguridad cada semana para sujetar la brecha de parches y mejorar la calidad. “La plataforma web avanza constantemente y nuestro objetivo es respaldar que los desarrolladores y usuarios tengan camino inmediato a las últimas mejoras de rendimiento, correcciones y nuevas capacidades”, dijo Google. El nuevo ciclo de emanación asimismo se aplicará a las versiones beta, comenzando con Chrome 153, que llegará el 8 de septiembre de 2026.

Investigadores del Instituto IMDEA Networks han descubierto que los sensores del Sistema de Monitoreo de Presión de Neumáticos (TPMS) adentro de cada rueda de automóvil transmiten señales inalámbricas no cifradas que contienen identificadores persistentes. Si aceptablemente la función está diseñada para la seguridad del transporte, cada sensor transmite una identificación única que no cambia, lo que permite rebuscar el mismo automóvil nuevamente y rastrearlo a lo desprendido del tiempo. Esto, a su vez, abre la puerta a una red de monitoreo de bajo costo que utiliza receptores de radiodifusión definidos por software cerca de las carreteras (a una distancia de hasta 40 m del automóvil) y áreas de estacionamiento para resumir mensajes TPMS de miles de vehículos y crear perfiles de sus movimientos a lo desprendido del tiempo. “Los usuarios malintencionados podrían desplegar receptores pasivos a gran escalera y rastrear a los ciudadanos sin su conocimiento. La superioridad de un sistema de este tipo, sobre los más tradicionales basados ​​en cámaras, es que no se necesita una trayecto de visión directa con los sensores TPMS, y los receptores de espectro podrían colocarse en lugares ocultos u ocultos, lo que haría más difícil que las víctimas los detecten”, advirtieron los investigadores. “Nuestros resultados muestran que las transmisiones TPMS se pueden utilizar para inferir sistemáticamente información potencialmente sensible como la presencia, el tipo, el peso o el patrón de conducción del conductor”. La divulgación se suma a un creciente conjunto de investigaciones que demuestran cómo varios componentes instalados en vehículos modernos pueden convertirse en conductos no deseados para vigilancia y ataques.

Un nuevo disección de CYFIRMA ha señalado cómo la estructura de Telegram ofrece a los actores de amenazas una forma de ampliar su importancia conjuntamente sin la exigencia de herramientas especializadas, permitir la incorporación sin fricciones de compradores y afiliados, aprobar opciones de plazo y suministrar el crecimiento de la audiencia. La aparición de la plataforma ha cambiado fundamentalmente la forma en que se coordinan, monetizan y publicitan las operaciones cibernéticas. “Para los actores con motivación financiera, Telegram funciona como un guardarropa escalable y un centro de atención al cliente”, dijo la compañía. “Para los hacktivistas, sirve como un amplificador de movilización y propaganda. Para las operaciones alineadas con el estado, ofrece un canal de distribución rápida para narrativas y filtraciones. En muchos casos, Telegram complementa y reemplaza cada vez más los ecosistemas tradicionales basados ​​en Tor eliminando la fricción técnica mientras mantiene la flexibilidad operativa”.

Un nuevo disección de AuraStealer de Intrinsec ha descubierto 48 nombres de dominio de comando y control (C2) vinculados a las operaciones del bandido. Se ha descubierto que el actor de amenazas detrás del malware utiliza dominios de nivel superior .shop y .cfd, encima de enrutar todo el tráfico a través de Cloudflare como proxy inverso para ocultar el servidor actual. AuraStealer apareció por primera vez en foros clandestinos de hackers en julio de 2025, poco posteriormente de la interrupción de Lumma Stealer como parte de una operación policial. Fue anunciado por un heredero llamado AuraCorp en el foro XSS. Viene en dos paquetes de suscripción: $295/mes para Central y $585/mes para Innovador. Uno de los principales mecanismos a través del cual se distribuye el bandido es ClickFix.

Una campaña de publicidad maliciosa utiliza anuncios falsos en las páginas de resultados de la Búsqueda de Google para redirigir a los usuarios que buscan formas de liberar almacenamiento de macOS a páginas web fraudulentas alojadas en Medium, Evernote y Kimi AI para ofrecer instrucciones estilo ClickFix que lanzan una nueva variación de Atomic Stealer señal malext para robar una amplia tono de datos de sistemas macOS comprometidos. La campaña utiliza más de 50 cuentas de Google Ads comprometidas que impulsan “más de 485 páginas de destino maliciosas, lo que finalmente condujo a un ataque ClickFix que implementó una interpretación potencialmente nueva de AMOS Stealer en sistemas infectados”, dijo el investigador de seguridad Gi7w0rm.

Una operación de sumario de datos a gran escalera ha enviado más de 10 millones de solicitudes de web scraping para consentir a páginas de productos DRAM en sitios de comercio electrónico en un esfuerzo por encontrar vendedores que tengan existencias de DRAM deseables. Se ha descubierto que los robots verifican el stock de kits de RAM específicos cada 6,5 ​​segundos mediante el uso de una técnica señal matanza de personalidad para respaldar que obtengan la información más actualizada, dijo DataDome. “Estos robots apuntan agresivamente a toda la cautiverio de suministro, desde RAM de consumo hasta proveedores de memoria industrial B2B y componentes de hardware en bruto como zócalos DIMM”, dijo la compañía. “Los raspadores intentan evitar la detección agregando parámetros de destrucción de personalidad a cada solicitud y calibrando su velocidad para permanecer adaptado por debajo de los umbrales de desasosiego volumétrica. Al beneficiarse rápidamente el inventario menguado de memoria DDR5 para una reventa rentable, estos robots agotan aún más el suministro de consumo, excluyendo efectivamente a los clientes legítimos e impulsando los precios del mercado aún más”.

La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado a Reddit con £14,47 millones por procesar ilegalmente información personal de niños menores de 13 primaveras y por no revisar adecuadamente la existencia de sus usuarios, poniéndolos así en aventura de resultar expuestos a contenido inapropiado y dañino en trayecto. En julio de 2025, Reddit introdujo medidas de seguro de existencia que incluyen la comprobación de la existencia para consentir a contenido para adultos y pedir a los usuarios que declaren su existencia al brindar una cuenta. Reddit dijo que apelaría la audacia, afirmando que no requiere que los usuarios compartan información sobre sus identidades, independientemente de su existencia, para respaldar la privacidad y seguridad en trayecto de los usuarios.

El Fiscal Caudillo de Texas, Ken Paxton, anunció que Samsung ya no recopilará datos de Examen Automatizado de Contenido (ACR) sin el consentimiento a propósito de los consumidores. El mejora se produce a raíz de una demanda presentada contra el cíclope de la electrónica de Corea del Sur por sus prácticas de sumario de datos y por acusaciones de que la información ACR recopilada podría estar de moda para difundir anuncios dirigidos. “Por otra parte, obliga a Samsung a modernizar rápidamente sus televisores inteligentes e implementar divulgaciones y pantallas de consentimiento que sean claras y visibles para respaldar que los tejanos puedan tomar una audacia informada sobre si se recopilan sus datos y cómo se utilizan”, dijo la Oficina del Procurador Caudillo. Samsung ha obtuso que espíe a los usuarios.

Los iPhone y iPad de Apple han sido aprobados para manejar información clasificada en las redes de la OTAN. Son los primeros dispositivos de consumo aprobados para su uso en la OTAN sin software ni configuraciones especiales adicionales. El iPhone y el iPad recibieron previamente aprobación para manejar datos clasificados del gobierno ario en dispositivos que utilizan medidas de seguridad nativas de iOS y iPadOS luego de una evaluación de seguridad realizada por la Oficina Federal de Seguridad de la Información de Alemania.

TikTok de ByteDance dijo que no tiene planes de juntar enigmático de extremo a extremo (E2EE) a los mensajes directos porque evitaría que los equipos policiales y de seguridad lean los mensajes si es necesario. En un comunicado compartido con la BBC, la compañía dijo que quería proteger a los usuarios, especialmente a los jóvenes, de cualquier daño.

Una nueva campaña de phishing que utiliza señuelos de órdenes de adquisición ha aplicado una cautiverio de ataque de varias etapas para entregar el Agente Tesla, lo que permite a los actores de amenazas resumir datos confidenciales, mientras toman medidas para escamotear la detección utilizando técnicas como la ofuscación y la ejecución en memoria. “Desde el cargador JSE ofuscado original hasta la carga reflectante de ensamblajes .NET y el vaciado de procesos de utilidades legítimas de Windows, Agent Tesla está diseñado para permanecer invisible”, dijo Fortinet FortiGuard Labs. “Sus exhaustivas comprobaciones antianálisis garantizan encima que sólo revela su verdadera naturaleza cuando está seguro de que no está siendo vigilado”.

Mientras las organizaciones están tomando medidas para reanimar sus filtros web y de correo electrónico tradicionales, una nueva investigación de Infoblox ha antagónico una campaña novedosa en la que los actores están abusando del dominio de nivel superior .arpa, un espacio estrictamente reservado para la infraestructura de red, para encajar contenido taimado y eludir las listas de obstrucción habitual. El mejora muestra que los ciberdelincuentes están encontrando escondites “imposibles” adentro de la infraestructura central de Internet para eludir la seguridad, dijo la firma de inteligencia de amenazas DNS. En otros lugares, los actores de amenazas asimismo están abusando de los archivos de camino directo LNK y WebDAV para descargar archivos maliciosos en los sistemas de los objetivos. “Conveniente a que poder consentir de forma remota a cosas en Internet a través del Explorador de archivos es una funcionalidad relativamente desconocida para la mayoría de las personas, WebDAV es una forma explotable de hacer que las personas descarguen archivos sin tener que descargar archivos mediante un navegador web tradicional”, dijo Cofense.

Una nueva campaña de phishing que comenzó el 1 de marzo de 2026 utiliza señuelos relacionados con el camino no competente a cuentas individuales para engañar a los destinatarios para que visiten páginas de inicio de sesión falsas de LastPass para tomar el control de sus cuentas. El ataque aprovecha el hecho de que muchos clientes de correo electrónico, especialmente móviles, muestran solo el nombre para mostrar, ocultando la dirección actual del remitente a menos que los usuarios la expandan. “Los atacantes están reenviando cadenas de correo electrónico falsas para que parezca que otra persona está intentando realizar acciones no autorizadas en su cuenta de LastPass (es opinar, exportar cúpula, recuperación completa de la cuenta, registrar un nuevo dispositivo confiable, etc.)”, dijo LastPass. “Los atacantes utilizan la suplantación de nombres para mostrar para manipular la parte del nombre del campo del remitente para hacerse suceder por LastPass, mientras que la dirección de correo electrónico de emisión actual no está relacionada”.

Con la aparición de herramientas como Claude Code Security, OX Security insta a los usuarios a resistir la tentación de subcontratar el madurez, la inmueble y la energía a un único maniquí de inteligencia fabricado (IA). “La IA no inventa patrones de código fundamentalmente nuevos”, decía. “Reproduce los más comunes que hemos conocido ayer. Eso significa que escalera no sólo la productividad, sino asimismo las debilidades existentes en la ejercicio de la ingeniería de software”. La empresa de ciberseguridad asimismo advirtió que los sistemas de inteligencia fabricado pueden ser propensos a ocasionar falsos positivos y es posible que no informen de forma confiable a un heredero si un problema señalado en un único repositorio es verdaderamente explotable en un entorno difícil y único. Un canal que se podio en el mismo sistema de inteligencia fabricado para escribir y revisar código no es ideal, agregó.

Un equipo de académicos de Anthropic, ETH Zurich y MATS Research ha desarrollado grandes modelos de habla (LLM) que pueden desanonimizar a los usuarios de Internet basándose en comentarios anteriores u otras pistas digitales que dejan antes. “Dadas dos bases de datos de personas seudónimas, cada una de las cuales contiene texto no estructurado escrito por o sobre esa persona, implementamos un canal de ataque escalable que utiliza LLM para: (1) extraer características relevantes para la identidad, (2) agenciárselas coincidencias de candidatos a través de incrustaciones semánticas y (3) razonar sobre los mejores candidatos para revisar coincidencias y sujetar los falsos positivos”, dijeron los investigadores. El método funciona incluso si los objetivos utilizan diferentes seudónimos en múltiples plataformas. Los investigadores dijeron que el uso de sus LLM supera a los métodos de investigación clásicos, en los que un cirujano humano examina manualmente las huellas digitales. Esto, a su vez, permite ataques de anonimización totalmente automatizados que pueden funcionar con datos no estructurados a escalera, al tiempo que reducen el costo y el esfuerzo que se dedica a la sumario de inteligencia. “Nuestros resultados muestran que la oscuridad ejercicio que protege a los usuarios seudónimos en trayecto ya no se mantiene y que es necesario reconsiderar los modelos de amenaza para la privacidad en trayecto”, dijeron los investigadores. “El heredero promedio en trayecto ha operado durante mucho tiempo bajo un maniquí de amenaza implícita en el que ha asumido que el seudónimo proporciona una protección adecuada porque la desanonimización dirigida requeriría un gran esfuerzo. Los LLM invalidan esta suposición”.