Badcam Attack, Winrar 0-Day, EDR Killer, Nvidia Flaws, Ransomware Attacks y More

Esta semana, los atacantes cibernéticos se mueven rápidamente, y las empresas deben mantenerse alertas. Están encontrando nuevas debilidades en el software popular y presentan formas inteligentes de sortear la seguridad. Incluso un defecto sin parches podría dejar entrar a los atacantes, lo que lleva al robo de datos o incluso a tomar el control de sus sistemas. El cronómetro está marcando: si las defensas no se actualizan regularmente, podría provocar daños graves. El mensaje es claro: no espere a que ocurra un ataque. Tome medidas ahora para proteger su negocio.

Aquí hay un vistazo a algunas de las historias más importantes en ciberseguridad esta semana: desde nuevos defectos en Winrar y Nvidia Triton hasta técnicas de ataque progresista que debes conocer. Entremos en los detalles.

⚡ Amenaza de la semana

Tendencia micro advertencia de explotado activamente 0 días -Trend Micro ha publicado mitigaciones temporales para afrontar fallas de seguridad críticas en las versiones locales de la consola de trámite Apex One que, según él, han sido explotadas en la naturaleza. Las vulnerabilidades (CVE-2025-54948 y CVE-2025-54987), clasificadas 9.4 en el sistema de puntuación CVSS, se han descrito como inyección de comandos de consola de trámite y fallas de ejecución de código remoto. Actualmente no hay detalles sobre cómo se están explotando los problemas en los ataques del mundo actual. Trend Micro dijo que “observó al menos una instancia de un intento de explotar activamente una de estas vulnerabilidades en la naturaleza”.

🔔 Parte principales

• Winrar 0 días bajo explotación activa -Los mantenedores de la utilidad de archivo de archivos Winrar han publicado una puesta al día para afrontar una vulnerabilidad de día cero explotada activamente. Seguido como CVE-2025-8088 (puntaje CVSS: 8.8), el problema se ha descrito como un caso de itinerario por ruta que afecta la traducción de Windows de la útil que podría explotarse para obtener la ejecución del código injusto mediante la creación de archivos de archivo maliciosos. El proveedor de ciberseguridad ruso Bi.zone, en un crónica publicado la semana pasada, dijo que hay indicios de que el montón de piratería rastreado como Werewolf (apodo Goffee) puede acontecer trabajador CVE-2025-8088 de CVE-2025-6218, un error de directorio CVE-2025-8088 cercano con CVE-2025-6218, un error traversal de directorio en la traducción de Windows de Winrar de Winrar que se parchó en junio de 2025.
• Nueva sujeción de explotación de envenenamiento de Windows EPM detallada -Nuevos hallazgos presentados en la Conferencia de Seguridad DEF CON 33 mostraron que un problema de seguridad ahora empapado en el Protocolo de comunicación de llamadas de procedimiento remoto de Windows de Microsoft (RPC) (CVE-2025-49760, puntaje CVSS: 3.5) podría ser abusado por un atacante para realizar ataques de semen e trasladar un servidor conocido. La vulnerabilidad esencialmente permite manipular un componente central del protocolo RPC y en el ambiente de lo que se fogosidad un ataque de envenenamiento EPM que permite a los usuarios no privilegiados posar como un servicio auténtico e incorporado con el objetivo de coaccionar un proceso protegido para autenticarse contra un servidor injusto de un atacante opción.
• Badcam Attack apunta a las cámaras web de Linux de Lenovo -Las cámaras web con sede en Linux de Lenovo, Lenovo 510 FHD y Lenovo Performance FHD, que funcionan con un sistema en un chip (SOC) y un firmware realizado por la compañía china Sigmastar, se pueden promover y convertirse en vectores BadUSB, lo que permite a los atacantes tambalearse con el firmware de los dispositivos para ejecutar comandos maliciosos cuando están conectados con una computadora. “Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y exhalar ataques independientemente del sistema eficaz host”, dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael.
• La escalera de generoso ámbito de Vextrio reveló -Un nuevo disección de Vextrio lo ha desenmascarado como una “ordenamiento cibercriminal con zarcillos que son de gran ámbito”, operando docenas de empresas y compañías frontales en toda Europa, mientras se hace suceder por una empresa de tecnología publicitaria legítima para aguantar a final varios tipos de fraude. Se evalúa que la red de fraude cibernética está activa en su forma flagrante desde al menos 2017. Dicho esto, las sospechosas cifras esencia detrás del esquema se han vinculado a informes de estafadores y dominios incompletos desde 2004. Incluso es el resultado de dos empresas, Tekka Group y Adspro Group, uniendo fuerzas en 2020. “La fusión creó un conjunto formidable de entidades comerciales que tocan cada parte de la industria de la tecnología publicitaria”, dijo Informlox. VEXTRIO es conocido por utilizar los sistemas de distribución de tráfico (TDSE) para filtrar y redirigir el tráfico web basado en criterios específicos, así como fiarse en técnicas de manipulación DNS sofisticadas como la flujo rápido, el túnel de DNS y los algoritmos de procreación de dominio (DGA) a los cambios rápidos de IP asociados con sus dominios, establecer el comando de los subtolios (COMOTROL COMOTROT (C2) C2). sistemas infectados. Las campañas orquestaron al actor de amenaza para rendir los TDSE para secuestrar a los usuarios web de sitios web comprometidos y redirigirlos a una variedad de destinos maliciosos, desde estafas de soporte técnico y actualizaciones falsas hasta dominios de phishing y kits de explotación. El uso de entidades comerciales para dirigir los esquemas de distribución de tráfico ofrece varias ventajas para los actores de amenaza, tanto desde una perspectiva operativa como a evitar el cómputo de la comunidad INFOSEC y la aplicación de la ley manteniendo una apariencia de legalidad. El sistema funciona como cualquier otra red de tecnología publicitaria, solo que es de naturaleza maliciosa. Los actores de amenaza pagan a las empresas controladas por Vextrio como si fueran clientes legítimos, recibiendo un suministro constante de tráfico secuestrado y víctimas desprevenidas a través de TDSE para una variedad de amenazas, de estafas de criptomonedas y esquemas falsos de Captcha. “Vextrio emplea a unos cientos de personas en todo el mundo. No está claro cuánto sabe el empleado promedio de Vextrio sobre el seguro maniquí de negocio”, dijo Infloxox. El acuerdo ha demostrado ser extremadamente productivo para los operadores de Vextrio, que han sido encontrados que lideran un lujoso estilo de vida, compartiendo en las redes sociales sobre automóviles caros y otros lujos.
• Múltiples defectos parcheados en nvidia triton parcheado – Nvidia ha parcheado a un trío de vulnerabilidades en su servidor de inferencia de Triton que podría dar a los atacantes remotos no autenticados una forma de tomar el control total de los servidores susceptibles. Las nuevas vulnerabilidades de Triton subrayan una categoría más amplia y creciente de amenazas relacionadas con la IA que las organizaciones ahora deben tener en cuenta sus posturas de seguridad. Con las herramientas de IA y ML cada vez más integrados en flujos de trabajo de negocios críticos, la superficie de ataque se ha expandido de una guisa que los marcos de seguridad tradicionales no siempre están equipados para manejar. La aparición de nuevas amenazas como la integridad de la sujeción de suministro de IA, el envenenamiento del maniquí, la inyección inmediata y la fuga de datos señala la penuria de afianzar la infraestructura subyacente y practicar la defensa en profundidad.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una puesta al día perdida o un error oculto, incluso un CVE sin parches puede inaugurar la puerta a daños graves. A continuación se muestran las vulnerabilidades de stop aventura de esta semana que hacen olas. Revise la tira, parche rápido y mantén un paso delante.

La tira de esta semana incluye: CVE-2025-8088 (Winrar), CVE-2025-55188 (7-ZIP), CVE-2025-4371 (Lenovo 510 FHD y Camilas web FHD de rendimiento), CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-2505025252525222222. CVE-2025-24919 (Dell ControlVault3), CVE-2025-49827, CVE-2025-49831 (Cybark Secrets Manager), CVE-2025-6000 (HashiCorp Vault), CVE-2025-53786 (Microsoft Exchange Server), CVE-2025-30023 (Axis Communications). CVE-2025-54948, CVE-2025-54987 (Trend Micro Apex One Management Console), CVE-2025-23310, CVE-2025-23311, CVE-2025-23319 (NVIDIA Triton), CVE-2025-54574 (Squid Web Proxy), CVE-2025-7025, CVE-2025-7032, and CVE-2025-7033 (Rockwell Automation Arena Simulation), CVE-2025-54253, CVE-2025-54254 (Adobe Experience Manager Forms), CVE-2025-24285 (Ubiquiti UniFi Connect EV Station), CVE-2025-38236 (Linux Kernel), CVE-2025-2771, CVE-2025-2773 (BEC Technologies Routers), CVE-2025-25214, CVE-2025-48732 (WWBN Avideo), CVE-2025-26469 y CVE-2025-27724 (Meddream Pacs Premium).

📰 en torno a del mundo cibernético

• Nvidia rechaza las reclamaciones de puerta trasera – El fabricante de la GPU Nvidia ha rechazado las acusaciones de que ha construido puertas traseras o matar interruptores en sus chips. “No hay puertas traseras en los chips de Nvidia. Sin interruptores de matar. No hay software infiltrado. No es como se construyen los sistemas confiables, y nunca lo serán”, dijo el director de seguridad de NVIDIA, David Reber Jr. El exposición se produjo luego de que la agencia del ciberespacio de China (CAC) dijo que celebró una reunión con Nvidia sobre “problemas de seguridad graves” en los chips de la compañía y afirmó que los expertos de inteligencia fabricado (IA) de los Estados Unidos “revelaron que los chips informáticos de Nvidia tienen un seguimiento de ubicación y pueden cerrar la tecnología de forma remota”. Un interruptor de asesinato en un chip sería “un defecto permanente más allá del control del heredero y una invitación abierta para el desastre”, agregó Reber Jr.
• Los atacantes comprometen el objetivo en 5 minutos – Los actores de amenaza comprometieron con éxito sistemas corporativos en solo cinco minutos utilizando una combinación de tácticas de ingeniería social y ejecución rápida de PowerShell. El incidente demuestra cómo los ciberdelincuentes están armando aplicaciones comerciales de confianza para evitar las medidas de seguridad tradicionales. “El actor de amenazas se dirigió a en torno a de vigésimo usuarios, se hace suceder por el personal de soporte de TI y convenció con éxito a dos usuarios de otorgar paso remoto a su sistema utilizando la útil de soporte remoto de amparo rápida de Windows”, dijo NCC Group. “En menos de cinco minutos, el actor de amenaza ejecutó comandos de PowerShell que condujeron a la descarga de herramientas ofensivas, ejecución de malware y la creación de mecanismos de persistencia”. El ataque fue detectado y detenido ayer de que pudiera acontecer llevado a una infección más alto.
• Empresas ahogadas en amenaza Intel – Un nuevo estudio encargado por Google Cloud encontró que un “bulto abrumador de amenazas y datos combinados con la escasez de analistas de amenazas calificadas” están haciendo que las empresas sean más vulnerables a los ataques cibernéticos y manteniéndolos atrapados en un estado reactivo. “En superficie de ayudar a la eficiencia, Myriad (inteligencia de amenazas) alimenta a los equipos de seguridad inundados con datos, lo que hace que sea difícil extraer ideas efectos o priorizar y objetar a las amenazas. Los equipos de seguridad necesitan visibilidad en amenazas relevantes, correlación a la IA a escalera y los defensores calificados para usar inspiraciones accionables, lo que permite un cambio de un cambio reactivo a una postura de seguridad proactiva”, el estudio de la seguridad “, según el estudio. La sondeo se realizó con 1.541 líderes de TI y ciberseguridad en organizaciones empresariales en América del Septentrión, Europa y Asia Pacífico.

• Nuevo perjudicial de edr vio -El malware capaz de terminar el software antivirus y ofuscados utilizando empacadores comerciales como HeartCrypt se están utilizando en ataques de ransomware que involucran BlackSuit, RansomHub, MedUSA, Qilin, DragonForce, Crytox, Lynx e Inc. Posando como un utilidad legitimada, el perjudicial de Educar con un compensador de objetivos con un compensador de Cinco. Si se encuentra, el conductor ladino se carga en el núcleo, como se requiere para realizar un ataque de Traer su propio conductor débil (BYOVD) y ganar los privilegios del núcleo necesarios para desactivar los productos de seguridad. La tira exacta de software antivirus que se terminará varía entre las muestras. Se cree que es una proceso de Edrkillshifter, desarrollada por Ransomhub. “Múltiples variantes nuevas de un conductor ladino que surgió por primera vez en 2022 están circulando en la naturaleza”, advirtió Symantec a principios de enero. “El conductor es utilizado por los atacantes para intentar deshabilitar las soluciones de seguridad”. El hecho de que los actores de ransomware múltiples dependen de las variantes de la misma útil Killer EDR alude a la posibilidad de un tendero global o algún tipo de “fuga de información/útil entre ellos”.
• El ransomware continúa evolucionando – Amenaze Intel Firm Analyst1 ha publicado un perfil de Yaroslav Vasinskyi, un ciudadano ucraniano y miembro de la pandilla Revil que irrumpió en Kaseya en 2021. Mientras tanto, el panorama de ransomware continúa siendo voluntario como siempre, repleta y la cesación abrupta de las actividades de las actividades continuas. de Trigona, mientras que un afiliado llamado “Hastalamuerte” alegó que el montón Qilin había realizado una estafa de salida, defraudándoles $ 48,000. Otro heredero, que opera bajo el mango “Nova”, filtró públicamente el panel de afiliados de Qilin, incluidas las credenciales de inicio de sesión, exponiendo aún más las debilidades de seguridad operativas del montón. Ransomhub, Babuk-Bjorka, Funksec, Bianlian, 8Base, Cactus, Hunters International y Lockbit se encuentran entre los grupos que han dejado de propagar nuevas víctimas, lo que indica un ecosistema de ransomware cada vez más fragmentado. “La rápida sucesión de eventos luego de la desaparición de Ransomhub y el aumento posterior, y la visible turbulencia, en el interior de las operaciones de Qilin subrayan la volatilidad dinámica del ecosistema de ransomware flagrante”, dijo Dark Atlas. “El caos interno y la supuesta estafa de salida en el interior de Qilin (…) revelan fisuras profundas en la confianza y la seguridad operativa entre los colectivos de ransomware, agravados aún más por la interferencia activa de los grupos de aplicación de la ley y rivales”.
• Organizaciones turcas dirigidas por Soupdealer -Los bancos, los ISP y las organizaciones de nivel medio en Türkiye están siendo atacadas por campañas de phishing que ofrecen un nuevo cargador con sede en Java llamado Soupdealer. “Cuando se ejecuta este malware, utiliza mecanismos avanzados de persistencia, incluida la descarga de TOR para establecer la comunicación con el panel C2 y las tareas de programación para la ejecución cibernética, para avalar que el dispositivo se encuentre en Türkiye y se use en turco”, dijo Malwation. “Luego envía varias información basada en señales desde el servidor de comando y control y obtiene un control total sobre el dispositivo”.
• Spark rata detallada -Los investigadores de ciberseguridad han detallado el funcionamiento interno de una rata de código extenso convocatoria rata Spark que es capaz de apuntar a los sistemas Windows, Linux y MacOS. Permite a un atacante comandar de forma remota un punto final comprometido al establecer comunicaciones con infraestructura C2 y esperar más instrucciones de un cirujano. “Todas las características de ratas deseables están presentes, con la marcha quizás trascendente de funcionalidad remota de escritorio”, dijo F5 Labs. “Estos factores se han combinado para hacer de Sparkrat una atractiva opción de la útil ataque, como lo demuestra las instancias documentadas de su uso en las campañas de amenazas”.
• Aumento del uso de los archivos SVG de los actores de amenaza – Los cibercriminales están convirtiendo archivos de gráficos vectoriales escalables (SVG) en armas potentes al incorporar cargas efectos de JavaScript maliciosas que pueden evitar las medidas de seguridad tradicionales. Los ataques de phishing que adoptan la técnica han girado en torno a los objetivos convincentes para inaugurar un archivo SVG, lo que desencadena la ejecución del código JavaScript en el navegador web, que luego los redirige a un sitio de phishing diseñado para robar credenciales. “En superficie de acumular datos de píxeles, los SVG usan el código basado en XML para explicar rutas, formas y texto vectoriales”, dijo Seqrite. “Esto los hace ideales para un diseño receptivo, ya que escaman sin perder calidad. Sin bloqueo, esta misma estructura permite que los SVG contengan JavaScript integrado, que puede ejecutarse cuando el archivo se abre en un navegador, poco que sucede de guisa predeterminada en muchos sistemas de Windows”. Los archivos de imagen SVG incluso se están utilizando como vector de entrega de malware en campañas donde se han antagónico sitios de adultos sembrando cargas efectos de SVG oscurecidas que aprovechan a JSFuck para respaldar encubrir las publicaciones de Facebook que promocionan los sitios, encontró amenazas.
• Las estafas dirigidas a ancianos llevaron a pérdidas de $ 700 millones en 2024 – Los estadounidenses mayores de 60 abriles perdieron la asombrosa cantidad de $ 700 millones a estafas en bisectriz en 2024, lo que indica un válido aumento en el fraude dirigido a adultos mayores. “En particular, las pérdidas combinadas reportadas por adultos mayores que perdieron más de $ 100,000 aumentaron ocho veces, de $ 55 millones en 2020 a $ 445 millones en 2024”, dijo la Comisión Federal de Comercio de los Estados Unidos (FTC). “Si proporcionadamente los consumidores más jóvenes incluso han informado estas estafas, los adultos mayores tenían mucho más probabilidades de informar estas pérdidas extraordinariamente altas”. El exposición se produjo cuando las autoridades de Filipinas detuvieron a 20 ciudadanos chinos que operaban un centro de estafadores criptográficos en la ciudad de Pasay. La policía tailandesa incluso ha detenido a 18 nacionales chinos que operaban un centro de llamadas de estafa en la ciudad de Chiang Mai que atacó a otros oradores chinos y operaba durante tres meses desde una casa alquilada.

• El ransomware de bloqueo ganó en torno a de $ 34.2 millones – El ransomware de bloqueo se asocia con aproximadamente $ 34.2 millones en transacciones de criptomonedas desde que aparecieron en torno a de abril de 2024, con la mayoría de las víctimas ubicadas en los Estados Unidos en los sectores de la vigor, los servicios comerciales y la fabricación. A diferencia de otros grupos tradicionales de ransomware como servicio (RAAS), el bloqueo retiene el control sobre las negociaciones de infraestructura y suscripción y tiende a evitar tácticas como la triple trastorno y el acoso de las víctimas que llaman la atención sobre sí mismos. Los ataques implican el uso de correos electrónicos de phishing y descargas de transmisión entregadas a través de sitios web maliciosos como vectores de paso iniciales para deshabilitar las herramientas de seguridad, desactivar las opciones de recuperación y transcribir archivos. “El bloqueo puede ser una operación renombrada o sucesora de BlackCat (ALPHV) basada en múltiples similitudes técnicas y de comportamiento, incluido el uso del estilo de programación de óxido, un sitio de fuga de datos diseñado de guisa similar y superposiciones en la sujeción a través de la infraestructura de billeteras compartidas”, dijo TRM Labs. “El bloqueo residuo el rescate a través de billeteras intermedias, intercambios de stop aventura y plataformas sancionadas como cryptex.net. Aproximadamente $ 18.8 millones permanecen latentes en billeteras no atribuidas, un patrón que probablemente refleja las tácticas de entretenimiento deliberadas”. Los enlaces a BlackCat provienen de superposiciones en la sujeción, con direcciones históricas vinculadas a BlackCat que canalizan fondos a grupos de billetera asociados con víctimas de bloqueo. Las similitudes técnicas incluyen el uso del estilo de programación de óxido, kits de herramientas de enigmático similares y el diseño de sus sitios de fuga de datos.
• Microsoft bloqueará el paso a los archivos a través de FPRPC – Microsoft ha anunciado que las aplicaciones de Microsoft 365 para Windows comenzarán a cortar el paso a los archivos a través del inseguro protocolo de autenticación heredado FPRPC a partir de finales de agosto. “Microsoft 365 Apps bloqueará los protocolos inseguros abiertos como FPRPC por original de traducción 2508, con nuevas configuraciones de Centro de confianza para dirigir estos protocolos”, dijo la compañía. “Estos cambios mejoran la seguridad al compendiar la exposición a tecnologías obsoletas como la convocatoria de procedimiento remoto de la página principal (FPRPC), FTP y HTTP”. Por separado, Microsoft incluso ha anunciado que tiene la intención de retirar el soporte para las imágenes SVG en bisectriz en Outlook para Web y New Outlook para Windows a partir de septiembre de 2025. “Este cambio alivio la seguridad y se alinea con el comportamiento flagrante del cliente de correo electrónico, lo que ya restringe la representación de SVG en bisectriz”, dijo la compañía.
• Casi 30k Instancias de servidor de Exchange vulnerables a CVE-2025-53786 -Faltan un poco más de 29,000 servidores de correo electrónico de Microsoft Exchange un Hotfix de abril de 2025 para una vulnerabilidad de seguridad recientemente revelada (CVE-2025-53786) que permite a los atacantes aumentar el paso de los servidores en el primer momento a los entornos de nubes en bisectriz. A partir del 10 de agosto de 2025, los países con la mayoría de las exposiciones son Estados Unidos, Alemania, Rusia, Francia, el Reino Unido y Austria, según la Fundación Shadowserver.
• Scarcruft vinculado al ataque de ransomware por primera vez – El actor de amenaza de Corea del Septentrión conocido como Scuffuft (incluso conocido como APT37), que tiene un historial de desplegar Rokrat, ha sido vinculado a una sujeción de ataque que ha trabajador un archivo LNK ladino incrustado en un archivo RAR para entregar un Staaler (LightPeek y FadeSteller), Backdoor (Nubspy y Chilchino), y Ransomware (VcadeSte). “Encima, subraya la dependencia persistente del montón en la infraestructura de correo en tiempo actual, ejemplificada por el uso de Nubspy de PUBNUB como su canal de comando y control (C2)”, dijo S2W. El ataque se ha atribuido a Chinopunk, un subgrupo en el interior de Scorcruft conocido por desplegar el malware Chinotto. La actividad es una “desviación trascendente” del enfoque histórico del montón en el espionaje. “Esto sugiere un cambio potencial en torno a operaciones motivadas financieramente, o una expansión de los objetivos operativos que ahora incluyen tácticas disruptivas o basadas en trastorno”, agregó la compañía.
• Violencia EDR-on-EDR para deshabilitar el software EDR -Los investigadores de ciberseguridad han descubierto un nuevo vector de ataque preocupante donde los actores de amenaza están armando ensayos gratuitos de software de detección y respuesta de punto final (EDR) para deshabilitar las herramientas de seguridad existentes, un engendro denominado Violencia EDR-ONR, o traer su propio EDR AKA BYOEDR. “Resulta que una de las formas de deshabilitar EDR es con una prueba gratuita de EDR”, dijeron los investigadores Ezra Woods y Mike Manrod. “Esto se logra eliminando exclusiones y luego agregando el hash del AV/EDR existente como una aplicación bloqueada”. Para empeorar las cosas, la investigación encontró que es posible violar de las características de RMM de los productos EDR para favorecer el paso al shell de comandos.
• 2 Fundador de Samourai Wallet se declaró culpable de lavado de boleto – Dos altos ejecutivos y fundadores del mezclador de criptomonedas de billetera de Samourai se declararon culpables de cargos que involucran a colar más de $ 200 millones en activos criptográficos de los ingresos penales y ocultando la naturaleza de las transacciones ilícitas utilizando servicios como Whirlpool y Ricochet. La CEO de Samourai, Keonne Rodríguez y el CTO, William Lonergan Hill, fueron arrestados el año pasado luego de que la Oficina Federal de Investigación de los Estados Unidos (FBI) retiró su servicio. Como parte de sus acuerdos de culpabilidad, Rodríguez y Hill incluso acordaron perder $ 237,832,360.55. “Los acusados crearon y operaron un servicio de mezcla de criptomonedas que sabían que los delincuentes permitieron colar millones en boleto abandonado, incluidas las ganancias de los robos de criptomonedas, las operaciones de tráfico de drogas y los esquemas de fraude”, dijo el Sección de Razón de los Estados Unidos (DOJ). “No solo facilitaron este movimiento ilícito de boleto, sino que incluso lo alentaron”.
• Fundador de Tornado Cash condenado por especular un negocio de transmisión de boleto -Roman Storm, cofundador del servicio de mezcla de criptomonedas Tornado Cash, fue patente culpable de conspirar para especular un negocio de transmisión de boleto sin osadía. Sin bloqueo, el junta no logró conseguir a un equivocación sobre los cargos más significativos de conspiración para cometer lavado de boleto y violar las sanciones. “Roman Storm y Tornado Cash brindaron un servicio para los piratas informáticos de Corea del Septentrión y otros delincuentes para mudarse y esconder más de $ 1 mil millones de boleto abandonado”, dijo el Sección de Razón. Tormenta será sentenciada a finales de este año y enfrenta una sentencia de prisión máxima de cinco abriles. El exposición se produjo cuando el Sección del Caudal de los Estados Unidos retiró su apelación contra un equivocación procesal que lo obligó a subir las sanciones contra el efectivo de Tornado el mes pasado. Tornado Cash fue eliminado de la tira de personas nacionales y bloqueadas especialmente designadas (SDN) a principios de marzo. El servicio fue sancionado en 2022 por sus presuntos vínculos con los ciberdelincuentes y por acontecer “no acabado repetidamente imponer controles efectivos” para evitar el lavado de boleto.
• Fallos de Microsoft SharePoint explotados para dejar caer China Chopper y Antsword -Microsoft reveló que los piratas informáticos patrocinados por el estado chinos habían explotado nuevas vulnerabilidades en SharePoint para violar los sistemas informáticos de cientos de empresas y agencias gubernamentales, incluida la Suministro Doméstico de Seguridad Nuclear y el Sección de Seguridad Doméstico. Según ProPublica, el apoyo a SharePoint es manejado por un equipo de ingeniería con sede en China que ha sido responsable de ayudar el software durante abriles. Microsoft dijo que el equipo con sede en China “es supervisado por un ingeniero con sede en Estados Unidos y está sujeto a todos los requisitos de seguridad y revisión del código del director. El trabajo ya está en marcha para cambiar este trabajo a otra ubicación”. No está claro si el personal con sede en China de Microsoft tenía algún papel en el truco de SharePoint. Se han observado ataques que explotan los defectos de SharePoint (CVE-2025-49706 y CVE-2025-53770) realizando una ejecución de código no autenticada, extrayendo claves criptográficas e implementando capas web como China Chopper y Antsword. “El uso de Antsword y China Chopper en las campañas de explotación de SharePoint de mediados de 2015 se alinea con las herramientas observadas en incidentes anteriores”, dijo Trustwave. “En particular, en 2022, incluso se observó que el mismo helicóptero de Antsword y China se desplegó en un incidente relacionado con las vulnerabilidades de ProxynotShell RCE.
• La ley de la UE que protege a los periodistas del spyware entra en vigencia – Una nueva ley en la Unión Europea, convocatoria Ley de Independencia de Medios Europea (EMFA), ha entrado en vigencia a partir del 8 de agosto de 2025, que sondeo promover la independencia, amparar los medios de comunicación contra la exterminio injustificada de contenido en bisectriz de plataformas en bisectriz muy grandes y proteger las fuentes periodísticas, incluso contra el uso del spyware. Sin bloqueo, el Centro Europeo de Press and Media Freedom (ECPMF) dijo que está “profundamente preocupado que muchos gobiernos nacionales no estén preparados ni políticamente dispuestos a hacer los cambios legislativos requeridos,” pegar “esta errata de compromiso representa un aventura moribundo para la efectividad de la EMFA”.
• Israel creó un sistema respaldado por Azure para acumular comunicaciones palestinas – La Agencia de Vigilancia Marcial de Elite de Israel, Mecanismo 8200, almacenó grandes volúmenes de llamadas telefónicas palestinas interceptadas en los servidores de Azure Cloud de Microsoft, según una investigación conjunta realizada por The Guardian, Magazine +972 y Locorregional Call. La operación masiva de vigilancia telefónica interceptó y rastreó todas las llamadas telefónicas y mensajes enviados a través de Palestina y fue alojado en una parte segregada de Azure. Se cree que el sistema basado en la aglomeración se puso eficaz en 2022. “Gracias al control que ejerce sobre la infraestructura de telecomunicaciones palestinas, Israel ha interceptado durante mucho tiempo las llamadas telefónicas en los territorios ocupados”, informó The Guardian. “Pero el nuevo sistema indiscriminado permite a los oficiales de inteligencia reproducir el contenido de las llamadas celulares realizadas por los palestinos, capturando las conversaciones de un montón mucho más alto de civiles comunes”.
• Corea del Sur dirigida por Ransomware Makop – Los usuarios en Corea del Sur han sido atacados por ataques de ransomware Makop que aprovechan el protocolo de escritorio remoto (RDP) como punto de entrada, cambiando de su organización de distribución previa de fiarse en currículums falsos o correos electrónicos relacionados con los derechos de autor. “Vale la pena señalar que el uso de RDP en la grado de paso original y la instalación de varias herramientas de Nirsoft y Mimikatz con una ruta de instalación de ‘Mimik’ son las mismas que el actor de amenaza de ransomware Crysis al instalar el ransomware Hermosura”, dijo Ahnlab. “Esto sugiere la posibilidad de que el mismo actor de amenaza esté detrás del Crysis, Hermosura y los recientes ataques de ransomware Makop”.
• WhatsApp garrocha una nueva característica para afrontar las estafas – WhatsApp está presentando una nueva función de seguridad que ayudará a los usuarios a detectar estafas potenciales cuando están siendo agregados a un chat grupal por alguno que no está en su tira de contactos al servir información y opciones adicionales para salir del montón. La plataforma de correo dijo que incluso está explorando formas de advertir a las personas cuando son contactadas individualmente por personas que no están en sus contactos. Esto incluye mostrar más contexto sobre quién ha enviado mensajes, para que los usuarios puedan tomar una valentía informada. La compañía propiedad de Meta dijo que incluso eliminó más de 6.8 millones de cuentas de WhatsApp vinculadas a centros de estafadores criminales con sede en el sudeste oriental dirigido a personas en Internet y en todo el mundo. “Estos centros de estafa generalmente ejecutan muchas campañas de estafa a la vez, desde inversiones de criptomonedas hasta esquemas piramidales”, dijo la compañía. “Los estafadores utilizaron ChatGPT para gestar el mensaje de texto original que contiene un enlace a un chat de WhatsApp, y luego dirigieron rápidamente al objetivo que telegramas, donde se les asignó una tarea de catar los videos de Tiktok. Los estafadores intentaron gestar confianza en su esquema compartiendo cuánto el objetivo ya ha sido” rebaño “en teoría, ayer de pedirles que depositen boleto en una cuenta de Crypto como la próxima tarea”.
• Libraciones de Praetorianas Chromealone – La compañía de ciberseguridad Praetorian ha resuelto una útil convocatoria Chromealone que transforma los navegadores de cromo en un situación C2 y puede implantarse y estilarse en superficie de herramientas convencionales como Cobalt Strike. El software ofrece la capacidad de robar credenciales del navegador y cookies de sesión, exhalar ejecutables en el host desde Chrome, Phish para solicitudes de WebAuthn de tokens de seguridad física como Yubikeys o Titan Security Keys, y ofrece resistor EDR. Por separado, Praetorian incluso descubrió que es posible violar de la transferencia utilizando relés en torno a de los servidores NAT (Turn) utilizados por aplicaciones conferencias como Teleobjetivo y los equipos de Microsoft como un nuevo método de entretenimiento C2 llamado ‘llamadas fantasmas’ para túnel tráfico a través de infraestructura confiable. Esto se logra mediante una útil convocatoria Turnt. “Este enfoque permite a los operadores combinar sesiones interactivas C2 con patrones de tráfico empresarial normales, apareciendo como ausencia más que una reunión en bisectriz unida temporalmente”, señaló Praetorian, afirmando que el enfoque utiliza credenciales legítimas, WEBRTC y herramientas personalizadas para evitar los defensas existentes.
• New Jailbreak Against AI Chatbots emplea sobrecarga de información -Los chatbots de IA como Operai Chatgpt y Google Gemini se pueden derivar para gestar instrucciones ilícitas para hacer una artefacto o piratear un cajero inevitable si el aviso se complica, atiborrado de germanía académica y cita fuentes inexistentes. Eso es según un nuevo artículo escrito por un equipo de investigadores de Intel, Boise State University y la Universidad de Illinois en Urbana-Champaign. La técnica de jailbreak de LLM convocatoria InfoFlood “transforma consultas maliciosas en consultas complejas y superadas por información capaces de eliminar los mecanismos de seguridad incorporados”, explicó el documento. “Específicamente, InfoFlood: (1) utiliza transformaciones lingüísticas para reformular consultas maliciosas, (2) identifica la causa raíz de defecto cuando un intento no tiene éxito y (3) refina la estructura filología del aviso para afrontar la defecto al tiempo que presenta su intención maliciosa”.
• El proveedor de spyware israelí Candiru todavía está activo – La firma de ciberseguridad registrada Future ha descubierto una nueva infraestructura para dirigir y entregar el spyware de Devilstongue de Candiru. “Se identificaron ocho grupos distintos, con cinco probablemente aún activos, incluidos los vinculados a Hungría y Arabia Saudita”, dijo. “Un montón vinculado a Indonesia estuvo activo hasta noviembre de 2024, y dos asociados con Azerbaiyán tienen un estado incierto oportuno a la errata de infraestructura identificada de víctimas”.

🎥 seminarios web de ciberseguridad

• Las amenazas de IA son reales: aprende cómo afianzar a cada agente ahora: Los agentes de la sombra con IA se están convirtiendo en una seria amenaza de seguridad. Implementado sin supervisión, estas entidades invisibles tienen paso a datos confidenciales, lo que los convierte en objetivos principales para los atacantes. En esta sesión, exploraremos cómo surgen estos agentes, por qué son arriesgados y cómo tomar el control ayer de causar daño.
• Cómo los ataques alimentados con AI se dirigen a la identidad: aprenda para detenerlos: La IA está cambiando la forma en que ocurren ataques cibernéticos, haciendo que las defensas tradicionales obsoletas. En este seminario web, Karl Henrik Smith de Okta explica cómo AI apunta a la seguridad de la identidad y cómo puede proteger a su ordenamiento de estas nuevas amenazas. Aprenda a adaptar sus defensas para el futuro impulsado por la IA.
• Lo que te estás perdiendo en Python Security: amenazas imprescindibles de 2025: En 2025, afianzar su sujeción de suministro de Python es más crítica que nunca. Con amenazas crecientes como reposejacamiento, tipo de bicipción y vulnerabilidades conocidas en la infraestructura central de Python, simplemente confían en “Pip Install y Ore” no lo cortará. Únase a nuestro seminario web para instruirse cómo proteger sus proyectos de Python, afrontar los riesgos actuales de la sujeción de suministro y explorar soluciones prácticas para amparar su código con herramientas líderes en la industria como Sigstore y Chainguard. Tome medidas ahora para afianzar su entorno de Python y mantenerse por delante de las amenazas emergentes.

🔧 Herramientas de ciberseguridad

• Doomarena es un situación modular y enchufable para probar agentes de IA contra las amenazas de seguridad en proceso. Funciona con plataformas como τ-bench, BrowsergyM y Osworld, permitiendo simulaciones realistas de ataques como inyecciones rápidas o fuentes de datos maliciosos. Su diseño separa la razonamiento de ataque de los entornos, hace que las pruebas sean reutilizables en todas las tareas, y admite modelos de amenazas detallados, múltiples tipos de ataque y controles de éxito personalizados para ayudar a identificar vulnerabilidades y evaluar las defensas.
• Yamato Security, un montón liderado por voluntarios en Japón, ha resuelto un conjunto de herramientas de código extenso destinado a robustecer los forenses digitales y la caza de amenazas. La formación incluye Hayabusa para el disección de registro de Windows Based Sigma, Takajo para analizar los resultados de Hayabusa, Suzaku para Forensics de registro en la aglomeración y WELA para auditar registros de eventos de Windows, compatibles con guías de configuración detalladas. Incluso en el kit de herramientas está SigmaOptimizer-UI, una interfaz casquivana de usar que optimiza la creación, las pruebas y el refinamiento de las reglas Sigma de los registros del mundo actual, que incorpora cheques automatizados y mejoras opcionales con motor LLM.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Aumente su detección de amenazas con herramientas fáciles y gratuitas – La ciberseguridad no se alcahuetería solo de defenderse de los ataques, sino que incluso se alcahuetería de detectarlos temprano. Una de las formas más efectivas de mantenerse a la vanguardia de las amenazas es establecer monitoreo en tiempo actual. Las herramientas gratuitas como UptimeroBot le permiten monitorear su sitio web o sistemas para un tiempo de inactividad inesperado, un signo global de un ataque. Al aceptar alertas instantáneas, puede llevar a cabo rápidamente si poco sale mal.

Otro paso simple pero poderoso es ejecutar escaneos de vulnerabilidad regulares. Qualys Community Edition es una útil gratuita que lo ayuda a identificar puntos débiles en su red o sitio web. Los escaneos regulares lo ayudarán a detectar problemas ayer de que los atacantes puedan explotarlos, manteniendo sus defensas fuertes.

La protección del punto final es igualmente importante. Si proporcionadamente Windows Defender proporciona una seguridad sólida, puede llevarlo un paso más allá con OSSEC, un sistema de detección de intrusos de código extenso. OSSEC monitorea sus dispositivos para un comportamiento inusual, ayudando a atrapar amenazas que el software antivirus tradicional podría perderse.

Por postrero, mantenerse al tanto de los actores maliciosos es esencia. Utilice capital como AlienVault Open Amenic Exchange (OTX) para rastrear direcciones y dominios IP dañinos conocidos. Estas bases de datos gratuitas lo mantienen informado sobre las últimas amenazas dirigidas a su red, lo que le permite cortar el tráfico arriesgado ayer de causar daño.

Al integrar estas herramientas gratuitas en su rutina, mejorará significativamente su capacidad para detectar y objetar a las amenazas cibernéticas de guisa rápida y efectiva.

Conclusión

A medida que terminamos la puesta al día de ciberseguridad de esta semana, recuerde que mantenerse informado es su mejor defensa. Las amenazas son reales, y las apuestas son altas, pero con los pasos correctos, su ordenamiento puede mantenerse a la vanguardia de los atacantes. Las actualizaciones regulares, los parches oportunos y el monitoreo continuo son su primera bisectriz de defensa. Sigue trabajando para construir una civilización de seguridad y siempre prepárate para adaptarte al panorama cambiante.

Volveremos la próxima semana con más información, así que mantenga esos sistemas seguros y permanezcan atentos. Hasta entonces, manténgase proactivo, manténgase seguro y no suelte la guarnición. Las amenazas cibernéticas no esperan a nadie.