Bootkit malware, ataques con IA, infracciones de la cadena de suministro, días cero y más

En un mundo donde las amenazas son persistentes, el serio trabajo de CISO actual no es solo reforzar la tecnología, es preservar la confianza institucional y asegurar la continuidad del negocio.

Esta semana, vimos un patrón claro: los adversarios están apuntando a las relaciones complejas que mantienen a las empresas juntas, desde cadenas de suministro hasta asociaciones estratégicas. Con las nuevas regulaciones y el surgimiento de los ataques impulsados ​​por la IA, las decisiones que tomes ahora darán forma a la resistor de tu estructura en los próximos abriles.

Esto no es solo un síntesis de amenaza; Es el contexto importante que necesitas liderar de guisa efectiva. Aquí está su síntesis semanal completo, ahíto de inteligencia para mantenerlo por delante.

⚡ Amenaza de la semana

El nuevo ransomware hybridpetya omite el comienzo de UEFI Secure – Se ha manido una lectura de imitación del infame malware Petya/Notpetya denominado HybridPetya. Pero no existe telemetría para sugerir que HybridPetya se ha desplegado en la naturaleza todavía. Incluso difiere en un aspecto esencia: puede comprometer la función de comienzo segura de la interfaz de firmware desplegable unificada (UEFI) instalando una aplicación maliciosa. Los atacantes premian los recadero, ya que el malware instalado en ese nivel puede esquivar la detección por aplicaciones antivirus y sobrevivir las reinstalaciones del sistema activo. Con el paso a la UEFI, los piratas informáticos pueden implementar sus propias cargas enseres de modo de kernel. ESET dijo que encontró muestras HybridPetya cargadas en la plataforma Virustotal de Google en febrero de 2025.

🔔 Noticiero principales

• Samsung Patches explotó activamente defectos -Samsung ha animado una decisión para una vulnerabilidad de seguridad que, según él, ha sido explotada en ataques de día cero. La vulnerabilidad, CVE-2025-21043 (puntaje CVSS: 8.8), se refiere a una escritura fuera de los límites que podría dar como resultado una ejecución de código arbitraria. El problema con calificación crítica, según el titán electrónico de Corea del Sur, afecta a las versiones de Android 13, 14, 15 y 16. La vulnerabilidad fue divulgada de guisa privada a la compañía el 13 de agosto de 2025. Samsung no compartió ningún detalle sobre cómo la vulnerabilidad está siendo explotada en ataques y quién puede estar detrás de estos esfuerzos. Sin bloqueo, reconoció que “una exploit para este problema ha existido en la naturaleza”.
• Google Pixel 10 agrega soporte para el en serie C2PA – Google anunció que sus nuevos teléfonos Google Pixel 10 admiten el en serie de procedencia y autenticidad de contenido (C2PA) fuera de la caja para revisar el origen y el historial del contenido digital. El soporte para las credenciales de contenido de C2PA se ha anexo a la cámara Pixel y las aplicaciones de Google Photos para Android. El movimiento, dijo Google, está diseñado para promover la transparencia de los medios digitales. “Pixel 10 teléfonos admiten sellos de tiempo de confianza en el dispositivo, lo que garantiza que las imágenes capturadas con su aplicación de cámara nativa se puedan entregarse en manos a posteriori de que expire el certificado, incluso si fueron capturados cuando su dispositivo estaba fuera de ruta”, dijo Google.
• APT chino implementa malware Eggstreme en ataque dirigido a Filipinas -Se ha utilizado un nuevo entorno de malware llamado Eggstreme en un ataque cibernético contra una compañía marcial filipina atribuida a un orden de piratería respaldado por el gobierno de China. Eggstreme Framework es un conjunto estrechamente integrado de componentes maliciosos que, a diferencia del malware tradicional, opera “con un flujo claro y múltiple diseñado para establecer un punto de apoyo resistente en los sistemas comprometidos”. La puerta trasera ofrece una amplia serie de capacidades, lo que permite a los piratas informáticos inyectar otras cargas enseres, moverse rodeando de la red de una víctima y más. La actividad se observó entre el 9 de abril de 2024 y el 13 de junio de 2025, lo que indica un esfuerzo de un año. Los atacantes aprovecharon los servicios legítimos de Windows para combinar las operaciones normales del sistema y surtir el paso.
• El nuevo malware de Raton se dirige a Android – Un nuevo malware Android llamado Raton ha evolucionado desde una utensilio básica capaz de realizar ataques de retransmisión de comunicación de campo cercano (NFC) a un troyano sofisticado de paso remoto con capacidades de sistema de transferencia automatizado (ATS) para sobrellevar a extremidad fraude de dispositivos. El troyano fusiona las técnicas de retransmisión de NFC, las superposiciones de ransomware y las capacidades ATS, lo que lo convierte en una utensilio potente con objetivos de doble punta: iniciar transferencias de fondos no autorizadas y comprometer cuentas de billeteras de criptomonedas asociadas con MetaMask, Trust, Blockchain.com y Fantom.
• Apple debuta la aplicación de la integridad de la memoria en iPhone Air y 17 -Apple dio a conocer un sistema de seguridad integral llamado Control de integridad de memoria (MIE) que representa una culminación de un esfuerzo de ingeniería de cinco abriles para combatir ataques cibernéticos sofisticados dirigidos a usuarios individuales a través de vulnerabilidades de corrupción de memoria. La tecnología está integrada en los nuevos dispositivos Air iPhone 17 y iPhone de Apple, que cuentan con los chips A19 y A19 Pro. Combina hardware de diseño personalizado con cambios en el sistema activo para entregar lo que Apple describe como protección de seguridad de memoria “primero en la industria y siempre encendida”. Mie funciona asignando cada estancia de la memoria de un iPhone más nueva con una fórmula secreta. Esto significa que solo las aplicaciones con esa fórmula secreta pueden aceptar a esa memoria en el futuro. Si el secreto no coincide, las protecciones de seguridad se activan para asediar la solicitud, terminar el proceso y registrar el evento. Con las vulnerabilidades de corrupción de la memoria que representan algunas de las amenazas más generalizadas para la seguridad del sistema activo, la iniciativa está diseñada principalmente para defenderse de ataques sofisticados, particularmente de los llamados proveedores de software de spyware mesnadero que los aprovechan para entregar software informador a los dispositivos dirigidos a través de ataques cero hechos que no requieren interacción de usuarios. A diferencia de los dispositivos de Google Pixel, donde es una función de desarrollador opcional, Mie estará encendido de forma predeterminada en todo el sistema. Pero las aplicaciones de terceros, incluidas las redes sociales y las aplicaciones de transporte, tendrán que implementar MIE por su cuenta para mejorar las protecciones para sus usuarios. Si admisiblemente ninguna tecnología es a prueba de hack, se prórroga que Mie aumente el costo de desarrollar tecnologías de vigilancia, lo que obliga a las empresas que tienen hazañas de trabajo para retornar a la mesa de dibujo, ya que dejarán de trabajar en los nuevos iPhones.
• Rallies de la comunidad de código extenso contra el ataque de la condena de suministro de NPM – Un ataque de la condena de suministro de software que comprometió varios paquetes de NPM con más de 2 mil millones de descargas semanales se mitigó rápidamente, dejando a los atacantes con pocas ganancias del esquema de afecto de criptomonedas. El incidente ocurrió a posteriori de que algunos de los desarrolladores cayeron para un ataque de phishing de restablecimiento de contraseña de NPM, permitiendo a los actores de amenaza obtener paso a sus cuentas y anunciar paquetes troyanizados con código bellaco para robar la criptomoneda redirigiendo las transacciones a las billeteras bajo su control. Específicamente, el malware reemplaza las direcciones de billetera legítimas con las controladas por los atacantes, utilizando el cálculo de distancia de Levenshtein para nominar la dirección más similar visualmente similar, lo que hace que el intercambio sea casi indetectable a simple presencia. “Los atacantes usaron mal un ofuscador ampliamente conocido, que condujo a la detección inmediata poco a posteriori de que se publicaran las versiones maliciosas”, dijo JFrog. Según los datos de Arkham, los atacantes lograron robar rodeando de $ 1,087. Durante la ventana de dos horas, estaban disponibles para descargar, los paquetes comprometidos fueron retirados por aproximadamente el 10% de los entornos de la montón, según la firma de seguridad en la montón Wiz, que caracterizó el impacto de la campaña como un ataque de “traición de servicio” en la industria que desperdició “innumerables horas de trabajo” para asegurar que el peligro se haya mitigado. “En el caso de NPM, creo que la gran respuesta es la publicación confiable, que incluye el uso de certificación y procedencia”, dijo Charlie Eriksen, investigador de malware de Aikido Security, a The Hacker News. “Una vez que un paquete se vuelve lo suficientemente popular, no debería ser posible anunciar nuevas versiones de él sin el uso de esto, en mi opinión. Usando la publicación de confianza, los mantenedores pueden configurarlo para que la única fuente que pueda anunciar nuevas versiones es que GitHub o GitLab. Esto requiere que todos los flujos de trabajo y controles normales sean los repositorios de origen, como requerir que varias personas revisen una solicitud de linaje ayer de que pueda ser mergerada en la rama regular y hacer que se publiquen una rama regular.

🔥 CVES de tendencia

Los piratas informáticos no esperan. Explotan vulnerabilidades recientemente reveladas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de falta. Una CVE sin parpadear es todo lo que se necesita para cascar la puerta a un compromiso a gran escalera. A continuación se presentan las vulnerabilidades más críticas de esta semana, que hacen olas en toda la industria. Revise la índice, priorice el parche y clausura la ventana de oportunidad ayer que los atacantes.

La índice de esta semana incluye: CVE-2025-21043 (Samsung), CVE-2025-5086 (Dassault Systèmes Delmia Apriso), CVE-2025-54236 (Adobe Commerce), CVE-2025-42944, CVE-2025-42922, CVE-2025-42958 (SAPETWEAVER), CVE-2025-42922, CVE-2025-42958 (SAPETWEAver (NETWEAVER (NETWEAVER (NETWEAVER). CVE-2025-9636 (PGADMIN), CVE-2025-7388 (Progress OpenEdge), CVE-2025-57783, CVE-2025-57784, CVE-2025-57785 (Hiawatha), CVE-2025-9994 (RF BT-AP 111),), CVE-2024-45325 (Fortinet Fortiddos-F CLI), CVE-2025-9712, CVE-2025-9872 (Ivanti Endpoint Manager), CVE-2025-10200, CVE-2025-10201 (Google Chrome), CVE-2025-49459 (trabajo en teleobjetivo por ventanas de Windows), CVE-2025-10198, CVE-2025-10199 (Sunshine for Windows), CVE-2025-4235 (Agente de credencial de ID de agraciado de Palo Suspensión Networks para Windows), CVE-2025-58063 (COREDNS ETCD Plugin), CVE-2025-20340 (CISCO IOS XR), CVE-20252555255552552555525552555 MUNTOS. (Langchaingo) y CVE-2025-24293 (Ruby on Rails).

📰 rodeando del mundo cibernético

• VS Código, cursor y usuarios de Windsurf dirigidos por Whitecobra – Un actor de amenaza conocido como Whitecobra está dirigido a los usuarios de Visual Studio Code, Cursor y Windsurf con 24 extensiones maliciosas en el Mercado de Visual Studio y el Registro Open VSX. Se cree que el mismo actor de amenaza está detrás de otras extensiones de código VS que se disfrazó de el lengua de programación de solidez para entregar malware de Stealer, lo que lleva al robo de rodeando de $ 500,000 en activos criptográficos de un desarrollador ruso. El objetivo final de la campaña es promover las extensiones en las plataformas de redes sociales como X, los desarrolladores de trucos para instalarlas y exfiltrar frases de billetera de criptomonedas con fines de interés con Lumma Stealer. Según un obra de jugadas interno filtrado, los actores de amenaza, los ciberdelincuentes, establecen proyecciones de ingresos entre $ 10,000 y $ 500,000, proporcionan guías de configuración de infraestructura de comando y control (C2) y describen estrategias de promoción de la ingeniería social y la promoción de marketing. La actividad asimismo implica ejecutar scripts automatizados para producir 50,000 descargas falsas para pruebas sociales. “Al fingir un número masivo de descargas, continúan engañando a los desarrolladores, y a veces incluso los sistemas de revisión del mercado, para pensar que sus extensiones son seguras, populares y examinadas”, dijo Koi Security. “Para un observador casual, 100k instala la licitud de las señales. Eso es exactamente lo que cuentan”.

• Mamont Banking Trojan prominente en el segundo trimestre de 2025 – Kaspersky dijo que detectó un total de 42,220 paquetes de instalación asociados con troyanos de banca móvil en el segundo trimestre de 2025, por debajo de 49,273 en el primer trimestre de 2025. “La masa de los paquetes de instalación de troyanos de banca móvil todavía consiste en diversas modificaciones de Mamont, que cuenta por 57.7%”, dijo el vendor cibernético de cibuerzos rusos. Incluso prevalecieron que los usuarios en Türkiye, recompensas, que estuvo activo en India, y Pylcasa, un nuevo tipo de cuentagotas distribuido en Brasil. “Se infiltran en el conjunto de Google al disfrazarse de aplicaciones simples, como calculadoras, pero una vez lanzadas, abren una URL proporcionada por actores maliciosos, similares a los troyanos de la grupo Fakemoney”, agregó. “Estas URL pueden conducir a sitios web ilegales de casinos o páginas de phishing”.
• WhatsApp ex superior de seguridad de la demanda de archivos de seguridad – Attaullah Baig, el ex superior de seguridad de Whatsapp, presentó una demanda acusando a la compañía de ignorar los problemas sistémicos de privacidad y seguridad que supuestamente ponían en peligro la información de los usuarios, según el New York Times. La demanda de WhatsApp alega que aproximadamente 1,500 ingenieros de WhatsApp tenían paso sin restricciones a los datos del agraciado, incluida la información personal confidencial, y que los empleados “podrían mover o robar dichos datos sin detección o pista de auditoría”. Baig asimismo supuestamente notificó a la reincorporación gestión de las preocupaciones de raspado de datos en la plataforma que permite que se raspen imágenes y nombres de unos 400 millones de perfiles de agraciado, a menudo para su uso en las estafas de suplantación de la cuenta. Meta ha disputado las acusaciones, afirmando que este es un caso de un ex empleado que “se hace manifiesto con afirmaciones distorsionadas que tergiversan el arduo trabajo en curso de nuestro equipo” a posteriori de ser despedido por un mal desempeño.
• Spyware que se encuentra en los teléfonos pertenecientes a los cineastas de Kenia – Las autoridades de Kenia han sido acusadas de instalar Spyware en los teléfonos de dos cineastas, Bryan Adagala y Nicholas Wambugu, quienes ayudaron a producir un documental sobre el motín rozagante del país. Los cineastas fueron arrestados en mayo de 2025 y lanzados un día a posteriori, pero sus teléfonos fueron confiscados y no devueltos hasta el 10 de julio. Se cree que las autoridades kenianas instalaron una aplicación comercial de spyware indicación Flexispy, que puede morder llamadas, colocar ubicaciones, escuchar a través de micrófonos, descargar fotos y capturar correos electrónicos y mensajes de texto.
• Ataques de DDoS masivos evitados -Un proveedor de servicios de mitigación de DDOS en Europa fue atacado en un ataque masivo de denegación de servicio distribuido que alcanzó 1.500 millones de paquetes por segundo. Según Fastnetmon, el ataque se originó a partir de miles de enrutadores IoT y Mikrotik. “El ataque llegó a 1.500 millones de paquetes por segundo (1.5 GPP), una de las inundaciones de tasa de paquetes más grandes reveladas públicamente”, dijo. “El tráfico bellaco fue principalmente una inundación de UDP puyazo por equipos comprometidos con las instalaciones de clientes (CPE), incluidos los dispositivos y enrutadores IoT, en más de 11,000 redes únicas en todo el mundo”. En un crecimiento relacionado, Qrator dijo que detectó y bloqueó el 1 de septiembre de 2025, un ataque a gran escalera realizado por lo que describió como la “botnet DDOS más prócer observada hasta la época”. El ataque se dirigió a una entidad no identificada en el sector oficial. La botnet, que compromete 5,76 millones de direcciones IP, ha existido desde el 26 de marzo de 2025, cuando tenía rodeando de 1.33 millones de direcciones IP. “La decano parte del tráfico bellaco todavía provino de Brasil (1.41m), Vietnam (661k), Estados Unidos (647k), India (408k) y Argentina (162K)”, dijo.
• Ransomware Safepay detallado -Safepay se ha descrito como una operación de ransomware mucho discreta que no funciona como una operación de ransomware como servicio (RAAS). “Excluyendo un sitio de fuga de datos (DLS) que nombra a las víctimas, no hay evidencia de un foro o comunidad forastero que permita al orden ampliar sus interacciones más allá del contacto de la víctima”, dijo Bitdefender. “Parece que no hay correspondencia con los actores públicos u otras amenazas y los posibles reclutas”. Desde el eclosión del año, el orden ha reclamado 253 víctimas, con la mayoría de ellas ubicadas en los Estados Unidos, Alemania, Gran Bretaña y Canadá.
• DOJ cobra a TyMoshchuk por ataques de ransomware – El Sección de Ecuanimidad de los Estados Unidos (DOJ) acusó a Ucranian National Volodymyr Viktorovich TyMoshchuk (asimismo conocido como Deadforz, Boba, MSFV y Farnetwork) por su papel de administrador del LockGoGa, Megacortex y Nefilim Ransomware Operations entre diciembre de 2018 y octubre 2021 “. extorsionó más de 250 empresas en los Estados Unidos y cientos más en todo el mundo “, dijo el Sección de Ecuanimidad. “TyMoshchuk y los otros administradores de Nefilim proporcionaron a otros afiliados de ransomware nefilim, incluido el co -defensor Artem Stryzhak, quien fue extraditado de España y enfrenta cargos en el Distrito Uruguayo de Nueva York, con paso a la nefilim software a cambio de un 20 por ciento de los ingresos de los ingresos por el cento de las víctimas de nefilimes”. “.”. “.”. “.”. TyMoshchuk está destacado de dos cargos de conspiración para cometer fraude y actividad relacionada en relación con las computadoras, tres cargos de daño intencional a una computadora protegida, un cargo de paso no competente a una computadora protegida y un cargo de transmitir una amenaza para revelar información confidencial. En 2023, el Categoría-IB asimismo vinculó a TyMoshchuk con Jsworm, Karma, Nokoyawa y Nemty Ransomware Gangs. Tymoshchuk, descrito como un “criminal de ransomware en serie”, sigue siendo un fugitivo, y el Sección de Estado de los Estados Unidos ofrece una premio de $ 11 millones por información que condujo a su arresto u otros conspiradores esencia. Tymoshchuk asimismo ha sido colocado en la índice de fugitivos más buscados de Europa por Francia, lo que alegó que las actividades de su orden condujeron a daños por valencia de $ 18 mil millones, lo que lo calificó “peligroso”.
• Kosovo National se declara culpable de pasar Blackdb.cc – Liridon Masurica, un ciudadano de Kosovo que fue arrestado en diciembre de 2024 y extraditado a los Estados Unidos en mayo, se declaró culpable de ejecutar BlackDB.CC, un mercado de delitos cibernéticos que ha estado activo desde 2018 “. Florida “, dijo el Sección de Ecuanimidad. “Una vez comprados, los ciberdelincuentes usaron los artículos comprados en BlackDB.CC para simplificar una amplia serie de actividades ilegales, que incluyen fraude fiscal, fraude con maleable de crédito y robo de identidad”. Se enfrenta hasta 10 abriles de prisión. Todavía no se ha establecido una época de sentencia.
• El DOJ investigación la pérdida de $ 5 millones robada en estafas de intercambio SIM — The DoJ filed a civil forfeiture complaint against over $5 million in bitcoin (BTC), which are alleged to be ill-gotten gains from multiple SIM swap attacks targeting five victims across the US between October 29, 2022, and March 21, 2023. “The perpetrators of these thefts utilized a SIM swapping technique that allowed the perpetrators to authenticate their unauthorized access to the victims’ cryptocurrency cuentas y transferir los fondos de la víctima a cuentas controladas por perpetradores “, señaló el DOJ. “Posteriormente de que cada uno de los cinco robos ocurrió, los perpetradores trasladaron los fondos robados a través de múltiples billeteras de criptomonedas y finalmente los consolidaron a una billetera que financió una cuenta en Stake.com, un casino en ruta. Muchas de estas transacciones fueron circulares en el sentido de que finalmente devolvieron fondos a su fuente flamante, y consistentes con el moneda utilizado con la puertas de moneda utilizadas a la” actividad criminal de lavado “.”.
• La nueva campaña de phishing se dirige a Google Workspace -Los investigadores han descubierto una nueva campaña de phishing dirigida a organizaciones de Google Workspace a través de correos electrónicos fraudulentos de la marca de la hoja de aplicaciones. El ataque ilustra cómo los controles de seguridad tradicionales se vuelven inútiles cuando los atacantes abusan de la infraestructura legítima para entregar contenido bellaco que navega más allá de cada filtro de seguridad desplegado. “La dependencia de marcas comúnmente utilizadas o conocidas en ataques de ingeniería social no es falta nuevo, sin bloqueo, estos ataques siguen siendo sobrado efectivos”, dijo Erich Kron, defensor de la conciencia de seguridad en KnowBe4. “Emplear las marcas que son conocidas por las posibles víctimas explotan la confianza de que estas marcas han trabajado tan duro para establecer. Este tipo de ataques están destinados a mezclarse con actividades diarias normales, aumentando aún más el nivel de confianza de la víctima potencial. Al usar una plataforma que envía desde una fuente conocida y confiable, muchos filtros y controles técnicos se besan y se eliminan una bandera roja esencia de la plataforma potencial”.
• Toolshell SharePoint Exploit Chain detallada – Los investigadores de ciberseguridad compartieron información técnica sobre los defectos de SharePoint conocidos como Shell de herramientas que estuvo bajo explotación activa en julio de 2025. Algunos de estos ataques han llevado al despliegue de Warlock, un derivado personalizado de Lockbit 3.0. El orden hizo su iniciación manifiesto en el Foro de Rampa en idioma ruso a principios de junio de 2025. “En un corto período de tiempo, el actor de amenazas detrás de Warlock evolucionó de un anuncio de foro audaz a una amenaza de ransomware entero en rápido crecimiento, preparando el círculo para campañas aún más sofisticadas. Las vulnerabilidades afectan el servidor de SharePoint 2016, 2019 y la tirada de suscripción, lo que permite la ejecución de código remoto no autenticado y los derivaciones de seguridad. “La condena de vulnerabilidad de la costa de herramientas representa una de las amenazas de seguridad de SharePoint más críticas observadas en los últimos abriles”, dijo Trellix. “La combinación de ejecución de código remoto no autenticado y el robo de esencia criptográfica crea una tormenta perfecta para el compromiso persistente y el movimiento adjunto”.
• Nuevos dominios de envenenamiento marcados – Se han identificado nuevos dominios como vinculados a la intoxicación, un actor de amenaza de motivación financiera conocido por sus operaciones de phishing. “Estos dominios falsifican principalmente la plataforma de correo electrónico SendGrid y probablemente intentan comprometer las credenciales empresariales de los clientes de SendGrid”, dijo Domainteols. “Muestran intersticiales falsos de Cloudflare Captcha para amplificar licitud a los dominios maliciosos ayer de redirigir a los usuarios específicos a las páginas de phishing”.
• Salat Stealer Spotted – Se ha detectado un nuevo robador de información llamado Salat Stealer (asimismo conocido como Web_Rat o Webrat) en la naturaleza. Escrito en Go, el robador se ofrece bajo un maniquí de malware como servicio (MAAS) por actores de deje rusa. “El malware exfiltra las credenciales del navegador, los datos de la billetera de criptomonedas y la información de la sesión mientras emplea técnicas de diversión destacamento, incluido el embalaje de UPX, disfrazamiento de procesos, claves de ejecución de registros y tareas programadas”, dijo Cyfirma. Se evalúa que el malware es el trabajo de un actor de amenaza conocido como Nyashteam, que asimismo es conocido por traicionar DCRAT, según la compañía de seguridad cibernética rusa F6.
• Plex insta al cambio de contraseña a posteriori de la violación -Plex instó a los usuarios a cambiar su contraseña, habilitar la autenticación de dos factores y cerrar la sesión de cualquier dispositivo conectado que ya se registre a raíz de un incidente de seguridad en el que se accedió a una cojín de datos por un “subconjunto condicionado” de una cojín de datos no autorizada “. La compañía dijo que no se expusieron datos financieros.
• Tor Project publica la aplicación Oficial de Android VPN – Los mantenedores del esquema TOR han animado una aplicación VPN oficial que permite a los usuarios de Android enrutar todo su tráfico a través de la red Tor.
• Fallas en la aplicación Viidure -Las cámaras corporales emitidas por la policía se han convertido en herramientas prevalentes para morder encuentros de aplicación de la ley. Pero un estudio flamante ha descubierto opciones de diseño preocupantes en un sistema financiero que compromete la privacidad y la integridad de los datos. Se encontró que la aplicación móvil Viidure, diseñada para transferir evidencia de video desde el punto de paso Wi-Fi a costado de la cámara a los servidores en la montón, se comunica a través de un puerto TLS no en serie, dirigiendo información confidencial a servidores en la montón con sede en China. “Esta intercepción de tráfico sería preocupante para cualquier aplicación móvil, pero es especialmente preocupante dada la naturaleza confidencial de los datos de video que se manejan en este caso”, dijo Brown Fine Security.
• Microsoft anuncia planes para eliminar VBScript -Microsoft ha anunciado oficialmente un plan de fases para desaprobar el script Visual Basic (asimismo conocido como VBScript) en Windows, un movimiento que indica un cambio significativo para los desarrolladores, particularmente aquellos que trabajan con Visual Basic para aplicaciones (VBA). El cambio, primero detallado en mayo de 2024, gradualmente eliminará gradualmente el lengua de secuencias de comandos heredados, lo que requiere que los desarrolladores adapten sus proyectos para asegurar la compatibilidad futura.
• Spamgpt vendido en foros de cibercrimen -Un nuevo kit de herramientas de automatización de ataque de correo electrónico basado en AI denominado SPAMGPT se está anunciando en foros subterráneos como un cambio de conjunto para los ciberdelincuentes. “Esta plataforma está diseñada para comprometer los servidores de correo electrónico, evitar filtros de spam y orquestar campañas de phishing masivo con facilidad sin precedentes”, dijo Varonis. “SpamGPT combina el poder de la IA generativa con un conjunto completo de herramientas de campaña de correo electrónico, bajando la barrera para exhalar spam y ataques de phishing a escalera”. El descubrimiento de SPAMGPT es la última evidencia de actores de amenaza que adoptan modelos de idiomas grandes (LLM) y otras herramientas de IA para crear ataques más efectivos.
• Argocd Attack to Exfiltrate Git Credenciales – Una técnica de ataque recientemente revelada permite a los usuarios autenticados interiormente del popular GITOPS Tool Argo CD para exfiltrar las credenciales Git. El método, según Future Sight, explota la resolución DNS interna de Kubernetes para interceptar las credenciales en tránsito, lo que representa un peligro significativo para las organizaciones que dependen de la utensilio de entrega continua. El problema se está rastreando como CVE-2025-55190. Se ha abordado en las versiones v3.1.2, v3.0.14, v2.14.16 y v2.13.9. “Los tokens API con permisos básicos del esquema pueden recuperar todas las credenciales de repositorio asociadas con un esquema a través del punto final de API detallado del esquema”, dijo ArgoCd en un aviso.

• La NASA reduce el paso a los ciudadanos chinos – La Agencia Espacial de los Estados Unidos, la NASA, ha eliminado a los ciudadanos chinos aceptar a sus instalaciones y activos, incluidos aquellos que tienen visas que les permiten residir en los Estados Unidos. La agencia dijo que “ha tomado medidas internas relacionadas con los ciudadanos chinos, incluida la restricción del paso físico y de ciberseguridad a nuestras instalaciones, materiales y redes para asegurar la seguridad de nuestro trabajo”.
• Mr Hamza libera la utensilio DDoS Abyssal -El orden hacktivista antiisraele y pro-palestino conocido como el Sr. Hamza ha desarrollado una utensilio de ataque DDoS con sede en Python indicación Abyssal DDoS. La utensilio ofrece 32 métodos de ataque, dirigidos a varias capas de la red y la pila de aplicaciones, por radware. “Más allá de los diversos métodos de ataque, Profundo DDoS asimismo incluye características destinadas a aumentar la efectividad y la usabilidad de la utensilio”, dijo. “La utensilio genera encabezados de solicitud HTTP aleatorios, como agente de agraciado, acogida y referente, que agrega una capa de ofuscación y puede ayudar a evitar una clasificación simple basada en el encabezado”.
• Vidar Stealer se recupera – Los cazadores de amenazas han observado una nueva campaña de malware que distribuye el robador de Vidar en las últimas semanas utilizando nuevas técnicas de ofuscación. El malware adopta una logística múltiple que utiliza correos electrónicos de phishing, sitios comprometidos o falsos, y campañas malvertidas, lo que le permite entrar a una audiencia más amplia mientras evita las defensas. Por otra parte de intentar esquivar el AMSI y configurar la persistencia utilizando tareas programadas, utiliza perfiles de telegrama para recuperar sus detalles del servidor de comando y control (C2) utilizando un mecanismo de resolución de caída muerta. “El malware combina el sigilo con persistencia al disfrazar su tráfico como ‘PowerShell’ para parecer cierto mientras usa un retroceso exponencial con Jitter para hacer que las conexiones repetidas sean menos notables”, dijo Aryaka. Los errores durante la comunicación se suprimen silenciosamente, reducen los registros y evitan la atención de los defensores. Para asegurar la confiabilidad, reactiva persistentemente las descargas varias veces incluso en entornos inestables. Al mismo tiempo, aleatoriza los directorios y los nombres de archivo, asegurando que cada instancia se vea diferente y dificulta la detección basada en la firma “.
• Kaspersky advierte de grupos de doble propósito dirigido a Rusia -Kaspersky ha ducho sobre los grupos de doble propósito en el panorama de amenazas rusas que exhiben rasgos asociados con hacktivistas y entidades motivadas financieramente. “Utilizan las mismas herramientas, técnicas y tácticas, e incluso comparten infraestructura y fortuna comunes”, dijo Kaspersky. “Dependiendo de la víctima, pueden agenciárselas una variedad de objetivos: exigir un rescate para descifrar datos, causar daños irreparables o filtrar datos robados a los medios. Esto sugiere que estos atacantes pertenecen a un solo orden difícil”.
• Los equipos de Microsoft deseo soporte para alertas de enlaces de phishing – Los equipos de Microsoft alertarán automáticamente a los usuarios cuando envíen o reciban un mensaje privado que contiene enlaces que se etiquetan como maliciosos. “Los equipos escanea automáticamente la URL contra las bases de datos de inteligencia de amenazas para identificar enlaces potencialmente maliciosos”, dijo Microsoft. “Si se detecta un enlace dañino, los equipos muestran advertencias claras tanto al remitente como a todos los destinatarios en la conversación”.
• Microsoft corrige un error de registro de auditoría de copilotos – Microsoft parchó una vulnerabilidad que podría poseer sido explotada para evitar que las interacciones de copilot se registraran en los registros de auditoría. Cuando se le solicitó a Copilot que resumiera un archivo, la entusiasmo se registraría. Pero si se le pidió explícitamente al asistente de IA que no vinculara al documento y que no lo incluya como remisión, la entusiasmo no se registraría, informó Pistachio.
• Fallos en el portal del concesionario de fabricantes de automóviles – Se han descubierto vulnerabilidades severas en el portal del concesionario en ruta de un importante fabricante de automóviles. El investigador de seguridad Eaton Zveare dijo que los errores podrían poseer permitido a los atacantes crear sus propias cuentas de oficina, filtrar la información privada y los datos de los vehículos de sus clientes y irrumpir en sus vehículos. Las vulnerabilidades residían en el sistema de inicio de sesión del portal y fueron parcheados en febrero. Zveare ha opuesto fallas en los sistemas Honda y Toyota.
• Demasía de software de paso remoto Un indicador de pre-ransomware global -Los abusos de software de paso remoto (Anydesk, Atera, Microsoft Quick Assist y Splashtop) y los servicios (RDP, PSEXEC y PowerShell) son los indicadores más comunes de ‘pre-ransomware’, según una nueva investigación de Cisco Talos.
• Hacker finlandés descocado de la prisión – El hacker finlandés Aleksanteri Kivimäki ha sido descocado de la prisión luego de una apelación. Kivimäki irrumpió en el Centro de Psicoterapia Vastaamoamo en 2020 y liberó archivos de pacientes mucho sensibles. Fue arrestado en 2023 y después sentenciado el año pasado a seis abriles de prisión. El tribunal lo liberó, poliedro que era un delincuente por primera vez y que ya había cumplido casi la medio de su sentencia.
• La falta del entorno de electrones se puede usar para evitar las verificaciones de integridad -Una vulnerabilidad recientemente descubierta (CVE-2025-55305) en el entorno de electrones podría permitir a los atacantes eliminar las verificaciones de integridad del código al manipular los archivos de instantáneas V8, habilitando las puestas locales en aplicaciones como Signal, 1Password y Slack. “La mayoría de las aplicaciones de electrones dejan la comprobación de integridad deshabilitada de forma predeterminada, y la mayoría que sí lo habilitan son vulnerables a la manipulación de instantáneas”, dijo Trail of Bits. “Sin bloqueo, las puertas traseras basadas en instantáneas representan un peligro no solo en el ecosistema de electrones, sino asimismo para las aplicaciones basadas en cromosi en su conjunto”.
• Complementos anulados Target WordPress Sitios – Una nueva campaña está utilizando complementos de WordPress “anulados” para sitios web de puerta trasera con cuentas de oficina de Rogue. “Esta campaña es particularmente preocupante porque no solo infecta los sitios web: permite a los atacantes evitar las defensas de seguridad existentes al tiempo que logran un paso persistente, convirtiendo efectivamente a los desarrolladores o propietarios de sitios en colaboradores involuntarios para debilitar las defensas de su propio sitio”, dijo Wordfence.
• China refleja sanciones severas por fallas de seguridad – El gobierno chino propone un paño de mejora a su ley de ciberseguridad que aumentaría las multas por violaciones de datos e introduciría los requisitos de certificación para los productos tecnológicos. Los operadores críticos de infraestructura podrían enredar multas de hasta $ 1.4 millones (¥ 10 millones). Las personas responsables de una violación asimismo podrían enredar multas personales de hasta $ 14,000 (¥ 100,000). La mejora asimismo amenaza sanciones más duras para las empresas que almacenan datos “importantes” en el extranjero.
• Watchdog de las elecciones del Reino Unido dice que tardó 3 abriles en recuperarse de la violación de 2021 – La Comisión Electoral del Reino Unido dijo que ha tomado tres abriles y al menos un cuarto de millón de libras para recuperarse por completo de un truco de agosto de 2021 que vio los detalles privados de 40 millones de votantes a los que accedieron los actores de amenazas chinas. El ataque se atribuyó a un orden de piratería llamado APT31. En julio pasado, la Comisión Electoral fue reprendida por la oficina del Comisionado de Información sobre el omisión de seguridad. “Desde el ataque, hemos realizado cambios en nuestro enfoque, sistemas y procesos para proteger la seguridad y la resistor de nuestros sistemas y continuaremos invirtiendo en esta radio”, dijo la comisión.
• Nueva transformación de Toneshell detectada – Se ha observado que una nueva lectura de la puerta trasera Toneshell se ha desplegado en ataques cibernéticos dirigidos a Myanmar. Si admisiblemente esta transformación no introduce ninguna nueva característica “revolucionaria”, emplea varios trucos de estancamiento y anti-sandboxing diseñados para perder el tiempo, el flujo de control de contaminación, confundir el estudio automatizado y esquivar las cajas de arena livianas. El malware ha sido utilizado históricamente por un vinculo de espionaje chino conocido como Mustang Panda. “El refinamiento continuo de estos métodos de diversión, contiguo con la importancia geopolítica de la región dirigida, refuerza la penuria de una investigación continua y la caza de amenazas para contrarrestar las operaciones cibernéticas”, dijo Intezer.
• El nuevo exploit permite el bypass de firewall – Se ha opuesto que una nueva exploit ideada por Ethiack omite los firewalls de aplicaciones web (WAF) de nueve proveedores al forzar de las técnicas de contaminación de parámetros HTTP para simplificar los ataques de inyección de JavaScript. “Con las tasas de éxito de bypass que aumentan de 17.6% para cargas enseres simples al 70.6% para las cargas enseres de contaminación de parámetros complejos, los datos demuestran claramente que las WAF se basan en la lucha de la coincidencia de patrones para defenderse de los ataques que explotan las diferencias fundamentales en la analización entre las ASA y las aplicaciones web”, dijo la compañía.
• Sanciones del Reservas de los Estados Unidos 19 personas y entidades en relación con las operaciones de estafa – El Sección del Reservas de los Estados Unidos sancionó el lunes a varias personas y negocios asociados con los centros de estafadores cibernéticos en Myanmar y Camboya. Las sanciones apuntan a las entidades que controlan y apoyan los centros de estafadores que controlan y apoyan los centros de estafadores que han llevado a más de $ 10 mil millones en pérdidas de los estadounidenses. Las sanciones apuntan a nueve personas y compañías involucradas en el manejar Shwe Kokko, un centro para los centros de estafa en Myanmar, así como a cuatro individuos y seis entidades por sus roles operando compuestos laborales forzados en Camboya bajo la protección del ya sancionado Karen National Army (KNA). Los centros de estafa en el sudeste oriental están dirigidos por organizaciones de delitos cibernéticos que reclutan trabajadores bajo falsas pretensiones y usan violencia y amenazas de prostitución forzada para obligarlos a estafar a extraños en ruta a través de aplicaciones de transporte o mensajes de texto. “Estas sanciones protegen a los estadounidenses de la amenaza generalizada de las operaciones de estafa en ruta al interrumpir la capacidad de las redes criminales para perpetuar el fraude a escalera industrial, el trabajo forzado, el despotismo físico y sexual y el robo de los ahorros ganados por los estadounidenses”, dijo el Secretario de Estado de los Estados Unidos, Situación Rubio. En un crecimiento relacionado, un hombre de California de 39 abriles, Shengsheng, fue sentenciado a 51 meses de prisión por purificar más de $ 36.9 millones en activos criptográficos vinculados a compuestos de estafas que operan fuera de Camboya. El tribunal asimismo le ordenó sufragar $ 26,867,242.44 en restitución a las víctimas. “El destacado formó parte de un orden de conspiradores que se aprovecharon de los inversores estadounidenses al prometerles altos rendimientos de supuestas inversiones de activos digitales cuando, de hecho, robaron casi $ 37 millones a las víctimas estadounidenses que usan centros de estafadores camboyanos”, dijo el DOJ. “Los centros de estafadores extranjeros, que pretenden ofrecer inversiones en activos digitales, han proliferado, como,”. Ocho conspiradores se declararon culpables hasta el momento, incluidos Daren Li y Lu Zhang.

🎥 seminarios web de ciberseguridad

• Detenga los puntos ciegos de AppSec: asigne cada peligro de código a montón → Unirse a nuestro seminario web en vivo para ver cómo la visibilidad de código a montón cierra las brechas de seguridad ocultas ayer de que atacan los atacantes. Descubrirá cómo la conexión del código y los riesgos en la montón crean una presencia clara para los desarrolladores, DevOps y los equipos de seguridad, por lo que puede aminorar el ruido, solucionar problemas más rápido y surtir sus aplicaciones críticas seguras.
• Pasos probados para construir agentes de IA con fuertes controles de seguridad → Descubra cómo proteger a sus agentes de IA mientras desbloquean su potencial comercial completo. Este seminario web explica qué son los agentes de IA, los nuevos riesgos cibernéticos que introducen y los pasos de seguridad prácticos que mantienen a sus datos y clientes seguros. Obtenga estrategias simples y probadas de los expertos de Auth0 para construir soluciones de IA que se mantengan seguras y confiables a medida que escalan.
• ¿Quién está detrás de los agentes de la IA de la sombra? Exponga las identidades ayer de atacar → Los agentes de AI de sombra se extienden rápidamente a través de nubes y flujos de trabajo, a menudo invisibles. Únase a nuestro seminario web para instruirse cómo detectar estos agentes deshonestos, descubrir las identidades ocultas detrás de ellos y tomar medidas simples para surtir sus operaciones de IA seguras y bajo control.

🔧 Herramientas de ciberseguridad

• Innumefuscation → Es una nueva utensilio gratuita que muestra cómo los piratas informáticos podrían ocultar reglas de correo electrónico dañinas en Microsoft Exchange. Utiliza trucos unicode especiales, como espacios invisibles y trivio parecidas, para advenir más allá de los controles de seguridad normales. Ayuda a los equipos de seguridad y a los administradores de correo electrónico a detectar estas reglas ocultas y mejorar sus defensas.
• Azure AppHunter → una utensilio gratuita de PowerShell que ayuda a detectar permisos riesgosos en Azure. Encuentra directores de servicio o identidades administradas con roles poderosos, como el administrador entero o el propietario de la suscripción, que podrían permitir que los atacantes aumenten el paso. Es útil para los equipos de seguridad, los equipo rojo y los defensores para revisar rápidamente las aplicaciones de Azure y ajustar los permisos ayer de ser abusados.

Descargo de responsabilidad: las herramientas que se presentan aquí se proporcionan estrictamente para fines educativos y de investigación. No se han sometido a auditorías de seguridad completas, y su comportamiento puede introducir riesgos si se usan mal. Ayer de ensayar, revise cuidadosamente el código fuente, pruebe solo en entornos controlados y aplique las salvaguardas apropiadas. Siempre asegúrese de que su uso se alinee con las pautas éticas, los requisitos legales y las políticas organizacionales.

🔒 Consejo de la semana

Construir un sistema de correo de quemador verdaderamente incógnito – Los correos electrónicos en serie de quemador son un peligro. La reutilización de una sola bandeja de entrada para la investigación crea una huella digital, y los servicios temporales a menudo filtran su identidad vivo. Para el serio anonimato, debe construir su propio sistema privado, inútil de rastrear y totalmente bajo su control.

Aquí le mostramos cómo arquitectarlo como un profesional:

1. Posee su infraestructura: Obtenga un dominio nuevo y objetivo y úselo exclusivamente para su correo de quemador. Aloje su servidor de correo (como Postfix) en infraestructura anónima separada. Use DNSSEC para reforzar su dominio y configurar las políticas estrictas de SPF, DKIM y DMARC para demostrar que sus correos electrónicos son legítimos y no se pueden falsificar.
2. Automatizar todo: Cree una dirección de correo electrónico única para cada sitio web o registro. Esto evita que los sitios se vinculen a su actividad. Configure su sistema para crear automáticamente estas direcciones y desarrollar reglas para eliminar instantáneamente cualquier apelativo que comience a percibir spam.
3. Bloquee sus datos: Reenvíe todo el correo a su bandeja de entrada vivo utilizando el secreto de extremo a extremo (como OpenPGP). Esto asegura que nadie pueda analizar su correo, incluso si su servidor está comprometido. Por otra parte, configure su sistema para eliminar toda la información de identificación de los encabezados de correo electrónico, como su zona horaria o cliente de correo, para que su rastrillo digital se enfríe.
4. No dejar rastrillo: El extremo paso es deshacerse de sus registros. Una regla esencia de buena seguridad no es resumir datos que no necesita. Registre solo el insignificante para el monitoreo, y luego purga automáticamente todo en un horario regular. Esto hace que sea inútil para un atacante reparar su actividad pasada.

Posteriormente de este enfoque, convierte un simple correo electrónico de quemador en un servicio de identidad forense resiliente, manteniéndolo en control y sus acciones en ruta verdaderamente privadas.

Conclusión

A medida que cerramos el obra esta semana, considere esto: las amenazas más peligrosas no son las que parcheas, pero las que aún no ves. Los patrones que hemos discutido, desde las hazañas de la condena de suministro hasta la armas de la IA, no son eventos aislados; Son vislumbres en un futuro donde la defensa exige más que solo soluciones técnicas. Requiere un cambio fundamental en la logística, centrarse en la resiliencia, la confianza y el medio ambiente humano. El serio trabajo comienza ahora.