Campañas APT, secuestros de navegador, malware de IA, infracciones en la nube y CVE críticos

Las amenazas cibernéticas ya no aparecen una a la vez. Están en capas, planean y a menudo permanecen ocultos hasta que es demasiado tarde.

Para los equipos de ciberseguridad, la secreto no es solo reaccionar a las alertas, está detectando signos tempranos de problemas antiguamente de que se conviertan en amenazas reales. Esta aggiornamento está diseñada para ofrecer ideas claras y precisas basadas en patrones y cambios reales que podemos efectuar. Con los sistemas complejos de hoy, necesitamos un observación enfocado, no ruido.

Lo que verá aquí no es solo una relación de incidentes, sino una inspección clara de dónde se obtiene el control, se pierde o se prueba en silencio.

⚡ Amenaza de la semana

Lumma Stealer, Danabot Operations interrumpió – Una coalición de empresas del sector privado y agencias de aplicación de la ley han derribado la infraestructura asociada con Lumma Stealer y Danabot. Incluso se han revelado cargos contra 16 individuos por su presunta billete en el expansión y el despliegue de Danabot. El malware está equipado para los datos del sifón de las computadoras víctimas, las sesiones de banca de secuestro y la información del dispositivo de robar. Sin secuestro, más exclusivamente, Danabot incluso se ha utilizado para hackear campañas que parecen estar vinculadas a los intereses patrocinados por el estado ruso. Todo eso hace que Danabot sea un ejemplo particularmente claro de cómo los piratas informáticos de estado rusos han reutilizado por sus propios objetivos. En tándem, se han incautado más o menos de 2.300 dominios que actuaron como la columna vertebral de comando y control (C2) para el robador de información de Lumma, próximo con eliminar 300 servidores y contrarrestar 650 dominios que se usaron para divulgar ataques de ransomware. Las acciones contra el delito cibernético internacional en los últimos días constituyeron la última grado de la Operación Fin de descanso.

🔔 Parte principales

• Los actores de amenaza usan videos de Tiktok para distribuir robadores -Si admisiblemente ClickFix se ha convertido en una táctica popular de ingeniería social para entregar malware, se ha observado a los actores de amenaza utilizando videos generados por inteligencia sintético (AI) cargadas a Tiktok para engañar a los usuarios en ejecutar comandos maliciosos sobre sus sistemas y desplegar malware como Vidar y stube bajo la orilla de activar la traducción pirateada de Windows, Microsoft Office, Capcut y Spotifify. “Esta campaña destaca cómo los atacantes están listos para armarse las plataformas de redes sociales que sean actualmente populares para distribuir malware”, dijo Trend Micro.
• Los piratas informáticos APT28 se dirigen a las empresas de abastecimiento y tecnología occidentales -Varias agencias de ciberseguridad e inteligencia de Australia, Europa y Estados Unidos emitieron una advertencia de alerta conjunta de una campaña patrocinada por el estado orquestada por el actor de amenazas patrocinado por el estado ruso APT28 dirigido a las entidades de abastecimiento occidental y las compañías de tecnología desde 2022 “. Este acto de la campaña de la campaña de la campaña de la campaña de IP de los ciberdisuros y las empresas de Logistics y las compañías de tecnología previamente se relacionan con el acto de los actos de la IP de los que se conecta a esta escalera cibernética. Cámaras en Ucrania y las naciones fronterizas de la OTAN “, dijeron las agencias. Los ataques están diseñados para robar información confidencial y persistir la persistencia a abundante plazo en los hosts comprometidos.
• Los actores de amenaza china explotan fallas ivanti epmm -El Comunidad de Ciber Espionaje de China-Nexus rastreado como UNC5221 se ha atribuido a la explotación de un par de defectos de seguridad que afectan el software Ivanti Endpoint Manager Mobile (EPMM) (CVE-2025-4427 y CVE-2025-4428) para apuntar a una amplia escala de sectores en Europa, North America y la región asia-Pacífico. Las intrusiones aprovechan las vulnerabilidades para obtener una carcasa inversa y soltar cargas enseres maliciosas como KrustyLoader, que se sabe que entrega el entorno de comando y control Sliver (C2). “UNC5221 demuestra una comprensión profunda de la bloque interna de EPMM, reutilizando los componentes del sistema razonable para la exfiltración de datos encubiertos”, dijo Eclecticiq. “Regalado el papel de EPMM en la mandato y el empuje de configuraciones a dispositivos móviles empresariales, una explotación exitosa podría permitir a los actores de amenaza aceptar, manipular o comprometer de forma remota miles de dispositivos administrados en una ordenamiento”.
• Más de 100 extensiones de Google Chrome imitan herramientas populares – Un actor de amenaza desconocido se ha atribuido a crear varias extensiones de navegador de Chrome ladino desde febrero de 2024 que se disfrazan de utilidades aparentemente benignas como Deepseek, Manus, DeBank, FortivPN y el sitio estadísticas del sitio, pero incorporan funcionalidad fraude para exfiltrar datos, aceptar comandos y ejecutar el código gratuito. Los enlaces a estos complementos del navegador están alojados en sitios especialmente elaborados a los que los usuarios probablemente se redirigen a través de publicaciones de phishing y redes sociales. Si admisiblemente las extensiones parecen ofrecer las características anunciadas, incluso facilitan sigilosamente el robo de credenciales y cookies, secuestro de sesiones, inyección de AD, redirecciones maliciosas, manipulación del tráfico y phishing a través de la manipulación DOM. Varias de estas extensiones han sido eliminadas por Google.
• CISA advierte a los proveedores de ataques de SaaS dirigidos a entornos en la abundancia – La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) advirtió que las compañías SaaS están amenazadas de malos actores que están al acecho de aplicaciones en la abundancia con configuraciones predeterminadas y permisos elevados. Si admisiblemente la agencia no atribuyó la actividad a un familia específico, el aviso dijo que la plataforma de respaldo empresarial CommVault está monitoreando la actividad de amenazas cibernéticas dirigidas a aplicaciones alojadas en su entorno en la abundancia de Microsoft Azure. “Los actores de amenazas pueden ocurrir accedido a los secretos del cliente para la decisión de software de copia de seguridad de Commvault (metálica) (M365) de respaldo como servicio (SaaS), alojada en Azure”, dijo CISA. “Esto proporcionó a los actores de amenaza paso no calificado a los entornos M365 de los clientes de Commvault que tienen secretos de aplicación almacenados por Commvault”.
• Gitlab AI Coding Assistant Flaws podría estilarse para inyectar código ladino – Los investigadores de ciberseguridad han descubierto una defecto de inyección indirecta en el dúo asistente de inteligencia sintético (IA) de Gitlab que podría ocurrir permitido a los atacantes robar el código fuente e inyectar HTML no confiable en sus respuestas, lo que podría estilarse para dirigir a las víctimas a sitios web maliciosos. El ataque incluso podría filtrar datos de problemas confidenciales, como los detalles de vulnerabilidad del día cero. Todo lo que se requiere es que el atacante instruya al chatbot que interactúe con una solicitud de fusión (o cometer, problema o código fuente) aprovechando el hecho de que Gitlab Duo tiene un amplio paso a la plataforma. “Al integrar las instrucciones ocultas en el contenido de proyectos aparentemente inofensivos, pudimos manipular el comportamiento del dúo, exfiltrar el código fuente privado y demostrar cómo las respuestas de AI pueden aprovecharse para obtener resultados no intencionados y dañinos”, dijo Legit Security. Una variación del ataque implicó ocultar una instrucción maliciosa en una dormitorio de código fuente razonable, mientras que otro explotó el observación del dúo de las respuestas de Markdown en tiempo vivo de guisa asincrónica. Un atacante podría beneficiarse este comportamiento, ese dúo comienza a hacer la salida de la fila por fila en lado de esperar hasta que se genere toda la respuesta y enviarlo todo a la vez, para introducir un código HTML ladino que pueda aceptar a datos confidenciales y exfiltrar la información a un servidor remoto. Los problemas han sido reparados por GITLAB a posteriori de la divulgación responsable.

️‍🔥 tendencias cves

Las vulnerabilidades de software siguen siendo uno de los puntos de entrada más simples y más efectivos para los atacantes. Cada semana descubre nuevos defectos, e incluso pequeños retrasos en los parches pueden convertirse en graves incidentes de seguridad. Mantenerse a la vanguardia significa realizar rápido. A continuación se muestra la relación de vulnerabilidades de suspensión aventura de esta semana que exigen atención. Revisarlas cuidadosamente, aplicar actualizaciones sin dilación y cerrar las puertas antiguamente de que sean forzados.

La relación de esta semana incluye: CVE-2025-34025, CVE-2025-34026, CVE-2025-34027 (Concierto de Versa), CVE-2025-30911 (RometheMekit para Elementor WordPress Plugin), CVE-2024-57273, CVE-2024-54780, y CVE-202474774747474747474747474747474747474747474747474747TACIÓN. (PFSENSE), CVE-2025-41229 (VMware Cloud Foundation), CVE-2025-4322 (Tema de Motors WordPress), CVE-2025-47934 (OpenPGP.JS), CVE-2025-30193 (PowerDNS), CVE-2025-0993 (GITLAB), CVE-20255555555555555555555555555555555555 TOMOS DE (AutomationDirect MB-Gateway), CVE-2025-47949 (Samlify), CVE-2025-40775 (Bind DNS), CVE-2025-20152 (Cisco Identity Services Engine), CVE-2025-4123 (GRAFANA), CVE-2025-5063 (Google Chrome), CVE-2025-3999999999999999 (Linux Kernel), CVE-2025-26817 (Netwrix Password Secure), CVE-2025-47947 (ModSecurity), CVE-2025-3078, CVE-2025-3079 (Printers Canon) y CVE-2025-4978 (Netgear).

📰 más o menos del mundo cibernético

• Sandworm deja caer un nuevo limpiaparabrisas en Ucrania -El familia de lombrices de arena formado en Rusia intensificó las operaciones destructivas contra las compañías de energía ucranianas, desplegando un nuevo limpiaparabrisas llamado Zerolot. “El infame familia de lombrices de arena se concentró en gran medida en el compromiso de la infraestructura energética ucraniana. En los casos recientes, desplegó el limpiaparabrisas Zerolot en Ucrania. Para esto, los atacantes abusaron de la política del familia de directorio activo en las organizaciones afectadas”, dijo el director de investigación de amenazas de ESET, Jean-Ian Boutin. Otro familia de piratería ruso, Gamaredon, siguió siendo el actor más prolífico dirigido a la nación de Europa del Este, mejorando la ofuscación de malware y la preámbulo de Pterobox, un robador de archivos que aprovecha a Dropbox.
• La señal dice no para rememorar – Signal ha emprendedor una nueva traducción de su aplicación de transporte para Windows que, por defecto, bloquea la capacidad de Windows para usar el retiro para tomar capturas de pantalla de la aplicación periódicamente. “Aunque Microsoft realizó varios ajustes en los últimos doce meses en respuesta a la feedback crítica, la traducción renovada de recuperación todavía coloca cualquier contenido que se muestre internamente de aplicaciones de preservación de la privacidad como Signal en aventura”, dijo Signal. “Como resultado, estamos permitiendo una capa adicional de protección de forma predeterminada en Windows 11 para ayudar a persistir la seguridad del escritorio de la señal en esa plataforma a pesar de que introduce algunas compensaciones de usabilidad. Microsoft simplemente no nos ha entregado otra opción”. Microsoft comenzó a implementar oficialmente el retiro el mes pasado.
• Rusia presenta una nueva ley para rastrear a los extranjeros usando sus teléfonos inteligentes – El gobierno ruso ha introducido una nueva ley que hace que la instalación de una aplicación de seguimiento sea obligatoria para todos los extranjeros en la región de Moscú. Esto incluye reunir sus ubicaciones en tiempo vivo, huellas digitales, fotografía facial e información residencial. “El mecanismo adoptivo permitirá, utilizando tecnologías modernas, reforzar el control en el campo de la migración y incluso contribuirá a disminuir el número de violaciones y delitos en esta ámbito”, dijo Vyacheslav Volodin, presidente de la Duma estatal. “Si los migrantes cambian su lado de residencia vivo, deberán informar al Tarea de Asuntos Internos (MVD) internamente de los tres días hábiles”. Un período de prueba de cuatro abriles propuesto comienza el 1 de septiembre de 2025 y se extiende hasta el 1 de septiembre de 2029.
• El gobierno holandés aprueba la ley para criminalizar el espionaje cibernético -El gobierno holandés ha aceptado una ley que penaliza una amplia escala de actividades de espionaje, incluido el espionaje digital, en un esfuerzo por proteger la seguridad franquista, la infraestructura crítica y las tecnologías de adhesión calidad. Según la ley enmendada, la filtración de información delicada que no se clasifica como un secreto estatal o participa en actividades en nombre de un gobierno extranjero que dañe los intereses holandeses incluso puede resultar en cargos penales. “Los gobiernos extranjeros incluso están interesados ​​en información confidencial no secreta y confidencial sobre un sector financiero particular o sobre la toma de decisiones políticas”, dijo el gobierno. “Dicha información se puede utilizar para influir en los procesos políticos, debilitar la posesiones holandesa o apostar aliados entre sí. El espionaje incluso puede involucrar acciones distintas de compartir información”.
• Microsoft anuncia la disponibilidad de algoritmos resistentes a la cantidad cuántica a SymCrypt -Microsoft ha revelado que está haciendo capacidades de criptografía posterior al quantum (PQC), incluidos ML-Kem y ML-DSA, disponibles para Windows Insiders, Canary Channel Build 27852 y Linux, Symcrypt-Openssl traducción 1.9.0. “Este avance permitirá a los clientes comenzar su exploración y experimentación de PQC internamente de sus entornos operativos”, dijo Microsoft. “Al obtener paso temprano a las capacidades de PQC, las organizaciones pueden evaluar de guisa proactiva la compatibilidad, el rendimiento y la integración de estos nuevos algoritmos próximo con su infraestructura de seguridad existente”.
• El nuevo doblosoader de malware usa Alcatraz para la ofuscación -El obfuscador de código hendido Alcatraz se ha manido internamente de un nuevo cargador genérico denominado Doubleloader, que se ha implementado próximo con infecciones de Rhadamanthys Stealer a partir de diciembre de 2024. El malware recopila información del host, solicita una traducción actualizada de sí misma, y ​​comienza a una dirección IP (185.147.125 (.) 81). “Los ofuscadores como Alcatraz terminan aumentando la complejidad al triando malware”, dijo Elastic Security Labs. “Su objetivo principal es obstaculizar las herramientas de observación binarios y aumentar el tiempo del proceso de ingeniería inversa a través de diferentes técnicas; como ocultar el flujo de control o hacer que la descompilación sea difícil de seguir”.
• La nueva campaña de Formjacking se dirige a los sitios de WooCommerce – Los investigadores de ciberseguridad han detectado una sofisticada campaña de formación de formulaciones dirigidas a sitios de WooCommerce. El malware, según Wordfence, inyecta un formulario de cuota falsificado pero de aspecto profesional en procesos de cuota legítimos y exfiltra los datos confidenciales del cliente a un servidor extranjero. Un observación posterior ha revelado que la infección probablemente se originó a partir de una cuenta de suministro de WordPress comprometida, que se utilizó para inyectar JavaScript ladino a través de un simple complemento CSS y JS personalizado (o poco similar) que permite a los administradores juntar código personalizado. “A diferencia de los skimmers de tarjetas tradicionales que simplemente superponen los formularios existentes, esta transformación se integra cuidadosamente con el flujo de trabajo de diseño y cuota del sitio de WooCommerce, lo que hace que sea particularmente difícil para los propietarios y usuarios de los sitios detectar”, dijo la compañía de seguridad de WordPress. “El autor de malware reutilizó el mecanismo de almacenamiento tópico del navegador, típicamente utilizado por los sitios web para rememorar las preferencias de los usuarios, para acumular en silencio los datos robados y persistir el paso incluso a posteriori de la recarga de la página o al navegar allí de la página de cuota”.

• Sanciones de la UE Industrias Stark – La Unión Europea (UE) ha anunciado sanciones contra 21 individuos y seis entidades en Rusia sobre sus “acciones desestabilizantes” en la región. Una de las entidades sancionadas es Stark Industries, un proveedor de alojamiento a prueba de balas que ha sido acentuado de realizar como “facilitadores de varios actores rusos patrocinados por el estado y afiliados para sobrellevar a final actividades desestabilizadoras, incluidas la interferencia de manipulación de información y los ataques cibernéticos contra los países de la Unión y el Tercer países”. Las sanciones incluso se dirigen a su CEO Iurie Neculiti y al propietario Ivan Neculiti. Stark Industries fue destacado previamente por el periodista independiente de ciberseguridad Brian Krebs, que detalla su uso en los ataques DDoS en Ucrania y en toda Europa. En agosto de 2024, el equipo Cymru dijo que descubrió 25 direcciones IP asignadas a Stark utilizadas para organizar dominios asociados con actividades de FIN7 y que había estado trabajando con Stark Industries durante varios meses para identificar y disminuir el extralimitación de sus sistemas. Las sanciones incluso han atacado a los fabricantes de drones y equipos de comunicación de radiodifusión respaldados por Kremlin utilizados por el ejército ruso, así como a aquellos involucrados en la interferencia de señales GPS en los estados bálticos e interrumpiendo la aviación civil.
• La máscara apt desenmascarada como vinculada al gobierno gachupin – El misterioso actor de amenaza conocido como The Mask (incluso conocido como Careto) ha sido identificado como administrado por el gobierno gachupin, según un referencia publicado por TechCrunch, citando a personas que trabajaban en Kaspersky en ese momento y tenían conocimiento de la investigación. La compañía de ciberseguridad rusa expuso por primera vez al familia de piratería en 2014, vinculándolo con ataques mucho sofisticados desde al menos 2007 dirigidos a organizaciones de suspensión perfil, como gobiernos, entidades diplomáticas e instituciones de investigación. La mayoría de los ataques del familia han atacado a Cuba, seguido de cientos de víctimas en Brasil, Marruecos, España y Gibraltar. Si admisiblemente Kaspersky no lo ha atribuido públicamente a un país específico, la última revelación hace que la máscara sea uno de los pocos grupos de piratería del gobierno occidental que se ha discutido en divulgado. Esto incluye el familia de ecuaciones, los Lamberts (los EE. UU.) Y Animal Farm (Francia).
• Estafas de ingeniería social Target Coinbase Usuarios – A principios de este mes, la coinbase de intercambio de criptomonedas reveló que fue víctima de un ataque ladino perpetrado por actores de amenaza desconocidos para violar sus sistemas al sobornar a los agentes de atención al cliente en la India y los fondos sifones de casi 70,000 clientes. Según la firma de seguridad de Blockchain, SlowMist, los usuarios de Coinbase han sido objeto de estafas de ingeniería social desde el principio del año, bombardeando con mensajes de SMS que afirman ser solicitudes de retiro falsas y buscando su confirmación como parte de una “campaña de estafas sostenida y organizada”. El objetivo es inducir una falsa sensación de emergencia y engañarlos para que llame a un número, eventualmente convencerlos de que transfieran los fondos a una billetera segura con una frase semilla pregenerada por los atacantes y finalmente drene los activos. Se evalúa que las actividades son realizadas principalmente por dos grupos: atacantes de Skid de bajo nivel de la comunidad COM y grupos organizados de delitos cibernéticos con sede en India. “Utilizando los sistemas telefónicos PBX falsificados, los estafadores se hacen ocurrir por el soporte de Coinbase y afirman que ha habido ‘paso no calificado’ o ‘retiros sospechosos’ en la cuenta del beneficiario”, dijo SlowMist. “Crean un sentido de emergencia, luego hacen un seguimiento con los correos electrónicos o textos de phishing que contienen números de boletos falsos o ‘enlaces de recuperación'”.
• Delta puede demandar a Crowdsstrike durante julio de 2024 mega interrupción -Delta Air Lines, que tenían sus sistemas paralizados y casi 7,000 vuelos cancelados a raíz de una interrupción masiva causada por una aggiornamento defectuosa emitida por CrowdStrike a mediados de julio de 2024, se le ha entregado luz verde a su demanda contra la compañía de seguridad cibernética. Un árbitro en el estado de Georgia en los Estados Unidos que indica que Delta puede tratar de demostrar que CrowdStrike fue muy negligente al impulsar una aggiornamento defectuosa a su software Falcon a los clientes. La aggiornamento bloqueó 8.5 millones de dispositivos Windows en todo el mundo. CrowdStrike afirmó previamente que la aerolínea había rechazado el soporte técnico de las ofertas de sí mismo y de Microsoft. En un comunicado compartido con Reuters, los abogados que representan a CrowdStrike dijeron que “seguían de que el árbitro encontrará que el caso de Delta no tiene mérito o limitará los daños a los” millones de dólares de un solo dígito “según la ley de Georgia”. El expansión se produce meses a posteriori de que MGM Resorts International acordó respaldar $ 45 millones para resolver múltiples demandas de acto de clase relacionadas con una violación de datos en 2019 y un ataque de ransomware que la compañía experimentó en 2023.
• Storm-1516 utiliza medios generados por IA para difundir la desinformación -La operación de influencia rusa conocida como Storm-1516 (incluso conocida como Copycop) buscó difundir narraciones que socavaron el apoyo europeo a Ucrania al amplificar las historias fabricadas en X sobre los líderes europeos que usan drogas mientras viajaban en tren a Kyiv para las conversaciones de paz. Después, uno de los puestos fue compartido por los medios estatales rusos y Maria Zakharova, un suspensión funcionario en el Tarea de Relaciones Exteriores de Rusia, como parte de lo que se ha descrito como una campaña de desinformación coordinada por Eclecticiq. La actividad incluso es importante por el uso de contenido sintético que representa al presidente francés Emmanuel Macron, al líder del Partido Socialista del Reino Unido Keir Starmer y al canciller teutónico Friedrich Merz de posesión de drogas durante su regreso de Ucrania. “Al atacar la reputación de estos líderes, la campaña probablemente tuvo como objetivo convertir a sus propios votantes contra ellos, utilizando las operaciones de influencia (IO) para disminuir el apoyo divulgado a Ucrania al desacreditar a los políticos que lo respaldan”, dijo la firma de inteligencia de amenazas holandesa.
• Usuarios turcos dirigidos por dbatloader -AhnLab ha revelado los detalles de una campaña de malware que distribuye un cargador de malware llamado DBATLoader (incluso conocido como Modiloader) a través de correos electrónicos bancarios con temas bancarios, que luego actúa como un conducto para entregar SnakeKeylogger, un robador de información desarrollado en .net. “El malware DBATLoader distribuido a través de correos electrónicos de phishing tiene el comportamiento astuto de explotar procesos normales (easinvoker.exe, loader.exe) a través de técnicas como la carga pegado de DLL e inyección para la mayoría de sus comportamientos, y incluso utiliza procesos normales (cmd.exe, PowerShell.Exe, esentututl.exe, Extrac32.x22. Políticas “, dijo la compañía.
• SEC Sim-Swapper sentenciado a 14 meses por Sec X Cuenta Hack -Un hombre de 26 abriles de Alabama, Eric Council Jr., ha sido sentenciado a 14 meses de prisión y tres abriles de fuga supervisada por usar ataques de intercambio de SIM para incumplir la cuenta oficial de los títulos y la Comisión de Títulos de los Estados Unidos (SEC) en enero de 2024 y anunció falsamente que la SEC aprobó bitcoin (BTC) intercambió fondos comerciales (ETF). El Consejo Jr. (incluso conocido como Ronin, Agiantschnauzer y @easymunny) fue arrestado en octubre de 2024 y se declaró culpable del crimen a principios de febrero. Incluso se le ha organizado perder $ 50,000. According to court documents, Council used his personal computer to search incriminating phrases such as “SECGOV hack,” “telegram sim swap,” “how can I know for sure if I am being investigated by the FBI,” “What are the signs that you are under investigation by law enforcement or the FBI even if you have not been contacted by them,” “what are some signs that the FBI is after you,” “Verizon store list,” “federal Estatuto de robo de identidad “y” ¿Cuánto tiempo se tarda en eliminar la cuenta de Telegram “.
• FBI advierte sobre la campaña maliciosa que se hace ocurrir por funcionarios gubernamentales -La Oficina Federal de Investigación de los Estados Unidos (FBI) advierte sobre una nueva campaña que involucra a actores maliciosos que se hacen ocurrir por altos funcionarios del gobierno federal o del gobierno estatal de los Estados Unidos y sus contactos a las personas objetivo desde abril de 2025. “Los actores maliciosos han enviado mensajes de texto y mensajes de voz generados por IA, conocidos como Symishing and Vishing, respectivamente, que anuncio a un suspensión funcionario de los Estados Unidos en un esfuerzo para establecer una rapports antiguamente de GABIENTES ACECENSA AL FUNCIÓN. “Una forma en que los actores obtienen dicho paso es enviando a las personas específicas un vínculo ladino bajo la apariencia de hacer la transición a una plataforma de transporte separada”. A partir de ahí, el actor puede presentar malware o introducir hipervínculos que conducen objetivos previstos a un sitio controlado por el actor que roba información de inicio de sesión.
• DICOM FLAW Permite a los atacantes enquistar el código ladino internamente de los archivos de imágenes médicas -Praetorian ha publicado una prueba de concepto (POC) para una defecto de seguridad de adhesión severidad en imágenes digitales y comunicaciones en medicina (DICOM), formato de archivo predominante para imágenes médicas, que permite a los atacantes enquistar código ladino internamente de los archivos de imágenes médicas legítimas. CVE-2019-11687 (Puntuación CVSS: 7.8), revelada originalmente en 2019 por Markel Picado Ortiz, se deriva de una valor de diseño que permite contenido gratuito al principio del archivo, de lo contrario, llamado el preámbulo, que permite la creación de políglotos maliciosos. El nombre en código Elfdicom, el POC extiende la superficie de ataque a ambientes Linux, por lo que es una amenaza mucho más potente. Como mitigaciones, se aconseja implementar una relación blanca de preámbulos de DICOM. “La estructura de archivos de DICOM inherentemente permite bytes arbitrarios al principio del archivo, donde Linux y la mayoría de los sistemas operativos buscarán bytes mágicos”, dijo el investigador pretoriano Ryan Hennessee. “(La relación blanca) verificaría el preámbulo de un archivo DICOM antiguamente de importarse al sistema. Esto permitiría buenos patrones conocidos, como los bytes mágicos ‘TIFF’ o los bytes nulos ‘ x00’, mientras que los archivos con los bytes mágicos ELF se bloquearían”.
• El ataque de mordedura de cookies utiliza la extensión de Chrome para robar tokens de sesión -Los investigadores de seguridad cibernética han demostrado una nueva técnica de ataque indicación cookie bife que emplea extensiones de navegador maliciosas hechas a medida para robar cookies “estauth” y “estsauthpersistnt” en Microsoft Azure Entrra Id y silenciar la autenticación multifactor (MFA). El ataque tiene múltiples partes móviles: una extensión de cromo personalizada que monitorea eventos de autenticación y captura cookies; un script PowerShell que automatiza la implementación de la extensión y garantiza la persistencia; un mecanismo de exfiltración para despachar las cookies a un punto de casa recoleta remoto; y una extensión complementaria para inyectar las cookies capturadas en el navegador del atacante. “Los actores de amenaza a menudo usan infantes de infantes para extraer tokens de autenticación directamente de la máquina de una víctima o comprarlos directamente a través de los mercados de oscuridad, lo que permite a los adversarios secuestrar sesiones de nubes activas sin desencadenar MFA”, dijo Varonis. “Al inyectar estas cookies mientras imita el sistema eficaz, el navegador y la red de la víctima, los atacantes pueden evitar las políticas de paso condicional (CAP) y persistir el paso persistente”. Las cookies de autenticación incluso se pueden robar utilizando kits de phishing adversario en el medio (AITM) en tiempo vivo, o utilizando extensiones de navegador deshonesto que solicitan permisos excesivos para interactuar con las sesiones web, modificar el contenido de la página y extraer datos de autenticación almacenados. Una vez instalada, la extensión puede aceptar a la API de almacenamiento del navegador, las solicitudes de red de intercepción o inyectar JavaScript ladino en sesiones activas para cosechar cookies de sesión en tiempo vivo. “Al beneficiarse las cookies de sesiones robadas, un adversario puede evitar mecanismos de autenticación, ganando una entrada perfecta en entornos en la abundancia sin requerir credenciales de beneficiario”, dijo Varonis. “Más allá del paso auténtico, el secuestro de sesiones puede entregar el movimiento pegado a través del inquilino, permitiendo a los atacantes explorar bienes adicionales, aceptar a datos confidenciales y aumentar los privilegios al forzar de los permisos existentes o los roles mal configurados”.

🎥 seminarios web de ciberseguridad

• Identidades no humanas: la puerta trasera de IA que no está observando → Los agentes de IA dependen de identidades no humanas (como cuentas de servicio y claves de API) para funcionar, pero a menudo no se quedan alquiladas y no se aseguran. A medida que los atacantes cambian a esta capa oculta, el aventura está creciendo rápidamente. En esta sesión, aprenderá a encontrar, consolidar y monitorear estas identidades antiguamente de que sean explotados. Únase al seminario web para comprender los riesgos reales detrás de la admisión de AI y cómo mantenerse a la vanguardia.
• Adentro del texto de jugadas de Lots: cómo los piratas informáticos permanecen sin ser detectados → Los atacantes están utilizando sitios de confianza para mantenerse ocultos. En este seminario web, los expertos en ZScaler comparten cómo detectan estos ataques de lotes sigilosos utilizando ideas de la abundancia de seguridad más noble del mundo. Únase para instruirse a detectar amenazas ocultas y mejorar su defensa.

🔧 Herramientas de ciberseguridad

• Scriptsentry → Es una aparejo gratuita que escanea su entorno para configuraciones erróneas de script de inicio de sesión peligroso, como credenciales de texto sin problemas, permisos de archivo/compartir inseguros y referencias a servidores inexistentes. Estos problemas pasados ​​por suspensión pueden permitir el movimiento pegado, la subida de privilegios o incluso el robo de credenciales. Scriptsentry lo ayuda a identificarlos y arreglarlos rápidamente en entornos de gran directorio de activos.
• Aftermath → Es una aparejo de código hendido basada en Swift para la respuesta a incidentes de MacOS. Recopila datos forenses, como registros, actividad del navegador e información del proceso, desde sistemas comprometidos, luego lo analiza para construir plazos y rastrear rutas de infección. Desplegarse a través de MDM o ejecutar manualmente. Rápido, vaporoso e ideal para la investigación posterior al incidente.
• AI Red Teaming Playground Labs → Es una suite de capacitación de código hendido con desafíos prácticos diseñados para enseñar a los profesionales de seguridad cómo los sistemas Red Team AI. Originalmente desarrollado para Black Hat USA 2024, los laboratorios cubren inyecciones de inmediato, derivaciones de seguridad, ataques indirectos y fallas de IA responsables. Construido en el copiloto de chat y desplegable a través de Docker, es un petición práctico para probar y comprender las vulnerabilidades de IA del mundo vivo.

🔒 Consejo de la semana

Revisar y revocar los viejos permisos de la aplicación OAuth: son traseros silenciosos → Es probable que haya iniciado sesión en aplicaciones utilizando “Continuar con Google”, “Inicie sesión con Microsoft” o los inicios de sesión de Github/Twitter/Facebook. Eso es OAuth. ¿Pero sabía que muchas de esas aplicaciones todavía tienen paso a sus datos mucho a posteriori de dejar de usarlos?

Por qué importa:

Incluso si elimina la aplicación u olvida que existía, podría tener paso continuo a su calendario, correo electrónico, archivos en la abundancia o relación de contactos, no se necesita contraseña. Si ese tercero se rompe, sus datos están en aventura.

Qué hacer:

• Revise sus aplicaciones conectadas aquí:
• Google: myaccount.google.com/permissions
• Microsoft: cuenta.live.com/consent/manage
• Github: githubub.com/setings/applations
• Facebook: facebook.com/settings?tab=applications

Revocar cualquier cosa que no use activamente. Es una destreza rápida y silenciosa, y cierra las puertas que no sabías que estaban abiertas.

Conclusión

Mirando en torno a el futuro, no se manejo solo de rastrear amenazas, se manejo de comprender lo que revelan. Cada táctica utilizada, cada sistema probado, apunta a problemas más profundos en cómo se gestionan la confianza, el paso y la visibilidad. A medida que los atacantes se adaptan rápidamente, los defensores necesitan una conciencia más aguda y bucles de respuesta más rápidos.

Las conclusiones de esta semana no son solo técnicas: hablan de cómo los equipos priorizan el aventura, el diseño de salvaguardas y toman decisiones bajo presión. Use estas ideas no solo para reaccionar, sino para repensar lo que “seguro” en realidad necesita significar en el entorno presente.