Carplay Exploit, BYOVD TACTICS, Attacos SQL C2, Demanda de puerta trasera de iCloud y más

Anthrope dijo que ha implementado una serie de mejoras de seguridad y seguridad en Claude Sonnet 4.5, su posterior maniquí centrado en la codificación, que dificulta que los malos actores exploten y aseguren el sistema contra ataques de inyección inmediata, la sycofancia (es sostener, la tendencia de una IA a ECHO y validen las creencias de los usuarios sin importar cuán deliadas o dañinas puedan ser) y los riesgos de seguridad infantiles. “Las capacidades mejoradas de Claude y nuestra extensa capacitación en seguridad nos han permitido mejorar sustancialmente el comportamiento del maniquí, reduciendo los comportamientos como la skicancia, el disimulo, la búsqueda de energía y la tendencia a fomentar el pensamiento delirante”, dijo la compañía. “Para las capacidades de uso de la agente y la computadora del maniquí, igualmente hemos acabado un progreso considerable en la defensa de ataques de inyección inmediatos, uno de los riesgos más graves para los usuarios de estas capacidades”. La compañía de inteligencia fabricado dijo que el posterior maniquí tiene mejores habilidades de seguridad cibernética defensiva, como el descubrimiento de vulnerabilidades, los parches y las capacidades básicas de prueba de penetración. Sin confiscación, sí reconoció que estas herramientas podrían ser “de doble uso”, lo que significa que igualmente podrían ser utilizados por actores maliciosos, así como profesionales de ciberseguridad. Los sistemas de IA generativos como los ofrecidos por Microsoft y OpenAI están a la vanguardia de una batalla entre empresas que proporcionan capacidades sofisticadas de coexistentes de texto e imágenes y actores maliciosos que buscan explotarlas.

La seguridad del Centro de Tormenta SANS de Internet ha revelado su observación de un aumento significativo en los escaneos de toda la Internet dirigidos a la vulnerabilidad crítica de PAN-OS GlobalProtect (CVE-2024-3400). La vulnerabilidad, revelada el año pasado, es una vulnerabilidad de inyección de comando que podría ser explotada por un atacante no autenticado para ejecutar código subjetivo con privilegios raíz en los firewalls susceptibles. Sans ISC dijo que ha detectado solicitudes especialmente elaboradas que buscan cargar un archivo txt y, luego, intentan recuperar ese archivo a través de una solicitud HTTP Get. “Esto devolverá un error ‘403’ si el archivo existe, y un error ‘404’ si la carga falló. No ejecutará código”, señaló. “El contenido del archivo es un archivo de sesión de protección entero típico y no se ejecutará. Un ataque de seguimiento cargaría el archivo en una ubicación que conduce a la ejecución del código”. En las últimas semanas, los intentos de exploit igualmente se han registrado contra las cámaras HikVision susceptibles a una error más antigua (CVE-2017-7921), dijo Sans ISC.

Una sofisticada campaña de ataque se ha dirigido a los servidores de Microsoft SQL de forma incorrecta para implementar el ámbito de comando y control XIebroc2 de código amplio (C2) utilizando PowerShell para establecer un llegada persistente a los sistemas comprometidos. El ataque aprovecha las credenciales vulnerables en los servidores de bases de datos de llegada conocido, lo que permite a los actores de amenaza obtener un punto de apoyo auténtico y aumentar los privilegios a través de una utensilio convocatoria JuicyPotato. “Xiebroc2 es un ámbito C2 con código de código amplio que admite varias características, como resumen de información, control remoto y distracción de defensa, similar a Cobalt Strike”, dijo Ahnlab.

Google ha esbozado las diversas recomendaciones de endurecimiento que las organizaciones pueden tomar para custodiar contra ataques montados por UNC6040, un conjunto de amenazas motivado financieramente que se especializa en campañas de phishing de voz (visitante) diseñadas específicamente para comprometer las instancias de la fuerza de ventas de las organizaciones para el robo de datos a gran escalera y la perturbación posterior. El centro de la operación implica engañar a las víctimas para que autorizar una aplicación maliciosa conectada al portal Salesforce de su ordenamiento. “En los últimos meses, UNC6040 ha demostrado un éxito trillado en la incumplimiento de las redes al hacer que sus operadores se esfuerzen por el personal de soporte de TI para convencer a los compromisos de ingeniería social basados ​​en el teléfono”, dijo. “Este enfoque ha demostrado ser particularmente efectivo para engañar a los empleados, a menudo en el interior de las ramas de acento inglesa de las corporaciones multinacionales, en acciones que otorgan a los atacantes entrar o conducir al intercambio de credenciales confidenciales, en última instancia, que facilitan el robo de los datos de la fuerza de la ordenamiento.

Censys dijo que identificó más de 60 páginas de phishing de criptomonedas que se esfuerzan por las marcas populares de billetera de hardware Trezor y Ledger a través de un observación de archivos robots.txt. Estos sitios tienen una entrada en el archivo: “Novar: /add_web_phish.php”. “En particular, el actor detrás de las páginas intentó cortar los sitios populares de informes de phishing para indexar las páginas al incluir puntos finales de los sitios de informes de phishing en su propio archivo robots.txt”, dijo la compañía. El patrón inusual de robots.txt igualmente se ha descubierto en varios repositorios de GitHub, algunos de los cuales datan de enero de 2025. “El uso indebido de robots.txt y los conflictos de fusión encontrados en múltiples readmes igualmente podrían sugerir que el actor detrás de estas páginas no está admisiblemente versado en las prácticas de progreso web”, agregó el investigador de seguridad Emily Austin.

Google ha anunciado que está actualizando la dispositivo de Google para el escritorio con detección de ransomware a IA para detener automáticamente la sincronización de archivos y permitir a los usuarios restaurar fácilmente los archivos con unos pocos clics. “Nuestra detección con IA en Drive for Desktop identifica la firma central de un ataque de ransomware, un intento de encriptar o corromper archivos en masa, e interviene rápidamente para poner una burbuja protectora aproximadamente de los archivos de un afortunado al detener la sincronización de archivos a la nubarrón antaño de que el sofá de ransomware pueda explayarse”, dijo Google Cloud. “El motor de detección se adapta a un ransomware novedoso al analizar continuamente los cambios de archivos e incorporar una nueva inteligencia de amenazas de Virustotal. Cuando la dispositivo detecta una actividad inusual que sugiere un ataque de ransomware, detiene automáticamente la sincronización de archivos afectados, lo que ayuda a evitar la corrupción de datos generalizados en la dispositivo de una ordenamiento y la disrupción del trabajo”. Seguidamente, los usuarios reciben una alerta en su escritorio y por correo electrónico, guiándolos a restaurar sus archivos. La capacidad de detección de ransomware en tiempo positivo se construye sobre un maniquí de IA especializado capacitado en millones de archivos de víctimas reales encriptados por varias cepas de ransomware.

Imgur, una plataforma de alojamiento de imágenes popular con más de 130 millones de usuarios, ha bloqueado el llegada a los usuarios en el Reino Unido luego de que los reguladores señalaron su intención de imponer sanciones sobre las preocupaciones sobre los datos de los niños. El regulador de datos del Reino Unido, la Oficina del Comisionado de Información (ICO), dijo que recientemente notificó a la empresa matriz de la plataforma, Medialab AI, de planes para multar a Imgur luego de investigar su enfoque de los controles de tiempo y el manejo de los datos personales de los niños. La investigación se lanzó a principios de marzo. “La atrevimiento de Imgur de restringir el llegada en el Reino Unido es una atrevimiento comercial tomada por la compañía”, dijo la ICO. “Hemos tenido claro que salir del Reino Unido no permite que una ordenamiento evite la responsabilidad de cualquier infracción previa de la ley de protección de datos, y nuestra investigación sigue en curso”. En una página de ayuda, Imgur confirmó que los usuarios del Reino Unido no podrán iniciar sesión, ver contenido o cargar imágenes.

Una auditoría de la nueva aplicación móvil Max Instant Messenger del gobierno ruso no ha enfrentado evidencia de vigilancia más allá de entrar a las características necesarias para que la aplicación funcione. “Durante dos días de observación, ninguna configuración de prueba reveló un llegada inadecuado a la cámara, ubicación, micrófono, notificaciones, contactos, fotos y videos”, dijo Rks Total. “Técnicamente, la aplicación tenía la capacidad de compilar estos datos y enviarlos, pero los expertos no registraron lo que sucedió. Posteriormente de revocar los permisos, la aplicación no registra intentos de obtener estos accesos nuevamente a través de solicitudes o no autorizados”.

El gobierno del Reino Unido ha emitido una nueva solicitud para que Apple proporcione llegada a datos de usuarios de iCloud cifrados, esta vez centrándose específicamente en los datos ‌icloud‌ de ciudadanos británicos, según el Financial Times. La solicitud, emitida a principios de septiembre de 2025, ha requerido que Apple cree una forma para que los funcionarios accedan a las copias de seguridad ‌icloud‌ cifradas. En febrero, Apple retiró la característica de protección de datos descubierta de ‌icloud‌ en el Reino Unido, retroceso posterior de los grupos de decisión civil y el gobierno de los Estados Unidos llevó al Reino Unido aparentemente a marcharse sus planes de imponer a Apple a debilitar las protecciones de secreto e incluir una puerta trasera que hubiera permitido el llegada a los datos protegidos de los ciudadanos estadounidenses. A fines de agosto, el Financial Times igualmente informó que la orden secreta del gobierno del Reino Unido “no se limitó a la” función ADP de Apple e incluía los requisitos para que Apple “proporcione y mantenga una capacidad para revelar categorías de datos almacenados en el interior de un servicio de respaldo basado en la nubarrón”, lo que sugiere que el llegada era mucho más amplio en el envergadura de la que se conocía anteriormente.

En abril de 2025, Oligo Security reveló un conjunto de fallas en AirPlay llamado Airborne (CVE-2025-24252 y CVE-2025-24132) que podrían estar encadenados para hacerse cargo de Apple CarPlay, en algunos casos, sin requerir ninguna interacción o autenticación del afortunado. Mientras que la tecnología subyacente utiliza el protocolo IAP2 para establecer una conexión inalámbrica sobre Bluetooth y negociar una contraseña de Wi-Fi CarPlay para permitir que un iPhone se conecte a la red e inicie la espejo de pantalla, el investigador descubrió que muchos dispositivos y sistemas predeterminados a un enfoque de “no PIN” durante la período de emparejamiento de Bluetooth, lo que hace que los ataques no sean fricciones y difíciles de detectar “. Esto, adyacente con el hecho de que IAP2 no autentica el iPhone, significaba que un atacante con una radiodifusión Bluetooth y un cliente IAP2 compatible puede hacerse sobrevenir por un iPhone, solicitar las credenciales de Wi-Fi, activar los lanzamientos de aplicaciones y emitir cualquier comando subjetivo IAP2. A partir de ahí, los atacantes pueden explotar CVE-2025-24132 para alcanzar la ejecución de código remoto con privilegios raíz. “Aunque los parches para CVE-2025-24132 se publicaron el 29 de abril de 2025, solo unos pocos proveedores seleccionados verdaderamente parcheados”, dijo Oligo. “Hasta donde sabemos, hasta esta publicación, ningún fabricante de automóviles ha chapón el parche”.

El Tarea de Ampliación Digital de Rusia está trabajando en regulaciones para imponer a las empresas a restringir el tipo de datos que recopilan de los ciudadanos en el país, con la esperanza de minimizar las fugas futuras de datos confidenciales. “Los sistemas no deben procesar información que contenga datos personales más allá de lo necesario para respaldar los procesos comerciales”, dijo Evgeny Khasin, director transitorio del sección de ciberseguridad del Tarea de Ampliación Digital. “Esto se debe a que muchas organizaciones tienden a compilar tantos datos como sea posible para interactuar con él de alguna forma o usarlos para sus propios fines, mientras que la ley estipula que los datos deben minimizarse”.

El gobierno holandés ha dicho que no apoyará la propuesta de Dinamarca para una constitución de control de chat de la UE para imponer a las empresas tecnológicas a introducir puertas traseras de secreto para escanear las comunicaciones para “material excesivo”. La propuesta está a la consideración del 14 de octubre. La Fundación Electronic Frontier (EFF) ha calificado la propuesta legislativa “peligrosa” y equivalente a “vigilancia de chat”. Otros países de la UE que se han opuesto a la controvertida constitución incluyen Austria, Checia, Estonia, Finlandia, Luxemburgo y Polonia.

Google acordó acreditar $ 48 millones, y la aplicación de seguimiento menstrual Flo Health pagará $ 8 millones para resolver una demanda colectiva alegando que la aplicación compartió ilegalmente los datos de vigor de las personas. Se aplazamiento que Google establezca un fondo de $ 48 millones para los usuarios de la aplicación FLO que ingresaron información sobre la menstruo o el preñez desde noviembre de 2016 hasta finales de febrero de 2019. En marzo de 2025, la compañía de observación de datos difuntos Flurry dijo que pagaría $ 3.5 millones por la cosecha de datos de vigor sexual y reproductiva de la aplicación de seguimiento de períodos. La queja, presentada en 2021, alegó que FLO usó kits de progreso de software para permitir que Google, Meta y Flurry interceptaran las comunicaciones de los usuarios en el interior de la aplicación.

Meta Platforms dijo que planea comenzar a usar las conversaciones de las personas con su chatbot de IA para ayudar a personalizar anuncios y contenido. La política entrará en vigencia el 16 de diciembre de 2025. No se aplicará a los usuarios en el Reino Unido, Corea del Sur y la Unión Europea, por ahora. Si admisiblemente no existe un mecanismo de pega, las conversaciones relacionadas con las opiniones religiosas o políticas, la orientación sexual, la vigor y el origen étnico o étnico se excluirán automáticamente de los esfuerzos de personalización de la compañía. La compañía dijo que su asistente digital de IA ahora tiene más de mil millones de usuarios mensuales activos.

La Comisión Federal de Comercio (FTC) ha demandado a la compañía operativa de Sendit, Iconic Hearts, y su CEO por “compilar ilegalmente datos personales de los niños, engañar a los usuarios enviando mensajes de” personas “falsas, y engañar a los consumidores para comprar suscripciones pagas al prometer falsamente revelar a los remitentes de mensajes anónimos”. La agencia dijo: “Aunque era consciente de que muchos usuarios eran menores de 13 abriles, Iconic Hearts no notificó a los padres que recopiló información personal de los niños, incluidos sus números de teléfono, fechas de salida, fotos y nombres de afortunado para Snapchat, Instagram, Tiktok y otras cuentas, y no obtuvieron el consentimiento verificable de los padres para dicha resumen de datos”.

Los actores de amenaza están vendiendo llegada a MatrixPDF, una utensilio que les permite alterar archivos PDF ordinarios a señuelos que pueden redirigir a los usuarios a malware o sitios de phishing. “Bundle las características de phishing y malware en un constructor que altera los archivos PDF legítimos con indicaciones de documentos seguros falsos, acciones de JavaScript integradas, desenfoque de contenido y redireccionamientos”, dijo Varonis. “Para el destinatario, el archivo se ve rutinario, pero abrirlo y seguir un mensaje o enlace puede dar como resultado el robo de credenciales o la entrega de carga útil”.

Microsoft dijo que está planeando introducir una nueva función de seguridad de borde que protegerá a los usuarios contra extensiones maliciosas que se colocó en el navegador web. “Microsoft Edge detectará y revocará extensiones lateradas maliciosas”, dijo. Se aplazamiento que el despliegue comience en algún momento en noviembre de 2025. No proporcionó más detalles sobre cómo se identificarán estas extensiones peligrosas.

El gobierno de los Estados Unidos extendió la aniversario tope para el byteed para desinvertir las operaciones estadounidenses de Tiktok hasta el 16 de diciembre de 2025, lo que la convierte en la cuarta extensión de este tipo. El progreso se produjo cuando China dijo que el spect-off de Tiktok en los Estados Unidos utilizará el cálculo chino de Bytedance como parte de un ámbito juicioso de los Estados Unidos que incluye “licencias del cálculo y otros derechos de propiedad intelectual”. El cálculo de inteligencia fabricado (IA) que sustenta la aplicación ha sido una fuente de preocupación entre los círculos de seguridad doméstico, ya que podría manipularse para impulsar la propaganda china o polarizar material a los usuarios. China igualmente ha llamado al ámbito un “ganar-ganar”. Según el acuerdo ámbito, aproximadamente el 80% del negocio estadounidense de Tiktok sería propiedad de una empresa conjunta que incluye Oracle, Silver Lake Partners, Media Mogul Rupert Murdoch y el CEO de Dell, Michael Dell, con la billete de Bytedance que disminuyó por debajo del 20% para cumplir con la ley de seguridad doméstico. La desinversión igualmente se extiende a otras aplicaciones como Lemon8 y Capcut que se operan por Bytedance. Por otra parte, el cálculo de Tiktok se copiará y volverá a capacitar utilizando los datos de los usuarios de EE. UU. Como parte del acuerdo, con Oracle auditando el sistema de recomendación. La Casa Blanca igualmente ha prometido que todos los datos de usuarios de EE. UU. En Tiktok se almacenarán en servidores Oracle en los EE. UU.

Un robador de información conocido como acreed está ganando tracción entre los actores de amenazas, con un aumento constante en los registros de acreed en foros de acento rusa. El robador fue anunciado por primera vez en el mercado ruso en febrero de 2025 por un afortunado llamado “Nu #### EZ” y se evalúa como un plan privado. A partir de septiembre de 2025, las cinco cepas de robador de información principales incluían Rhadamanthys (33%), Lumma (33%), acreed (17%), Vidar (12%) y StealC (5%). “En la contemporaneidad, Acreed es quizás un plan desarrollado en privado, pero nuestro observación de infraestructura muestra que igualmente está integrado en un ecosistema existente que se superpone con Vidar”, dijo Intrinsec.

La compañía de ciberseguridad Sophos dijo que observó a los actores de ransomware de brujo (igualmente conocido como Storm-2603 o Gold Salem) que abusó del cierto utensilio de Velociraptor Digital Forensics and Incident Respuesta (DFIR) para establecer un túnel de red de código de estudio Visual Studio en el interior del entorno comprometido. Algunos de los incidentes condujeron a la implementación del ransomware. Warlock ganó prominencia en julio de 2025 luego de que se descubrió que era uno de los primeros actores de amenaza que abusan de un conjunto de fallas de seguridad en Microsoft SharePoint llamado Toolshell para infiltrarse en redes objetivo. El conjunto ha reclamado 60 víctimas a mediados de septiembre de 2025, desde que comenzó sus operaciones en marzo, incluida una compañía rusa, lo que sugiere que puede estar operando desde fuera del Kremlin. Microsoft lo ha descrito con confianza moderada como actor de amenaza con sede en China. Todavía se ha observado que el conjunto armaba las fallas de la costa de herramientas para soltar un shell web ASPX que se usa para descargar un servidor WebSockets basado en Golang que permite el llegada continuo al servidor comprometido independientemente del shell web. Por otra parte, Gold Salem ha empleado la técnica de Bring Your Own Débil Driver (BYOVD) para evitar las defensas de seguridad mediante el uso de una vulnerabilidad (CVE-2024-51324) en el compensador antivirus de Baidu bdapiutil.sys para terminar el software EDR. “El conjunto emergente demuestra la artesanía competente utilizando un texto de jugadas de ransomware hogareño y toques de ingenio”, dijo Sophos.

Los actores de amenazas están distribuyendo extensiones falsas de cromo que se hacen sobrevenir por herramientas de inteligencia fabricado (IA) como Operai Chatgpt, Flama, Perplexity y Claude. Una vez instaladas, las extensiones permiten a los usuarios escribir las indicaciones en la mostrador de búsqueda de Chrome, pero secuestrarán las indicaciones para redirigir las consultas a los dominios controlados por los atacantes y rastrear la actividad de búsqueda. Los complementos del navegador “anulen la configuración predeterminada del motor de búsqueda a través de la secreto del manifiesto Chrome_Settings_Overrides”, dijo Palo Parada Networks Unit 42. Las consultas se redirigen a dominios como chatgptforChrome (.) Com, dinershtein (.) Com y gen-ai-search (.) Com.

Se ha enfrentado que una operación sofisticada se divide en enrutadores y dispositivos IoT utilizando credenciales débiles y fallas de seguridad conocidas, y alquila los dispositivos comprometidos a otros operadores de Botnet. La operación ha sido testimonio de un aumento importante en la actividad este año, saltando un 230% a mediados de 2025, con la infraestructura de cargador de bots como un servicio utilizada para entregar cargas enseres para DDoS y criptominaciones de botnets como Rondodox, Mirai y Morte, per Cloudsek.

Los rastreadores de ubicación del moyálico fugan información confidencial que puede permitir a los actores de amenaza rastrear la ubicación de un dispositivo. Según los investigadores del Instituto de Tecnología de Georgia, que realizó un ingeniería inversa del servicio de seguimiento de ubicación y descubrieron que los dispositivos filtran direcciones MAC e ID de dispositivo únicas. Un atacante puede usar la marcha de protecciones de secreto para interceptar y compilar la información utilizando una antena de radiodifusión simple, lo que finalmente les permite rastrear a todos los clientes de la compañía. “Los servidores de Tile pueden instruirse persistentemente la ubicación de todos los usuarios y etiquetas, los adversarios sin privilegios pueden rastrear a los usuarios a través de anuncios de Bluetooth emitidos por los dispositivos de Tile, y el modo antirrobo de Tile se subvirtió fácilmente”, dijeron los investigadores en un estudio. Los problemas se informaron a su empresa matriz Life360 en noviembre de 2024, luego de lo cual dijo que se implementaron un “número de mejoras” para enfrentarse el problema, sin especificar cuáles eran.

Las nuevas estadísticas publicadas por Foresout muestran que una cuarta parte de todas las aperturas y el 8.5% de todos los servidores SSH ahora admiten criptografía posterior al quantum (PQC). En contraste, la admisión de TLSV1.3 permanece en 19% y TLSV1.2, lo que no respalda PQC, aumentó del 43% al 46%. El crónica igualmente encontró que la fabricación, el petróleo y el gas, y la minería tienen las tasas de admisión de PQC más bajas, mientras que los servicios profesionales y comerciales tienen los más altos. “El número tajante de servidores con soporte de PQC creció de 11.5 millones en abril a casi 15 millones en agosto, un aumento del 30%”, agregó. El número relativo creció de 6.2% del total de servidores a 8.5%.

SynackTiv ha documentado una nueva técnica para inyectar y activar programáticas extensiones de Chrome en navegadores basados ​​en cromium en el interior de los dominios de Windows para fines maliciosos manipulando archivos de preferencias internas de Chromium y su propiedad JSON Mac asociada (“Super_MAC”). La investigación “destaca el desafío inherente en los secretos de navegador internos de protección criptográfica como la semilla MAC, ya que cualquier posibilidad verdaderamente robusta necesitaría tener en cuenta diversos mecanismos de seguridad específicos del sistema activo (como DPAPI en Windows) sin afectar la compatibilidad de la formación multiplataforma”, dijo la compañía.

Se ha pasado una campaña de phishing de correo electrónico dirigida a entidades en el sector de la educación superior para robar credenciales y contraseñas de un solo dúo de Cisco (OTP) con el objetivo de comprometer cuentas, exfiltrar datos y difundir ataques laterales. “Los objetivos se canalizan a portales de inicio de sesión falsificados que imitan perfectamente las páginas de inicio de sesión de la Universidad”, dijo Anormal Ai. “Entonces, los kits de phishing especialmente diseñados cosechan credenciales y contraseñas de un solo dúo (OTP) a través de flujos de múltiples pasos sin problemas. Con estos detalles en la mano, los atacantes secuestran rápidamente cuentas, esconden sus pistas con reglas de ranura maliciosos y lanzan campañas de phishing laterales en el interior de la misma ordenamiento”. Más de 40 organizaciones comprometidas y más de 30 universidades y colegios específicos han sido identificados como parte de la campaña.