Chrome 0 días, 7.3 tbps DDoS, trucos de derivación de MFA, troyano bancario y más

No todos los riesgos parecen un ataque. Algunos problemas comienzan como pequeños problemas técnicos, troncos extraños o retrasos silenciosos que no parecen urgentes, hasta que lo son. ¿Qué pasa si su entorno ya se está probando, pero no de una modo que esperaba?

Algunos de los movimientos más peligrosos están ocultos a la instinto. Vale la pena preguntar: ¿qué patrones nos estamos perdiendo y qué señales estamos ignorando porque no coinciden con viejos libros de jugadas?

Los informes de esta semana ponen en foco esas señales tranquilas, desde los ataques que pasaron por parada el MFA utilizando herramientas confiables, hasta compromisos de la dependencia de suministro que se esconden detrás de las interfaces cotidianas. Esto es lo que se destacó en el paisaje cibernético:

⚡ Amenaza de la semana

CloudFlare bloquea un ataque masivo de 7.3 tbps DDoS -Cloudflare dijo que bloqueó de forma autónoma el ataque de denegación de servicio (DDoS) distribuido más espacioso nones registrado, que alcanzó un pico de 7.3 terabits por segundo (TBP). El ataque, dijo la compañía, atacó a un proveedor de alojamiento no identificado y entregó 37.4 terabytes en 45 segundos. Se originó en más de 122,145 direcciones IP de origen que abarcan 5,433 sistemas autónomos (AS) en 161 países. Las principales fuentes de tráfico de ataque incluyeron Brasil, Vietnam, Taiwán, China, Indonesia, Ucrania, Ecuador, Tailandia, Estados Unidos y Arabia Saudita.

🔔 Informativo principales

• Patched Google Chrome Flaw explotado por TaxOff -Un actor de amenaza conocido como Taxoff explotó CVE-2025-2783, un defecto de seguridad ahora parpadeado en Google Chrome, como un día cero a mediados de marzo de 2025 para atacar a las organizaciones rusas con un trinper con nombre en el código de puerta trasera. Los ataques comparten superposiciones con otro clúster de actividad de amenazas denominado Team46, que se cree que estuvo activo desde principios de 2024 y ha utilizado otra vulnerabilidad de día cero en el navegador Yandex para Windows en el pasado para ofrecer cargas efectos no especificadas.
• Corea del Finalidad emplea defensores profundos en una nueva estafa de teleobjetivo inexacto – Los actores de amenaza con lazos con Corea del Finalidad atacaron a un empleado no identificado de una pulvínulo de criptomonedas con llamadas de teleobjetivo engañosas con ejecutivos de empresas profundas para engañarlos para que descarguen malware. La compañía de ciberseguridad Huntress, que respondió al incidente, dijo que descubrió ocho binarios maliciosos distintos en el huésped de la víctima que son capaces de ejecutar comandos, eliminar cargas efectos adicionales, registrar pulsaciones de teclas y robar archivos relacionados con criptomonedas.
• Los actores de amenaza rusa usan contraseñas de aplicaciones para evitar MFA -Se ha enemigo que los actores de amenaza rusos rastreados como UNC6293 omitieron la autenticación de múltiples factores (MFA) y acceden a las cuentas de Gmail de individuos específicos al disfrutar las contraseñas específicas de la aplicación en ataques de ingeniería social hábilmente diseñados que se hacen acaecer por funcionarios del Sección de Estado de los Estados Unidos. Los ataques, que comenzaron en al menos abril y continuaron hasta principios de junio, son notables por sus esfuerzos para suscitar confianza con las víctimas durante semanas, en espacio de inducir una falsa sensación de aprieto y apresurarlos a tomar acciones involuntarias. El objetivo final de los ataques es persuadir a los destinatarios para que creen y compartan contraseñas específicas de la aplicación que proporcionarían comunicación a sus cuentas de Gmail.
• El padrino Trojan crea sandbox en dispositivos Android infectados – Se ha enemigo que una nueva traducción del troyano de Banca de Padrino crea entornos virtuales aislados en dispositivos Android para robar datos de cuentas y transacciones de aplicaciones bancarias legítimas. Si admisiblemente el malware ha estado activo desde junio de 2021, la última iteración lleva sus capacidades de robo de información a un nivel completamente nuevo a través de la implementación de una aplicación maliciosa que contiene un entorno de virtualización integrado en dispositivos infectados, que se utiliza para ejecutar copias de las aplicaciones específicas. Por lo tanto, cuando un afortunado garrocha una aplicación bancaria, se redirige a la instancia virtualizada, desde donde se roban datos confidenciales. El malware incluso muestra una superposición de pantalla de corte inexacto para engañar a la víctima para que ingrese a su pin.
• El conflicto de Israel-Irán se enciende en la aniquilamiento cibernética -El conflicto de Israel-Irán que comenzó con los ataques israelíes contra objetivos nucleares y militares iraníes el 13 de junio ha provocado un conflicto cibernético más amplio en la región, con grupos hacktivistas y actores motivados ideológicamente dirigidos a ambas naciones. Entre ellos, el categoría de amenazas pro-Israel conocido como Sparrow depredador violó el parcialidad Sepah y Nobitex, alegando que se han utilizado para eludir las sanciones internacionales. El pardal depredador se ha vinculado públicamente a ataques dirigidos a una instalación de producción de hoja iraní en 2022 y por causar interrupciones en los sistemas de suscripción de la tiempo de servicio en todo el país en 2021. Por otra parte, la emisora ​​de televisión estatal de Irán fue pirateada para interrumpir la programación regular y los videos aéreos que solicitan protestas callejeras contra el gobierno iraniano. Se estima que casi tres docenas de grupos pro-iraníes han agresivo ataques coordinados contra la infraestructura israelí. Estos actos representan otra ascenso del uso de ataques cibernéticos durante (y como precursores de) conflictos geopolíticos, al tiempo que subrayan la creciente importancia de la aniquilamiento cibernética.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión pequeño en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La índice de esta semana incluye: CVE-2025-34509, CVE-2025-34510, CVE-2025-34511 (Sitecore XP), CVE-2025-6018, CVE-2025-6019, CVE-2025-6020 (Linux), CVE-2025-23121 (VEEAM BAVER & REEPLACE), CVE-2025-3600 (UI de Telerik de Progress para AJAX), CVE-2025-3464 (ASUS Armory Crate), CVE-2025-5309 (soporte remoto más allá de Trust y comunicación remoto privilegiado), CVE-2025-5349, CVE-2025-5777 (Citrix ADC y Gateway), CVE-2025-5071 (AIMO1 Plugin), CVE-2025-4322 (tema de motores), CVE-2025-1087 (Insomnia API Client), CVE-2025-20260 (CLAMAV), CVE-2025-32896 (Apache Seatunnel), CVE-2025-50054 (OpenVPN) y CVE-2025-1907 (

📰 aproximadamente del mundo cibernético

• Prometei Botnet Resurgence en marzo de 2025 – La botnet conocida como Prometei se ha observado en ataques renovados en marzo de 2025, al tiempo que incorpora nuevas características. “Las últimas versiones de PrometeI cuentan con una puerta trasera que permite una variedad de actividades maliciosas. Los actores de amenaza emplean un operación de gestación de dominio (DGA) para su infraestructura de comando y control (C2) e integran características de autoevaluación para el sigilo y la esparcimiento”, dijo Palo Parada Networks Unit 42. Prometei, por primera vez en julio de 2020, es capaz de machucar los sistemas de Windows y Linux para la minería de criptomonedas, el robo de credenciales y la exfiltración de datos. Todavía puede implementar cargas de malware adicionales. En los últimos primaveras, ha explotado los sistemas de Windows sin parpadear contra fallas de proxylogon. A partir de marzo de 2023, se estimó que ha comprometido más de 10,000 sistemas desde noviembre de 2022 “. Este diseño modular hace que Prometei sea enormemente adaptable, ya que los componentes individuales se pueden refrescar o reemplazar sin afectar la funcionalidad común de Botnet”, dijo la dispositivo 42.
• Bitoopro Hack vinculado al categoría Lázaro – El intercambio de criptomonedas taiwaneses Bitoopro afirmó que el categoría de piratería norcoreano Lazarus está detrás de un ataque cibernético que condujo al robo de $ 11,000,000 en criptomonedas en el 9 de mayo de 2025 “. La metodología de ataque se asemeja a los patrones observados en múltiples incidentes internacionales pasados, incluidas las transferencias ilícitas de los sistemas bancarios de los bancos y los incidentes de los informes mundiales de los críticos de los críticos de los críticos de los críticas mundiales de los críticos de los críticos de los críticos mundiales de los críticos de los críticos de los críticas mundiales. Los intercambios. BitPro incluso reveló que los atacantes realizaron un ataque de ingeniería social contra un miembro del equipo responsable de las operaciones en la estrato para implantar malware y ingresar de forma remota a su computadora, mientras evadían el monitoreo de seguridad. “Después secuestraron los tokens de la sesión de AWS para evitar la autenticación multifactor (MFA)”, agregó. “Desde el entorno de AWS, entregaron comandos a través de un servidor C2 para transferir discretamente scripts maliciosos al host de billetera caliente, esperando la oportunidad de divulgar el ataque. Posteriormente de una observación prolongada, los piratas informáticos se dirigieron específicamente a la plataforma durante su modernización del sistema de billetera y período de transferencia de activos, simulando comportamientos operativos normales para divulgar el ataque”. El 9 de mayo, el script solapado se ejecutó para transferir la criptomoneda desde la billetera caliente. BitPro dijo que cerró su sistema de billetera caliente, giró todas las claves criptográficas y aisló y reconstruyó los sistemas afectados luego de descubrir una actividad de billetera inusual. El atraco es el posterior en ser atribuido al palpable categoría de Lázaro, que estaba implicado en el robo récord de $ 1.5 mil millones de Bybit.
• Microsoft planea depurar los controladores heredados – Microsoft dijo que está lanzando una “iniciativa estratégica” para depurar periódicamente los controladores heredados publicados en Windows Update para disminuir los riesgos de seguridad y compatibilidad. “La coartada detrás de esta iniciativa es asegurar que tengamos el conjunto inmejorable de controladores en Windows Update que atienden a una variedad de dispositivos de hardware en el ecosistema de Windows, al tiempo que nos aseguramos de que la postura de seguridad de Microsoft Windows no esté comprometida”, dijo la compañía. “Esta iniciativa implica la aseo periódica de los controladores de Windows Update, lo que resulta en que algunos controladores no se ofrecen a ningún sistema en el ecosistema”.
• Mocha Manakin usa ClickFix para entregar Node.js Backdoor -Un actor de amenaza previamente indocumentado conocido como Mocha Manakin se ha relacionado con un nuevo conjunto de ataques que aprovechan el conocido ClickFix (incluso conocido como Paste and Run o Fakecaptcha) como una técnica de comunicación original para soltar un nodo a medida. JS Backdoor Codenamed Nodeinitrat. “Nodeinitrat permite al adversario establecer persistencia y realizar actividades de inspección, como enumerar los nombres principales y la compilación de detalles del dominio”, dijo Red Canary. “Nodeinitrat se comunica con servidores controlados por adversarios a través de HTTP, a menudo a través de túneles de CloudFlare que actúan como infraestructura intermedia”. La puerta trasera viene con capacidades para ejecutar comandos arbitrarios e implementar cargas efectos adicionales en sistemas comprometidos. El actor de amenaza fue observado por primera vez por la compañía de seguridad cibernética en enero de 2025. Se evalúa que la puerta trasera se superpone con un ejecutable de nodo.js utilizado en ataques de ransomware entrelazados.
• China apunta a Rusia a averiguar secretos de aniquilamiento -Los piratas informáticos patrocinados por el estado de China se han dividido repetidamente en empresas rusas y agencias gubernamentales para que probablemente buscaran secretos militares desde la invasión del país de Ucrania en 2022. Según el New York Times, las intrusiones aceleradas en mayo de 2022, con un categoría conocido como Sanyo que esgueraba las direcciones de correo electrónico de una gran firma de ingeniería rusa recurriendo información sobre submarinos nucleares. En un documento clasificado preparado por la agencia de seguridad franquista, se dice que Rusia afirmó que “China está buscando experiencia en defensa rusa y tecnología y está tratando de cultivarse de la experiencia marcial de Rusia en Ucrania,” llamando a China un “enemigo”. Otro actor de amenaza de interés es Mustang Panda, que ha ampliado su calibre para dirigirse a organizaciones gubernamentales en Rusia y la Unión Europea luego de la aniquilamiento ruso-ucraniana.
• Sitio web de CoinMarketCap pirateado con ventana emergente falsa “Verify Wallet” -CoinMarketCap (CMC), una plataforma popular para el seguimiento de criptomonedas, reveló que su sitio web fue pirateado para servir a un “emergente solapado que solicita a los usuarios a ‘probar la billetera’ con el objetivo de drenar los activos digitales de los usuarios. Si admisiblemente actualmente no está claro cómo los atacantes llevaron a lado el ataque, la compañía dijo que desde entonces ha identificado y eliminado el código solapado de su sitio. Según Coinspect Security, el drenador se inyectó a través de la característica de “garabatos” de CoinMarketCap que se sirve desde el dominio API.CoinMarketCap (.) Com. “La API de backend de CoinMarketCap sirve datos JSON manipulados que inyectan JavaScript solapado a través de la función giratoria de” garabatos “”, dijo la compañía. “No todos los usuarios lo ven, ya que el bosquejo que se muestra varía por visitante. El drenador de billetera inyectado siempre se carga si visitante /garabatos /”. Específicamente, esto implica cargar el drenador del archivo JSON “CoinmarketClap” Doodle, explotando una vulnerabilidad de inyección de código que explota los archivos JSON de animación Lottie para inyectar JavaScript abusivo de un sitio forastero llamado static.cdnkit (.) IO. “El 20 de junio de 2025, nuestro equipo de seguridad identificó una vulnerabilidad relacionada con una imagen de garabatos que se muestra en nuestra página de inicio”, dijo CoinmarketCap. “Esta imagen de Doodle contenía un enlace que activaba el código solapado a través de una señal API, lo que resultó en una ventana emergente inesperada para algunos usuarios cuando se visitaba (sic) nuestra página de inicio”. CoinmarketCap no reveló cuántos usuarios encontraron la ventana emergente o si alguna billetera se vio comprometida. Sin retención, según las capturas de pantalla compartidas por un actor de amenaza llamado Reyxbf en X, aproximadamente de $ 43,266 fueron desviados de 110 víctimas que interactuaron con la ventana emergente de comprobación de la billetera falsa. “Este fue un ataque de la dependencia de suministro, lo que significa que la violación no se dirigió a los propios servidores de CMC, sino a una aparejo o arbitrio de terceros utilizado por CMC”, dijo C/Side.
• JavaScript solapado servido a través de la traducción corrupta de jQuery migrate – En otra amenaza de la dependencia de suministro, los investigadores de seguridad cibernética descubrieron una dependencia de infección de malware que empleaba una traducción maliciosa de una traducción de la biblioteca de migración jQuery que había sido alterada para insertar y ejecutar de forma remota JavaScript en el navegador de la víctima. El primer paso en el ataque fue el compromiso de un sitio legal de WordPress (“TabukChamber (.) SA”), probablemente a través de un complemento endeble o credenciales comprometidas, para inyectar razonamiento ofuscada relacionada con TDS lástecos, que está diseñado para huellas de dedos y servir selectivamente malware a usuarios calificados en función de ciertos criterios. En este caso, una de las respuestas adaptadas de JavaScript incluyó un script de inmediaciones disfrazado de jQuery-Migrate-3.4.1.min.js. El ataque, según Trellix, se desarrolló cuando un parada ejecutor de uno de sus clientes empresariales accedió al sitio web de WordPress. “Este método de infección muestra una operación admisiblemente planificada y fraude centrada en combinar malware en el comportamiento frecuente del sitio web, aprovechando el enlace más débil: tuberías de frontend de terceros no verificadas”, dijo la compañía.
• Tesla Wall Conector pirateado para resistir a lado ataques de rebajas – Los investigadores demostraron una técnica de ataque que explotó el conector de horma Tesla, un cargador para vehículos eléctricos, para instalar firmware endeble en el dispositivo y finalmente ejecutar el código abusivo en el dispositivo. El ataque aprovecha el hecho de que los vehículos Tesla pueden refrescar el conector de carga a través de un cable de carga utilizando un protocolo patentado. Synacktiv dijo que logró una exploit exitosa en aproximadamente 18 minutos oportuno al “bajo satisfecho de bandada del bus SWCAN (red de radio de compensador de un solo cable)”. Para ganar esto, se construyó un simulador de automóvil de Tesla para comunicarse con el cargador en el modo de comunicación SWCAN, permitiéndoles ejecutar la razonamiento de rebenado, usar Servicios de dictamen unificados (UDS) para extraer credenciales de Wi-Fi y obtener un caparazón de depuración. Por otra parte, el desbordamiento de un búfer en la razonamiento de exploración de comando del shell de depuración podría explotarse para ganar la ejecución del código en el dispositivo. “Legado que el conector de horma generalmente está conectado a una casa, hotel o red comercial, obtener comunicación al dispositivo podría proporcionar un punto de apoyo a la red privada, lo que potencialmente permite el movimiento colateral a otros dispositivos”, dijo la compañía. Tesla ha abordado el problema implementando un mecanismo anti-descendente, evitando la reversión del firmware utilizada en el ataque.
• ASRJAM ideado para cortar las estafas de teléfono automatizadas – Un categoría de académicos de la Universidad de Ben Gurion de la Negev y Amrita Vishwa Vidyapeetham ha desarrollado un nuevo entorno llamado ASRJAM que inyecta perturbaciones adversas en el audio de una víctima para interrumpir el sistema de inspección de voz espontáneo de un atacante (ASR). Impulsado por un operación de freno denominado Echoguard, aprovecha las distorsiones naturales, como la reverberación y el eco, para contrarrestar los sistemas de inspección de voz que los atacantes utilizan los atacantes para realizar ataques viscosos y provocar información sensible de las víctimas o engañarlos para que realicen una hecho maliciosa. ASRJAM “se dirige al anilla más débil en la tubería del atacante, el inspección de voz, interrumpiendo los ataques de vishado impulsados ​​por LLM sin afectar la inteligibilidad humana”, según el estudio.
• Anonseckh se dirige a las entidades tailandesas luego de la luminaria fronteriza – Un categoría hacktivista camboyano ha aumentado los ataques cibernéticos contra las entidades tailandesas luego de una refriega fronteriza entre los dos países a fines del mes pasado que llevó a la homicidio de un soldado camboyano. El Liga Anonseckh (incluso conocido como Anon-KH o BL4CKCYB3R) reclamó al menos 73 ataques contra organizaciones tailandesas entre el 28 de mayo y el 10 de junio de 2025. Los objetivos incluían sitios web gubernamentales, seguidos de entidades en los sectores militares, de fabricación y finanzas. “Sus ataques están estrechamente vinculados a incidentes políticos y demuestran un patrón reactivo”, dijo Radware. “El categoría ha demostrado la capacidad de divulgar ondas de ataque rápidas e intensas”.
• El DOJ aprovecha el récord de $ 225 millones en criptografía empatada con estafas de cebo romántico – El Sección de Razón de los Estados Unidos (DOJ) dijo que ha presentado una queja de comiso civil que escudriñamiento recuperar más de $ 225 millones en criptomonedas vinculadas a las estafas de confianza de criptomonedas (incluso conocido como cebo romántico) que se agotan en Vietnam y Filipinas, la anciano convulsión criptográfica por el gobierno de los Estados Unidos hasta la momento. “Las direcciones de criptomonedas que tenían más de $ 225.3 millones en criptomonedas formaron parte de una sofisticada red de lavado de boleto basada en Blockchain que ejecutó cientos de miles de transacciones y se utilizó para dispersar los ingresos de los ingresos de la inversión de la criptina de fraude de inversión en muchos direcciones de criptioconenciones y cuentas en la dependencia de bloques para concelar la fuente de los fondos obtenidos de los fondos ilegales. Se cree que más de 430 presuntas víctimas perdieron sus fondos luego de ser engañados para que creyeran que estaban haciendo inversiones legítimas de criptomonedas. Según TRM Labs, el esquema implicó dirigir a las víctimas a falsificar plataformas de inversión que se hicieron acaecer por entornos comerciales legítimos, atrayendo con la promesa de altos rendimientos. Si admisiblemente estos servicios permitieron retiros más pequeños, bloquearon el comunicación o impusieron los requisitos de impuestos o tarifas falsos cuando las víctimas iniciaron solicitudes de retiro mayores. Se utilizaron hasta 144 cuentas en el intercambio de moneda imaginario OKX para colar los ingresos de la operación. “Estas cuentas exhibieron patrones de actividad coordinada, incluido el uso de documentos vietnamitas de KYC, direcciones IP superpuestas geolocadas en Filipinas y fotografías de KYC tomadas en el mismo entorno físico”, dijo la compañía.
• National Nigeriano enviado a la prisión estadounidense por estafas cibernéticas -Ridwan Adeleke Adepoju, un participante de 33 primaveras de Lagos, Nigeria, ha sido sentenciado a tres primaveras y medio en una prisión federal por realizar una variedad de esquemas de fraude cibernético que se dirigieron a ciudadanos y empresas estadounidenses, incluidas estafas de phishing, estafas románticas y la presentación de retornos de impuestos fraudulentes. “Las estafas involucraron múltiples direcciones de correo electrónico falsificadas, personajes de redes sociales ficticios y mulas de boleto involuntarias”, dijo el Sección de Razón. Adepoju fue arrestado el año pasado en el Reino Unido y luego extraditado a los Estados Unidos
• Desconfiado Firefox Browser complementos manchados -Los investigadores de seguridad cibernética han descubierto varios complementos en el mercado oficial de extensiones para Mozilla Firefox que es capaz de resistir a los usuarios a los sitios web de estafadores de soporte técnico a través de ventanas emergentes relacionadas con alertas de virus falsas y errores del sistema (Shell Shockers IO), redirigir el tráfico de Wikipedia a un dominio independiente que anuncia un servicio proxy (Wikipedia Engels Lizzizs Lizatizs), y Manipulation User, y manipulación de Metomios), y manipulaciones de Methipulating User, y manipulación de Manejeras), y Methipulating User Methipulating Usar Plataformas como Facebook inflando artificialmente me gusta y vistas.
• Los teléfonos inteligentes en Corea del Finalidad toman capturas de pantalla cada 5 minutos – Un teléfono inteligente de contrabando de Corea del Finalidad a fines de 2024 había sido programado de modo que tome una captura de pantalla cada cinco minutos y lo guarde en una carpeta, destacando en qué medida el régimen intenta cultivar su control sobre los ciudadanos, la información de los censuradores y las personas adoctrinadas. BBC, que obtuvo el teléfono, dijo que el dispositivo está diseñado para reemplazar automáticamente las palabras prohibidas con sus equivalentes de Corea del Finalidad, como sustituir la palabra “Corea del Sur” con el término “estado títere”.
• Multas del Reino Unido 23andMe para la violación de datos de 2023 – El vigilante Watchdog de la protección de datos del Reino Unido, la Oficina del Comisionado de Información (ICO), dijo que está multado a la compañía de genómica en incendiada 23andMe $ 3.1 millones sobre su violación de 2023 y por no implementar las medidas de seguridad apropiadas para proteger la información personal de los usuarios del Reino Unido. El truco de 2023 permitió a los actores de amenaza no identificados realizar un ataque de relleno de credenciales entre abril y septiembre de 2023 para obtener comunicación no competente a información personal que pertenece a 155,592 residentes del Reino Unido, probablemente revelando nombres, primaveras de origen, ciudad autoinformada o ubicación de nivel postal, imágenes de perfil, raza, etnia, árboles familiares e informes de vigor en el proceso. La naturaleza exacta de la información expuesta variaba por afortunado. El ICO falló 23andMe para no implementar medidas de autenticación y comprobación apropiadas y para no hacer cumplir los controles sobre el comunicación a datos genéticos sin procesar. Todavía dijo que la compañía no tenía sistemas efectivos para “monitorear, detectar o objetar a las amenazas cibernéticas dirigidas a la información confidencial de sus clientes”. El ICO dijo por otra parte que 23andMe tardó hasta finales de 2024 para tocar suficientemente los problemas de seguridad que sustentaban el ataque de las credenciales.
• Más de 46k instancias de Grafana vulnerables a CVE-2025-4123 -Más de 46,000 instancias de Grafana orientadas a Internet son susceptibles a un defecto de seguridad recientemente revelado (CVE-2025-4123, incluso conocido como el espanto de Grafana) que podría permitir que un atacante ejecute un código abusivo y tome el control de las cuentas de las víctimas al atraer a Urls que hace clic en la carga a la carga de A Rogue Grafana de un sitio controlado por el acto de amenaza sin exigir el acto de amenaza sin exigirles. “La vulnerabilidad incluso afecta las instancias de Grafana que se ejecutan localmente al crear una carga útil que aprovecha el nombre de dominio y el puerto de uso circunscrito para el servicio circunscrito”, dijo Ox Security. La divulgación se produce cuando Censys reveló que hay casi 400 interfaces de máquina humana basadas en la web (HMIS) expuestas a Internet, de las cuales 40 eran completamente no autenticadas y controlables por cualquier persona con un navegador. Desde entonces, la mayoría de estos sistemas han sido asegurados. Por otra parte de eso, se han detectado que casi 35,000 sistemas de energía solar de 42 proveedores exponen públicamente sus interfaces de diligencia a través de Internet.
• Viasat pirateado por salphoon de sal -La compañía de comunicaciones satelitales de EE. UU. Viasat ha agradecido que fue atacado por los piratas informáticos de Salt Typhoon vinculados a China. Según Bloomberg, la violación se descubrió a principios de este año. Viasat confirmó que había detectado comunicación no competente a través de un dispositivo comprometido, pero dijo que no había enemigo evidencia de impacto para los clientes.
• Freetype cero día explotado en ataques de spyware de Paragon -Se explotó un defecto de seguridad en FreeType (CVE-2025-27363) como un día cero en relación con un ataque de spyware de mina Paragon que aprovechó a WhatsApp como un vector de entrega, según un mensaje de Security Week. En marzo, WhatsApp reveló que interrumpió una campaña que involucraba el uso de software de mina para apuntar a aproximadamente de 90 periodistas y miembros de la sociedad civil. Google abordó la vulnerabilidad el mes pasado en Android.
• Vader para detectar y anular gotas muertas -Se sabe que los actores de amenaza aprovechan plataformas legítimas y confiables como Dropbox, Google Drive y Pastebin como resolvers de Drop (DDR) para penetrar información que apunta a los servidores reales de comando y control (C2) en un probable esfuerzo para evitar la detección y combinar con la actividad regular interiormente de las redes empresariales. Esto incluso hace que la infraestructura maliciosa sea más resistente, ya que los atacantes pueden cambiar dinámicamente la índice de servidores C2, en caso de que se elimine la flamante. Ingrese a Vader, iniciales de exploración de vulnerabilidad para la resolución de punto final de caída de Dead, que tiene como objetivo mejorar la seguridad de las aplicaciones web a través de la remediación de resolución de caída de muertos proactivos. “Analizando un conjunto de datos de 100,000 muestras de malware recolectadas en la naturaleza, Vader identificó 8,906 muestras de malware DDR de 110 familias que aprovechan 273 caídas muertas en siete aplicaciones web”, dijeron académicos del Instituto de Tecnología de Georgia. “Por otra parte, descubrió proactivamente un 57.1% más de caídas muertas que abarcan 11 aplicaciones web”.

🎥 seminarios web de ciberseguridad

• Están fingiendo tu marca: detén la suplantación de IA ayer de que se propague – Los atacantes de IA pretenden ser su empresa, sus ejecutivos, incluso a sus empleados. Desde correos electrónicos falsos hasta Deepfakes, está sucediendo rápido. En este seminario web, Doppel mostrará cómo detectar y detener la suplantación en las plataformas que más importan, ayer de que los clientes o socios sean engañados. Únase para proteger su marca en la era de las amenazas de IA.
• Los agentes de IA están filtrando datos: aprenda cómo solucionarlo rápidamente – Las herramientas de IA como ChatGPT y Copilot a menudo están vinculadas a Google Drive o SharePoint, pero sin la configuración correcta, pueden filtrar archivos privados. En este seminario web, los expertos de Sentra desglosan ejemplos reales de cómo ocurre la exposición a los datos, y lo que puede hacer en este momento para detenerlo. Si su equipo está usando AI, esto es una visitante obligada ayer de que poco se deslice.

🔧 Herramientas de ciberseguridad

• glpwnme – Es una aparejo simple y poderosa para encontrar y explotar vulnerabilidades conocidas en GLPI, una plataforma de diligencia de activos de TI ampliamente utilizada. Ayuda a los equipos de seguridad y a las pruebas de pluma a detectar problemas como RCE, fallas de complementos y credenciales predeterminadas en múltiples versiones GLPI. Ideal para el equipo rojo, la retribución de errores o las auditorías internas, GLPWNME incluso admite una aseo segura y enumeración de complementos, lo que lo hace valentísimo para verificaciones de seguridad GLPI rápidas y enfocadas.
• Desbloquear – Es una aparejo simple que elimina los datos basura de ejecutables hinchados, a menudo de 100–800 MB auxiliar para esquivar Sandboxing. Con el soporte de GUI y CLI, limpia binarios inflados en segundos utilizando la detección automatizada de trucos de embalaje comunes. Utilizado por plataformas como AssemblyLine y MWDB, es ideal para analistas de malware y equipos de CERT que necesitan una aseo rápida y confiable ayer de un exploración más profundo.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio peligro: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

SCCM puede ser una aparejo de adquisición de dominio silencioso: aquí le mostramos cómo asegurarla ➝ El System Center Configuration Manager (SCCM) de Microsoft es una aparejo poderosa para ordenar software y dispositivos en una ordenamiento. Pero oportuno a que toca muchos sistemas, incluso es un gran peligro de seguridad si no se configura con cuidado. Los atacantes que obtienen comunicación a un solo afortunado o máquina pueden usar la función Push del cliente de SCCM para ejecutar el código de forma remota en otros sistemas. Esto a menudo funciona porque SCCM utiliza cuentas de servicio (como el punto de distribución o las cuentas de comunicación a la red) que tienen derechos de agencia en muchas máquinas. Y si su entorno aún permite la autenticación NTLM o el tráfico SMB sin firmar, los atacantes pueden secuestrar en silencio estas conexiones utilizando herramientas como NTLMRelayx o Petitpotam, sin activar alertas.

Muchos equipos de TI pierden el hecho de que las configuraciones de SCCM a menudo dependen de cuentas de agencia locales compartidas, permiten la instalación cibernética de clientes y aún admiten protocolos de seguridad obsoletos. Estos pasos en inexacto comunes facilitan que los atacantes se muevan a través de su red sin ser vistos. Lo que es peor, la pulvínulo de datos SCCM y el servidor de proveedores de SMS, que son fundamentales para impulsar el software y juntar credenciales, rara vez se bloquean correctamente, lo que es una ruta clara para tomar el control.

Para proteger su red, comience desactivando NTLM Fallback y encendiendo la firma de SMB a través de la política de categoría. Luego, verifique qué cuentas usa SCCM para instalar clientes: resulte los derechos de agencia cuando no sea necesario, y gire esas credenciales regularmente. Asegúrese de que la pulvínulo de datos SCCM use cuentas de servicio dedicadas, límites que puedan conectarse a ella y monitorear registros como ClientPushinstallation.log para cualquier cosa sospechosa. Use herramientas como LAPS o GMSA para ordenar contraseñas locales de modo segura y coloque los servidores SCCM en su propio categoría de red detrás de un firewall.

Finalmente, tenga cuidado donde ejecuta la consola de agencia SCCM. Evite usarlo en computadoras portátiles diarias o máquinas de uso común. En su espacio, use un sistema seguro y bloqueado solo para el trabajo de agencia, y agregue protecciones como Credential Guard o use el comando Runas /Netonly para perseverar seguras las credenciales de agencia. Cuando SCCM se asegura correctamente, bloquea una de las rutas más fáciles que usan los atacantes para prolongarse a través de su red. Pero si se deja despejado, puede darles comunicación tranquilo a casi todo.

Conclusión

Si las señales se sienten más fuertes por último, es porque lo son. Los atacantes están refinando sus movimientos, no reinventándolos, y cuentan que los defensores estén demasiado ocupados para notar. No les dé esa preeminencia. Afila tus controles, simplifica dónde puede y sigue moviéndose más rápido que la amenaza.

La seguridad no es solo un esfuerzo en solitario, es una responsabilidad compartida. Si este recopilación te ayudó a detectar poco que vale la pena ver, es probable que cierto más en tu red incluso necesite verlo. Compártelo con su equipo, compañeros o cualquier persona responsable de perseverar seguros los sistemas. Un solo detalle pasado por parada en un entorno puede convertirse en el plan para el peligro en otro.