Explaios de VPN, incriación silenciosa de Oracle, SickFix Surge y más

Hoy, cada sistema no parpadeado, contraseña filtrada y complemento pasado por suspensión es una puerta para atacantes. Las cadenas de suministro se extienden profundamente en el código en el que confiamos, y el malware se esconde no solo en aplicaciones sombrías, sino en ofertas de trabajo, hardware y servicios en la aglomeración en los que confiamos todos los días.

Los piratas informáticos ya no necesitan hazañas sofisticadas. A veces, sus credenciales y un poco de ingeniería social son suficientes.

Esta semana, rastreamos cómo los supervisiones simples se convierten en grandes infracciones, y las amenazas silenciosas que la mayoría de las empresas aún subestiman.

Vamos a sumergirnos.

⚡ Amenaza de la semana

UNC5221 explota un nuevo defecto ivanti para soltar malware -El Conjunto de Cyber ​​Espionage de China-Nexus rastreó como UNC5221 explotó un defecto ahora parpadeado en Ivanti Connect Secure, CVE-2025-22457 (CVSS Score: 9.0), para ofrecer un dosificador en la memoria llamado Trailblaze, un pasivo en el nombre de nombre en código y el suite de malware de membretería. La vulnerabilidad fue originalmente parcheada por Ivanti el 11 de febrero de 2025, lo que indica que los actores de amenaza estudiaron el parche y descubrieron una forma de explotar las versiones anteriores para violar los sistemas no parchados. Se cree que UNC5221 comparte superposiciones con grupos rastreados por la comunidad más amplia de ciberseguridad bajo los apt27, el tifón de seda y la UTA0178.

🔔 Informativo principales

• CiCrypThub desenmascarado como un probable actor de lobo solitario -Un actor de amenaza prometedora que opera bajo el mote CiCrypthub ha sido expuesto oportuno a una serie de errores de seguridad operativos. Lo que distingue a CiCrryPThub de otros ciberdelincuentes típicos es la dicotomía de sus actividades en renglón: al realizar campañas maliciosas, el individuo contribuyó simultáneamente a la investigación legítima de seguridad, incluso recibió el registro del Centro de Respuesta de Seguridad de Microsoft (MSRC) el mes pasado para descubrir e informar CVE-2025-24061 y CVE-2025-2407. Otro aspecto interesante de CiCryPTHub es su uso de OpenAi Chatgpat como un “socio en el crimen”, aprovechándolo para las tareas de incremento y traducción de malware. En algunas conversaciones particularmente reveladoras con el chatbot de inteligencia químico (AI), CiCrypThub le pidió que evaluara si estaba mejor adecuado para ser un hacker de “sombrero desfavorable o sombrero blanco” y si fuera mejor ser un “hacker maravilloso o un investigador solapado”, incluso con el efecto de la confesión de sus actividades criminales y las explotaciones que se había desarrollado. “Cuando las personas piensan en los ciberdelincuentes, tienden a imaginar equipos de adhesión tecnología y respaldados por el gobierno y piratas informáticos que utilizan tecnología de vanguardia”, dijo Outpost24. “Sin requisa, muchos piratas informáticos son personas normales que en algún momento decidieron seguir un camino ambiguo”.
• La sujeción de suministro de energía de Github se remonta a Spotbugs Robo de Pat -El ataque de la sujeción de suministro en cascada que inicialmente se dirigió a Coinbase antiguamente de convertirse en un efecto más amplio para eliminar a los usuarios del GitHub Action “TJ-Actions/Changed-Files” se ha rastreado más antes al robo de un token de ataque personal (PAT) asociado con otro plan de fuente abierta convocatoria Spotbugs. Los orígenes de la incumplimiento sofisticada se están enfocando lentamente en medio de una investigación continua, revelando cómo ocurrió el compromiso auténtico. Ahora ha surgido que la popular útil de investigación inmutable, Spotbugs, se vio comprometida en noviembre de 2024, utilizándola como un trampolín para comprometer “ReviewDog/Action-setup”, que después condujo a la infección de “TJ-Actions/Change-Files”. Esto fue posible oportuno al hecho de que el mantenedor de ReviewDog todavía tenía ataque a repositorios de Spotbugs. El ataque de la sujeción de suministro de varios pasos finalmente exponió secretos en 218 repositorios luego de que los atacantes fallaron en su intento de violar los proyectos relacionados con Coinbase.
• Entrevistas contagiosas adopta ClickFix y difunen paquetes de NPM falsos – Se han observado que los actores de amenaza de Corea del Ideal detrás de la campaña de entrevistas contagiosas en curso adoptan la infame táctica de ingeniería social de ClickFix para entregar una puerta trasera previamente indocumentada convocatoria Golangghost. El colectivo adversario todavía ha publicado hasta 11 paquetes de NPM que entregan el malware del robador de información de Beaverail, así como un nuevo cargador de troyanos de ataque remoto (rata). Los paquetes se descargaron más de 5,600 veces antiguamente de su matanza. Mientras tanto, los trabajadores de TI de Corea del Ideal están ampliando sus esfuerzos más allá de los Estados Unidos, y están tratando de obtener empleo de modo fraudulenta con organizaciones de todo el mundo, especialmente en Europa. Los investigadores de Google llamaron a los guerreros de TI por participar en “un patrón de proporcionar referencias fabricadas, construir una relación con los reclutadores de empleo y usar personajes adicionales que controlaban para respaldar su credibilidad”. Encima, están tratando cada vez más de molestar el caudal de estas compañías una vez que los descubren y/o despiden. En los últimos primaveras, el gobierno de EE. UU. Ha hecho un impulso concentrado para crear conciencia sobre la operación de amenaza interna, para eliminar y castigar a los facilitadores con sede en los Estados Unidos del esquema fraudulento, para descubrir a los trabajadores de TI y las compañías frontales que ayudan a estos trabajadores a ocultar su serio origen y ayudar a las organizaciones a detectar el peligro antiguamente de que sea demasiado tarde. Con toda probabilidad, estos intensos esfuerzos de aplicación de la ley han provocado que los operadores del esquema se centren más en los objetivos ubicados en otros lugares, al tiempo que los llevan a adoptar medidas más agresivas para sostener los flujos de ingresos.
• Las versiones falsas de los teléfonos Android vienen precargadas con malware Triada -Se ha enfrentado que las versiones falsificadas de los modelos populares de teléfonos inteligentes a precios reducidos están preinstaladas con una traducción modificada de un malware Android llamado TRIADA. La mayoría de las infecciones se han informado en Rusia. Se cree que las infecciones son el resultado de un compromiso de la sujeción de suministro de hardware, aunque se ha observado que Triada se propaga a través de modificaciones no oficiales de WhatsApp y mercados de aplicaciones de terceros.
• Los malos actores abusan de Mu-Plugins para eludir malware -Los actores de amenaza están utilizando el directorio de WordPress Mu-Plugins (“complementos de uso obligatorio”) para ejecutar sigilosamente el código solapado en cada página mientras evade la detección. Correcto a que las plugins MU se ejecutan en cada carga de página y no aparecen en la registro de complementos estereotipado, pueden estar de moda para realizar sigilosamente una amplia escala de actividades maliciosas, como robar credenciales, inyectar código solapado o alterar la salida HTML.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión pequeño en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La registro de esta semana incluye: CVE-2025-22457 (Ivanti Connect Secure, Policy Secure y ZTA Gateway), CVE-2025-30065 (Apache Parquet), CVE-2024-10668 (Google Quick Share for Windows), CVE-2025-24362 (Github/CodeQL-Action), CVE-2025-1268 (CANONA CVE-2025-1449 (Rockwell Automation Verve Asset Manager), CVE-2025-2008 (complemento del importador CSV WP), CVE-2024-3660 (Tensorflow Keras), CVE-2025-20139 (Cisco Enterprise Chat y correo electrónico), CVE-2025-20212 (Cisco Cisco Anycon de Cisco de Cisco de Cisco de Cisco de Cisco de CISCO Meraki MX y Cisco Meraki Z), CVE-2025-27520 (Bentoml), CVE-2025-2798 (tema de Woffice CRM), CVE-2025-2780 (Woffice Core Plugin), CVE-2025-31553 (WPFactory Advanced WooOcommerce Sense Documentación Reglin), CVE-2025-31579 (WPFactory WooOcommerce Complemento de ventas de ventas), CVE-2025-31525 (CVE-31525 (WPA (EXEIDEAS International WP AutoKeyword Plugin) y CVE-2025-31552 (complemento RSVPmarker).

📰 aproximadamente del mundo cibernético

• Oracle confirma en privado la violación de datos – Según los informes, el gigantesco de la computación empresarial Oracle informa a sus clientes en privado que los hackers de TI comprometieron un entorno de Oracle “heredado”, exponiendo nombres de favorecido, verises de arreglo y contraseñas cifradas, contradiciendo su carencia pública consistente sobre el incidente. “La compañía informó a los clientes que el sistema no ha estado en uso durante ocho primaveras y que las credenciales de los clientes robados, por lo tanto, representan poco peligro”, informó Bloomberg. Según los informes, una investigación realizada por la Oficina Federal de Investigación de los Estados Unidos (FBI) y CrowdStrike está en curso. Esta es la segunda violación que la compañía ha agradecido a los clientes en las últimas semanas. Se evalúa que la intrusión está separada de otro truco en Oracle Health (anteriormente Cerner) que afectó a algunos clientes de atención médica de los Estados Unidos el mes pasado. Las telediario sobre la violación salieron a la luz luego de que un actor de amenaza no identificado llamado “Rose87168” intentó entregar datos sobre incumplimientos que afirmaron acontecer robado a los servidores en la aglomeración de la compañía. Múltiples compañías de ciberseguridad, incluidas Black Kite, Cloudsek, Cyberangel, Hudson Rock, Orca Security, Socradar, Sygnia y Trustwave, han analizado y validado los datos publicados para la liquidación en renglón como se extraen directamente de Oracle. Se cree que el atacante ha explotado una vulnerabilidad no parpadea en Oracle Fusion Middleware (CVE-2021-355587) para comprometer el sistema de inicio de sesión y autenticación de Oracle Cloud y robar los datos. “Esta exposición fue facilitada a través de una exploit de Java 2020 y el hacker pudo instalar un shell web yuxtapuesto con malware”, dijo Cyberangel. “El malware se dirigió específicamente a la pulvínulo de datos Oracle IDM y pudo exfil”. El investigador de seguridad Kevin Beaumont dijo que “Oracle está intentando declaraciones de Wordsmith en torno a Oracle Cloud y usar palabras muy específicas para evitar la responsabilidad,” agregando “Oracle Rebadged Old Cloud Services para ser Oracle Classic. Oracle Classic tiene el incidente de seguridad. Oracle está negando en ‘Oracle Cloud’ usando este efecto, pero aún es Oracle Cloud Services que Oracle Managine. Es parte de Wordplay”. “. CloudSek ha desarrollado una útil en renglón que permite a las organizaciones demostrar si se ven afectadas por la violación de datos. El registro privado de Oracle todavía se produce pocos días luego de que la compañía fue golpeada con una demanda colectiva sobre su manejo del evento de seguridad.
• Nueva rata Triton emerge en la naturaleza -Un nuevo troyano de ataque remoto basado en Python llamado Triton Rat permite a los actores de amenaza ingresar y controlar de forma remota un sistema usando Telegram. Escrito en Python, el malware está adecuado públicamente en GitHub y viene con capacidades para registrar las pulsaciones de teclas, ejecutar comandos, morder pantallas, compilar información de Wi-Fi y robar contraseñas, contenido de portapapeles y cookies de seguridad Roblox. “Una cookie de seguridad de Roblox es una cookie de navegador que almacena la sesión de los usuarios y puede estar de moda para obtener ataque a la cuenta de Roblox que evita 2FA”, dijo Cado Security. La divulgación se produce cuando Cyfirma detalló otra rata escrita en Python que utiliza la API de Discord para comando y control (C2) para ejecutar comandos arbitrarios del sistema, robar información confidencial, capturar capturas de pantalla y manipular tanto las máquinas locales como los servidores de discordias.
• El DOJ de EE. UU. Anuncia la recuperación de $ 8.2 millones robada en estafa de cebo romántico – El Unidad de Honradez de los Estados Unidos (DOJ) ha anunciado la recuperación de $ 8.2 millones en USDT (Tether) que fue robado a través de una estafa de cebo romántico (anteriormente Butchering). According to a complaint filed in late February 2025, the scam targeted a woman in Ohio, who lost her entire life savings of approximately $663,352, after she responded to a text message from an unknown number in November 2023. While the initial conversation revolved around topics such as hobbies and religion, the victim was persuaded into opening an account at crypto.com and transferred her money into the account. “Cuando la víctima quería retirar fondos, su ‘amigo’ cedió y dijo que se necesitaban pagos adicionales y ella cumplió”, dijo el Unidad de Honradez. “Cuando a la víctima ya no les quedaba fondos luego de hacer pagos adicionales, su ‘amigo’ comenzó a amenazarla de que él enviaría a sus amigos a ‘cuidar’ de sus amigos y familiares”. Se estima que más de 30 víctimas han caído para el esquema en total “.
• ClickFix utilizado para entregar Qakbot – La técnica ClickFix cada vez más popular se ha utilizado como vector de entrega para distribuir el malware Qakbot previamente inactivo. El ataque combina el malware con ClickFix, un método de compromiso de punto final que se observó por primera vez a fines de 2024 y desde entonces ha ganadería una tracción significativa en los últimos meses. Implica engañar a una víctima para que ejecute un comando solapado con el pretexto de solucionar un problema, generalmente un desafío de comprobación Captcha.
• Fallas reveladas en el filtro de llamadas de Verizon -La aplicación de filtro de llamadas de Verizon tenía una vulnerabilidad que permitía a los clientes ingresar a los registros de llamadas entrantes para otro número inalámbrico de Verizon a través de una solicitud de API no segura al “CLR-AQX.CEQUINTVZWECID.com/clr/calllogretrieval” en el punto de finalización. Pero el investigador de seguridad Evan Connelly, quien descubrió e informó el error el 22 de febrero de 2025, descubrió que la solicitud que contenía el número de teléfono utilizado para recuperar los registros del historial de llamadas no se verificaba con el número de teléfono cuyos registros de llamadas entrantes se solicitaban. Esto podría rajar la puerta a un marco en el que un atacante podría acontecer adulterado la solicitud con otro teléfono de Verizon para recuperar su historial de llamadas entrantes. Verizon ha abordado la vulnerabilidad a partir del 25 de marzo de 2025.
• GitHub presenta actualizaciones de la plataforma de seguridad descubierta – GitHub ha anunciado actualizaciones a su plataforma de seguridad descubierta luego de su servicio de escaneo secreto detectado más de 39 millones de secretos filtrados en repositorios el año pasado. Esto incluye un escaneo secreto gratis de toda la estructura para ayudar a los equipos a identificar y resumir la exposición, así como la disponibilidad de protección de secreto de GitHub y una nueva útil de evaluación de riesgos secreto que tiene como objetivo ofrecer “información clara sobre la exposición de su estructura”.
• Nuevo Ubuntu Linux Security omitida detallados – Se han descubierto tres derivaciones de seguridad en las restricciones del espacio de nombres de usuarios de usuarios de Ubuntu Linux, lo que podría permitir que un atacante recinto explote vulnerabilidades en los componentes del núcleo. Los derivados, que ocurren a través de AA-EXEC, BusyBox y LD_PReload, permiten a los atacantes crear espacios de nombres de usuarios con privilegios elevados. “Estos derivaciones permiten a los atacantes locales crear espacios de nombres de usuarios con capacidades administrativas completas, lo que facilitan la explotación de vulnerabilidades en los componentes del núcleo que requieren poderosos privilegios administrativos en el interior de un entorno confinado”, dijo Qualys en un comunicado. “Es importante tener en cuenta que estos derivados por sí solos no permiten la adquisición completa del sistema; sin requisa, se vuelven peligrosos cuando se combinan con otras vulnerabilidades, típicamente relacionadas con el núcleo”. Ubuntu, que reconoció los problemas, dijo que está trabajando para “implementar más reglas de ajuste en Apparmor”.
• Classiscam apunta a Asia Central -Classiscam es una operación automatizada de estafa como servicio que utiliza bots de telegrama para crear sitios web falsos que se hacen producirse por servicios legítimos en un intento de engañar a las víctimas para que compartan sus detalles financieros. La estafa, todavía convocatoria Telekopye, involucra esencialmente a los estafadores que se hacen producirse por un comprador o un comerciante en plataformas en renglón para engañar a las víctimas para que transfieran caudal para acervo o servicios inexistentes, o persuadiendo al comerciante para que use un servicio de entrega para la transacción a través de un sitio web de entrega falsa que indagación su información financiera. Estas conversaciones ocurren sobre una aplicación de correo como Telegram al afirmar que “es más obvio comunicarse”. La investigación del Conjunto-IB ha enfrentado que más de diez instituciones financieras en Uzbekistán, incluidos los destacados bancos y los sistemas de suscripción, han sido atacadas por esquemas de phishing, que emplean sitios falsos que se hacen producirse por los servicios para obtener las credenciales bancarias de sus clientes. Uno de esos equipos que se dedican al esquema fraudulento es el equipo de Namangun, que ha proporcionado principalmente servicios de phishing dirigidos a Uzbekistán y Kirguistán desde finales de noviembre de 2024, lo que permite a sus clientes crear páginas de phishing en la marcha utilizando su bot de telegrama.

• Google se asocia con Nvidia y Hiddenlayer para una nueva biblioteca de firma de modelos -Google, en colaboración con Nvidia y Hiddenlayer, ha anunciado el impulso de una biblioteca de Python convocatoria “firma de modelos” que ofrece a los desarrolladores una forma de firmar y demostrar los modelos de formación automotriz (ML) en un esfuerzo para reanimar la seguridad de la sujeción de suministro de ML y la protección contra amenazas emergentes como el maniquí y el envenenamiento de datos, inyección rápida, fuga rápida y una despreocupación rápida. “Usando firmas digitales como las de Sigstore, permitimos a los usuarios demostrar que el maniquí utilizado por la aplicación es exactamente el maniquí creado por los desarrolladores”, dijo el gigantesco tecnológico. El incremento se produce cuando Python estandarizó oficialmente un formato de archivo de retiro como parte de PEP 751. El nuevo formato, llamado pylock.toml, es un formato basado en TOML que registra versiones de dependencia exactas, hashes de archivos y fuentes de instalación. El nuevo estereotipado “Aline a Python con otros ecosistemas como JavaScript (Package-Lock.json), Rust (Cargo.lock) y Go (Go.Sum)”, dijo Socket. “Si admisiblemente el PEP no aborda todas las amenazas de la sujeción de suministro (como el tipo de tipoquatación, el compromiso de la cuenta del mantenedor y las cargas enseres ocultas), sienta las bases para una mejor auditoría y resistor a los manipulaciones”.
• Arcanum Trojan distribuido a través de sitios de fortuna -Un nuevo troyano llamado Arcanum se está distribuyendo a través de sitios web dedicados a la fortuna y las prácticas esotéricas, disfrazándose de una aplicación “mágica” para predecir el futuro. La aplicación, aunque ofrece una funcionalidad aparentemente inofensiva, se conecta a un servidor remoto para implementar cargas enseres adicionales, incluida la Autolycus. Hermes Stealer, Karma.miner Miner y Lysander.Scytale Crypto-Malware. La información capturada se exfila después a un servidor controlado por el atacante. El surgimiento del malware coincide con el descubrimiento de un skimmer de plástico de crédito Malware con nombre en código Rolandskimmer que se dirige a los usuarios de comercio electrónico en Bulgaria por medio de un archivo de ataque directo de Windows (LNK) distribuido a través de archivos ZIP. El archivo LNK luego inicia un proceso de varios pasos que instala una extensión de navegador solapado en los navegadores web para robar información de la plástico de crédito. “Los atacantes emplean cargas enseres de JavaScript cuidadosamente elaboradas, engañan a archivos manifiestos y vBscripts ofuscados para sostener la persistencia en las sesiones y evitar la detección”, dijo Fortinet.
• Ataques basados ​​en la identidad en avance -Los atacantes dependen en gran medida de los puntos de ataque habilitados para credenciales para infiltrarse en redes y alentar sus operaciones, en sitio de utilizar métodos más complejos como explotar vulnerabilidades o implementar malware, según Cisco Talos. Se sabe que las pandillas de ransomware, en particular, utilizan credenciales robadas pero válidas adquiridas de los corredores de ataque auténtico (IBAB) como un medio de ataque auténtico en redes corporativas. Los IBIS, a su vez, aprovechan los robos de información comercialmente disponibles como Lumma para capturar las credenciales de los usuarios. Esto todavía se ve exacerbado por el hecho de que muchos usuarios reciclan contraseñas en múltiples servicios, creando un “emoción de peligro de peligro” cuando se roban sus credenciales. Según el tráfico observado entre septiembre y noviembre de 2024, el 41% de los inicios de sesión exitosos en los sitios web protegidos por CloudFlare implican contraseñas comprometidas, según la compañía de infraestructura web. Encima, las credenciales de VPN válidas podrían abusarse para obtener ataque sin restricciones a sistemas sensibles, a menudo con privilegios elevados que reflejan los de empleados o administradores legítimos. El uso de credenciales legítimas por parte de los actores de amenaza evita por completo las barreras de seguridad, dándoles una “ruta directa para infiltrarse en redes, robar datos e implementar ransomware sin detectar”. “Los ataques basados ​​en la identidad son atractivos para los actores de amenaza porque pueden permitir que un adversario realice una variedad de operaciones maliciosas, a menudo con un esfuerzo exiguo o sin cumplir con mucha resistor desde el punto de clarividencia de la seguridad”, dijo la compañía. “Esto se debe en gran parte a que la actividad es difícil de detectar porque emana de cuentas de usuarios aparentemente legítimas”. Los datos recopilados por la compañía muestran que las aplicaciones de gobierno de identidad y ataque (IAM) se dirigieron con veterano frecuencia en los ataques de MFA, lo que representa el 24% de todos los ataques dirigidos a la autenticación multifactor (MFA).
• Oilrig unido a Irán se dirige a las entidades iraquíes -El comunidad de piratería iraní conocido como OilRig (todavía conocido como APT34) se ha atribuido a una serie de ataques cibernéticos contra entidades estatales iraquíes desde 2024 que implican el uso de señuelos de phishing de rejón para desplegar una puerta de cama que pueda ejecutar comandos, compilar información del host y cargar/descargar archivos. La puerta trasera utiliza HTTP y correo electrónico para comunicaciones C2. “El primero envía en secreto instrucciones de control basadas en el valía característico del contenido del cuerpo, y el segundo utiliza una gran cantidad de buzones de gobierno oficiales iraquí comprometidos para la comunicación por correo electrónico”, dijo Amenazbook.
• Fallas de seguridad en Pytorch Lightning – Se han revelado cinco vulnerabilidades de deserialización en las versiones de Pytorch Lightning 2.4.0 y anteriormente que podrían explotarse para ejecutar código solapado al cargar modelos de formación automotriz de fuentes desconocidas o no confiables. “Estas vulnerabilidades surgen del uso inseguro de Torch.Load (), que se utiliza para deserializar puntos de control de modelos, configuraciones y, a veces, metadatos”, dijo el Centro de Coordinación CERT (CERT/CC). “Un favorecido podría cargar sin saberlo un archivo solapado de ubicaciones locales o remotas que contienen código integrado que se ejecuta en el interior del contexto del sistema, lo que puede conducir al compromiso completo del sistema”. CERT/CC dijo que los problemas siguen sin parches, lo que requiere que los usuarios verifiquen que los archivos se carguen son de fuentes confiables y con firmas válidas.
• La empresa rusa ofrece $ 4 millones para exploits de telegrama -Operation Zero, una firma de adquisición de exploit rusa, dice que está dispuesta a satisfacer hasta $ 4 millones por exploits de sujeción completa dirigida al popular servicio de correo Telegram. En una publicación compartida en X, la plataforma de transacción de vulnerabilidades de día cero dijo que pagará hasta $ 500,000 por exploits que pueden conquistar una ejecución de código remoto de 1 clic (RCE) y $ 1.5 millones para aquellos que pueden ser armados para conquistar RCE sin interacción del favorecido (es aseverar, cero, con clic cero). “En el efecto hay exploits para Android, iOS, Windows. Los precios dependen de las limitaciones de los días cero y los privilegios obtenidos”, dijo la Operación Zero. Los corredores de explotar a menudo desarrollan o adquieren vulnerabilidades de seguridad en los sistemas y aplicaciones operativos populares y luego los vuelvan a entregar por un precio más suspensión a los clientes de interés. Para la operación cero para soltar el telegrama tiene sentido, donado que la aplicación de correo es popular entre los usuarios en Rusia y Ucrania. Un portavoz de Telegram le dijo a TechCrunch que la plataforma de correo “nunca ha sido inerme” a una exploit de clic cero. El incremento se produce cuando surgieron detalles sobre un defecto de día cero en el cliente macOS de Telegram que podría explotarse para conquistar RCE. A principios del mes pasado, el investigador de seguridad 0x6RSS todavía reveló una traducción actualizada de la rotura de EvilVideo en Telegram (CVE-2024-7014), que evita las mitigaciones existentes a través de archivos .htm. “Un archivo con una extensión ‘.htm’ se disfraza de video y se envía a través de la API de Telegram, y aunque el favorecido dilación un video, el código JavaScript en el interior del HTML verdaderamente se ejecuta”, dijo el investigador. El nuevo exploit ha sido el nombre en código Evilloader.
• ¿Cuáles son las contraseñas más comunes en los ataques RDP? – Son 123456, 1234, contraseña1, 12345, p@ssword, contraseña, contraseña123, bienvenido1, 12345678 y AA123456, según SpecOPS, basado en un investigación de 15 millones de contraseñas utilizadas para atacar los puertos RDP. “Los atacantes están atentos a los servidores RDP expuestos, ya que estos pueden ser objetivos fáciles para los ataques de fuerza bruta”, dijo la compañía. “Encima, los atacantes pueden realizar ataques de pulverización de contraseña en los servidores RDP y probar credenciales violadas conocidas en servidores expuestos”.

🎥 Seminario web entendido

• Shadow Ai ya está en el interior de sus aplicaciones: aprende a bloquearlo – Las herramientas de IA están inundando su entorno, y la mayoría de los equipos de seguridad no pueden ver la centro de ellos. Shadow AI se está conectando silenciosamente a sistemas críticos como Salesforce, creando riesgos ocultos que las defensas tradicionales pierden. Únase a DVIR Sasson, director de investigación de seguridad en Reco, para descubrir dónde se esconden las amenazas de IA en el interior de sus aplicaciones SaaS, historias de ataque de mundo existente y cómo los principales equipos están detectando y cerrando Rogue AI antiguamente de causar daños reales.
• Asegure cada paso del ciclo de vida de identidad, antiguamente de que los atacantes lo exploten -Los atacantes de hoy están utilizando profundos y ingeniería social impulsados ​​por la IA para evitar las débiles defensas de identidad. Afianzar todo el delirio de identidad, desde la inscripción hasta el ataque diario a la recuperación, ahora es esencial. Únase más allá de la identidad y el Nametag para ilustrarse cómo las empresas están bloqueando las adquisiciones de cuentas, asegurando el ataque con MFA y confianza de dispositivos resistentes a phishing, y defendiendo contra las amenazas de IA con Deepfake Defense ™.

🔧 Herramientas de ciberseguridad

• Goresolver – Malware de Golang es difícil de revertir – Ofcuscadores como Garble Hide Funciones críticas. Goresolver, la útil de código despejado de Volexity, utiliza la similitud de dibujo de flujo de control para recuperar los nombres de funciones ocultas y revelar estructuras de paquetes automáticamente. Integrado con Ida Pro y Ghidra, convierte los binarios opacos en código inteligible más rápido. Arreglado ahora en Github.
• MATANO-Es un albufera de datos de seguridad nativo de aglomeración sin servidor construido para AWS, lo que brinda a los equipos de seguridad control total sobre sus registros sin retiro de proveedores. Normaliza los datos de seguridad no estructurados en tiempo existente, se integra con más de 50 fuentes de la caja, admite detecciones como código en Python y transforma registros utilizando scripting VRL potente, todos almacenados en formatos abiertos como Apache Iceberg y ECS. Consulte sus datos con herramientas como Athena o Snowflake, escriba detecciones en tiempo existente y reduzca los costos de SIEM mientras mantiene la propiedad de su investigación de seguridad.

🔒 Consejo de la semana

Detectar amenazas temprano al rastrear las conexiones por primera vez – La mayoría de los atacantes dejan su primera pista existente no con malware, sino cuando inician sesión por primera vez, desde una nueva IP, dispositivo o ubicación. Atrapar los eventos de ataque “por primera vez” es una de las formas más rápidas de detectar las violaciones temprano, antiguamente de que los atacantes se mezclen con el tráfico diario. Concéntrese en sistemas críticos: VPN, portales de compañía, paneles de nubes y cuentas de servicio.

Puede automatizar esto fácilmente con herramientas gratuitas como Wazuh (detecta nuevos dispositivos e IP), Osquery (consultas desconocidas) o GrayLog (construye alertas para conexiones desconocidas). Configuraciones más avanzadas como Microsoft Sentinel o Crowdstrike Falcon Free todavía ofrecen detección de “primera clarividencia” a escalera. Las reglas simples, como alertar cuando una cuenta de administrador inicia sesión desde un país nuevo o un dispositivo inesperado accede a datos confidenciales, pueden desencadenar alarmas tempranas sin esperar las firmas de malware.

Pro Move: Basel hay sus usuarios “conocidos”, IP y dispositivos, luego marcar cualquier cosa nueva. Puntos de beneficio Si combina esto con Honeytokens (credenciales falsas) para atrapar a los intrusos investigando activamente su red. Recuerde: los atacantes pueden robar credenciales, evitar MFA o ocultar malware, pero no pueden fingir nunca acontecer conectado antiguamente.

Conclusión

En la ciberseguridad, las amenazas que nos preocupan con veterano frecuencia no son las más fuertes: son las que nunca vemos venir. Un defecto de API silencioso. Una credencial olvidada. Un paquete con malware que instaló el mes pasado sin pensarlo dos veces.

Las historias de esta semana son un recordatorio: el peligro existente vive en los puntos ciegos.

Mantente curiosidad. Mantente escéptico. Tu próxima violación no tocará primero.