Explotación crítica de SAP, phishing con IA, infracciones importantes, nuevas CVE y más

¿Qué sucede cuando los cibercriminales ya no necesitan habilidades profundas para violar sus defensas? Los atacantes de hoy están armados con herramientas poderosas que hacen el trabajo pesado, desde kits de phishing con IA hasta grandes botnets listos para atacar. Y no son solo a posteriori de grandes corporaciones. Cualquiera puede ser un objetivo cuando las identidades falsas, la infraestructura secuestrada y los trucos internos se usan para tener lugar la seguridad más allá de la seguridad.

Las amenazas de esta semana son un recordatorio: esperar para reaccionar ya no es una opción. Cada retraso da a los atacantes más circunscripción.

⚡ Amenaza de la semana

SAP NetWeaver Flaw crítico de SAP explotado como 0 días -Un defecto de seguridad crítico en SAP Netweaver (CVE-2025-31324, puntaje CVSS: 10.0) ha sido explotado por actores de amenaza desconocidos para cargar shell Web Shells con el objetivo de entregar las cargas de archivos no autorizadas y la ejecución del código. Los ataques igualmente se han observado utilizando el situación Brute Ratel C4 a posteriori de la explotación, así como una técnica acertadamente conocida emplazamiento Heaven’s Gate para evitar las protecciones del punto final.

🔔 Informativo principales

• Darcula Phishing Kit obtiene una puesta al día de Genai -Los actores de amenaza detrás de la plataforma Darcula Phishing-as-a-Service (PHAAS) han publicado nuevas actualizaciones a su suite de delitos cibernéticos con capacidades generativas de inteligencia fabricado (Genai) para entregar la concepción de formularios de phishing en diversos idiomas, la personalización de campo de forma y la traducción de la phishing en idiomas locales. Las actualizaciones disminuyen aún más la barrera técnica para crear páginas de phishing, lo que hace que sea rápido y liviana para un criminal novato establecer estafas complejas con amordazas. La suite Darcula Phaas es liviana de usar. Todo lo que un solicitante a estafador debe hacer es registrarse en el servicio de Darcula, ingresar a un sitio de marca lícito y la plataforma generará una lectura de phishing a medida. “Darcula no es solo una plataforma de phishing; es un maniquí de servicio diseñado para la escalera”, dijo Netcraft. “Los usuarios pagan por el ataque a un conjunto de herramientas que permiten suplantación de organizaciones en casi todos los países. Construido con tecnologías modernas como JavaScript Frameworks, Docker y Harbor, la infraestructura refleja la de las compañías SaaS legítimas”.
• La entrevista contagiosa establece empresas falsas -Los actores de amenaza vinculados a Corea del Meta detrás de la entrevista contagiosa han establecido compañías frontales llamadas Blocknovas LLC, Angeloper Agency y SoftGlide LLC como una forma de distribuir malware durante el proceso de contratación copiado. La actividad ejemplifica las sofisticadas tácticas de ingeniería social empleadas por los actores de amenaza de Corea del Meta para atraer a los desarrolladores. La divulgación se produce cuando los piratas informáticos de Pyongyang están aprovechando cada vez más la inteligencia fabricado como parte del esquema de trabajadores de TI fraudulentos. En el corazón de estas operaciones se encuentra un conjunto integral de herramientas mejoradas con AI que funcionan en concierto y se utilizan para crear personas sintéticas para prolongar el patraña. Los facilitadores utilizan servicios de correo unificados que proporcionan una forma de llevar la batuta múltiples personajes en varios canales de comunicación simultáneamente. Estos servicios igualmente incorporan capacidades de traducción, transcripción y extracto de IA para ayudar a los trabajadores de TI a comunicarse con sus posibles empleadores.
• Los presuntos piratas informáticos rusos usan una nueva táctica para penetrar a las cuentas de Microsoft 365 — Multiple suspected Russia-linked threat actors like UTA0352 and UTA0355 are “aggressively” targeting individuals and organizations with ties to Ukraine and human rights with an aim to gain unauthorized access to Microsoft 365 accounts since early March 2025. “These recently observed attacks rely heavily on one-on-one interaction with a target, as the threat actor must both convince them to click a link and send back a Código generado por Microsoft “, dijo Volexity. “Estas campañas recientes se benefician de todas las interacciones de los usuarios que tienen oportunidad en la infraestructura oficial de Microsoft; no hay infraestructura alojada en atacantes utilizada en estos ataques”.
• Los actores de amenaza explotan la infraestructura de Google para el ataque de phishing – Los actores de amenaza desconocidos han aplicado un enfoque novedoso que permitió remitir correos electrónicos falsos a través de la infraestructura de Google y redirigir a los destinatarios de mensajes a sitios fraudulentos que cosechan sus credenciales. El sofisticado ataque de phishing pasó por parada las verificaciones de autenticación de correo electrónico y buscó engañar a los destinatarios del correo electrónico para que haga clic en enlaces falsos que están diseñados para cosechar sus credenciales de cuentas de Google. Desde entonces, Google ha conectado la vía de ataque.
• Lotus Panda apunta al sudeste oriental con Sagerunex -El Rama de Ciber Espionaje vinculado a China rastreado como Lotus Panda se ha atribuido a una campaña que comprometió múltiples organizaciones en un país del sudeste oriental sin nombre entre agosto de 2024 y febrero de 2025. La actividad ha sido encontrada para invertir la carga secundaria de DLL a las técnicas de descarga de un backdoor llamado SagerUnex, como dos credenciales de credenciales y las credenciales y las técnicas de credenciales de credenciales y que son credenciales a Sagerhon. Cookies almacenadas en el navegador web Google Chrome. En los últimos meses, una campaña de espionaje cibernético conocida como Operación Cobalt Whisper ha atacado múltiples industrias en Hong Kong y Pakistán, incluidos defensa, educación, ingeniería ambiental, ingeniería electrotécnica, energía, ciberseguridad, aviación y atención médica, con correos electrónicos de escalón que sirven como un conducto para entregar ataque Cobalt. La Armada de Pakistán igualmente ha sido atacada por un probable adversario en estado-nación para distribuir un sigiloso Infente de Infoñadores llamado Sync-Scheduler a las víctimas específicas. Si acertadamente las tácticas exhibidas en la campaña se superponen con las de Sidewinder y Bitter APT, no hay una amplia evidencia para vincularlo con un actor de amenaza específica. Y eso no es todo. Los investigadores chinos de ciberseguridad han sido atacados por un categoría de amenazas vietnamita conocido como APT32 entre mediados de septiembre y principios de octubre de 2024 para desplegar la huelga de cobalto a través de proyectos de Github troyanizados.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión pequeño en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La repertorio de esta semana incluye: CVE-2024-58136, CVE-2025-32432 (Craft CMS), CVE-2025-31324 (SAP Netweaver), CVE-2025-27610 (Rack), CVE-2025-34028 (Centro de comandos CommVault), CVE-2025-2567 (LANTRONIX XPORT). CVE-2025-33028 (WinZip), CVE-2025-21204 (Microsoft Windows), CVE-2025-1021 (Synology Diskstation Manager), CVE-2025-0618 (FireEye EDR Agent), CVE-2025-1763 (Gitlab), CVE-2025-32818 (Selicwall Ste CVE-2025-3248 (Langflow), CVE-2025-21605 (Redis), CVE-2025-23249, CVE-2025-23250, and CVE-2025-23251 (NVIDIA NeMo Framework), CVE-2025-22228 (Spring Framework, NetApp), and CVE-2025-3935 (Screenconnect).

📰 aproximadamente del mundo cibernético

• Lumma Stealer adopta nuevos trucos para eludir la detección -El robador de información conocido como Lumma, que se ha anunciado como un malware como servicio (MAAS) a partir de $ 250 al mes, se distribuye ampliamente utilizando varios métodos, como medios pirateados, contenido de adultos y sitios de software descifrados, así como los canales de telegramación falsos para que se reduzcan a los usuarios de los usuarios a los usuarios de las verificaciones de maldades de mulware para que se reduzcan los canales de malesware y los usuarios de malesware a los usuarios de malesware a los usuarios de los malesware y los usuarios de los malesware de la redirección de los usuarios. a través de los comandos de PowerShell y MSHTA. El robador, por su parte, utiliza técnicas como la carga adjunto de DLL e inyectando la carga útil en la sección de superposición del software soberano para activar un proceso de infección confuso. “La sección de superposición se usa típicamente para la funcionalidad de software lícito, como mostrar interfaces gráficas o manejar ciertos eventos de entrada”, dijo Kaspersky. “Al modificar esta sección del software, el adversario puede inyectar la carga útil maliciosa sin interrumpir el funcionamiento habitual de la aplicación. Este método es particularmente insidioso porque el software continúa pareciendo lícito, mientras que el código receloso se ejecuta en silencio en segundo plano”. Lumma Stealer ha seguido siendo una amenaza activa desde su iniciación en 2022, recibiendo continuamente actualizaciones para eludir la detección a través de características como la ofuscación del flujo de código, la resolución dinámica de las funciones de API durante el tiempo de ejecución, la puerta del Paraíso y la desactivación de devoluciones de emplazamiento ETWTI. Asimismo está diseñado para detectar entornos virtuales y de sandbox. A partir de agosto de 2023, el equipo de Lumma Stealer comenzó a probar una característica basada en IA para determinar si un registro de beneficiario infectado es un bot o no. La admisión generalizada de Lumma Stealer igualmente se evidencia por el uso de diversos vectores de infección, que han aplicado al robador para entregar cargas avíos adicionales como Amadey. “Los operadores de Lummtealer dirigen un mercado interno en Telegram (…) donde miles de troncos se compran y venden a diario”, dijo Cybereason. “Asimismo incluyen características como un sistema de calificación para fomentar vendedores de calidad, opciones de búsqueda avanzadas para contraseñas y cookies, y un amplio rango de precios. Próximo con el soporte las 24 horas, los 7 días de la semana, el mercado tiene como objetivo proporcionar una experiencia perfecta para cualquier persona que negocie datos robados, reflejando una tendencia aspecto aspecto en varias comunidades de Stealer Based Telegram y Darknet”. Según los datos de IBM X-Force, ha habido un aumento promedio semanal del 84% en los infinitadores entregados a través de correos electrónicos de phishing el año pasado, en comparación con 2023.
• Nuevo kit de phishing de sessshark aitm anunciado -Se muestra un nuevo kit de phishing adversario en el medio (AITM) llamado Sessionshark O365 2FA/MFA como una forma para que los actores de amenaza pasen por parada las protecciones de autenticación multifactor (MFA) de Microsoft 365. Aparentemente comercializado con fines educativos para evitar responsabilidades, el servicio afirma estar equipado con una variedad de capacidades anti-detección y sigilo para evitar la detección por parte de bots y escáneres de seguridad automatizados utilizando controles Captcha, integrarse con los servicios de CloudFlare y penetrar a logs integrales a través de un panel dedicado. “Esta organización de marketing duplicada es popular en los foros subterráneos: proporciona una flaca apariencia de abjuración (para evitar prohibiciones del foro o problemas legales), pero no engaña a nadie sobre el definitivo propósito”, dijo Slashnext. “Frases como ‘para fines educativos’ o ‘perspectiva de piratería ética’ en la copia de anuncios son un visaje y visaje a los compradores de que esta es una útil de piratería, no una demostración en el cátedra”.
• Función de control remoto de teleobjetivo de abusos de cometa evasivos para robo de criptografía – Los investigadores de seguridad están llamando la atención sobre una campaña emplazamiento Elusive Comet que emplea tácticas sofisticadas de ingeniería social con el objetivo de engañar a las víctimas para instalar malware y finalmente robar su criptomoneda. Aparentemente operando una empresa de hacienda de peligro emplazamiento Aureon Hacienda, se estima que el actor de amenaza es responsable de millones de dólares en fondos robados. “Elusive Comet mantiene una cachas presencia en ristra con una amplia historia para establecer y prolongar la licitud”, dijo Security Alliance. “Esto se logra configurando sitios web pulidos y perfiles activos de redes sociales, así como creando perfiles que se hacen tener lugar por personas reales con credenciales notables”. Los ataques comienzan con una escalón de divulgación en la que se abordan las posibles víctimas a través de Twitter DMS o correo electrónico, invitándolos a ser invitado en su podcast o para una entrevista. Las invitaciones se envían a través de enlaces calendamente para programar una reunión de teleobjetivo. Una vez que se acepta la invitación, se insta a las víctimas a unirse a la emplazamiento de teleobjetivo y compartir su pantalla para presentar su trabajo, momento en el cual los actores de amenaza usan el software de videoconferencia para solicitar el control sobre la computadora de la víctima potencial al cambiar su nombre de pantalla a “Teleobjetivo” y hacer que aparezca como una notificación del sistema. La concesión de ataque remoto le permite al escurridizo Comet instalar malware como Goopdate para entregar el robo de criptomonedas, según lo destacado por Jake Gallen, el director ejecutor de la Vault Emblema de la plataforma token no fungible que tuvo más de $ 100,000 de sus activos personales robados. Los ataques igualmente se han observado entregando robos de información y troyanos de ataque remoto para habilitar la exfiltración de datos. “Lo que hace que este ataque sea particularmente peligroso es la similitud del diálogo de permiso con otras notificaciones inofensivas de teleobjetivo”, dijo Trail of Bits. “La evasiva campaña del cometa tiene éxito a través de una combinación sofisticada de prueba social, presión de tiempo y manipulación de interfaz que explota los flujos de trabajo comerciales normales”. No está claro quién está detrás de la campaña, pero la evidencia apunta a que es Corea del Meta, lo que se ha observado programando llamadas falsas de teleobjetivo con objetivos bajo el pretexto de reunirse con capitalistas de peligro o discutir una oportunidad de asociación, y engañarlos para instalar malware para afrontar problemas de audio inexistentes.
• Los parásitos de poder van a posteriori de Bangladesh, Nepal, India – Una campaña activa está dirigida a personas en todos los países asiáticos, incluidos Bangladesh, Nepal e India, con estafas de trabajo e inversión a través de la combinación de sitios web engañosos disfrazados de empresas energéticas y otras empresas importantes, grupos de redes sociales, videos de YouTube y canales de telegrama desde septiembre 2024. El cúmulo de actividad, que está diseñado para engañar a los víctimas de los víctimas en sus detalles bancarios o los canales financieros, ha estado codeadas el cloque de la actividad. “Estas campañas generalmente se comparten con posibles víctimas en las redes sociales, por correo electrónico o por canales de correo directa”, dijo Silent Push.
• Varias extensiones encontradas con características de peligro -Se han descubierto cincuenta y ocho extensiones sospechosas de Google Chrome que contienen características riesgosas, como monitorear el comportamiento de navegación, penetrar a cookies para dominios, alterar los proveedores de búsqueda y ejecutar scripts remotos, según el investigador seguro del anexo John Tuckner. El aspecto más interesante de estas extensiones es que están ocultos, lo que significa que no aparecen en las búsquedas de tiendas web de Chrome, pero se puede penetrar si los usuarios tienen la URL directa. Esto indica que los actores de amenaza están utilizando formas no convencionales de eludir la detección mientras los empuja agresivamente a través de anuncios y sitios maliciosos. Las extensiones se han instalado acumulativamente en aproximadamente 5.98 millones de dispositivos. Un portavoz de Google dijo a The Hacker News que “estamos al tanto del documentación e investigando”.
• Libertad de Mitre a & CK V17 – Miter ha animado una nueva lectura de su situación ATT & CK, el compendio de tácticas y técnicas adversas que crea para ayudar a los defensores. La última lectura presenta cuatro nuevas técnicas dirigidas a la plataforma VMware ESXI, mientras que adapta 34 las existentes. Dos cambios notables incluyen el cambio de nombre de la plataforma de red a los dispositivos de red para reflectar mejor las técnicas utilizadas para apuntar a dispositivos de red, como enrutadores, conmutadores y equilibradores de carga, y la fusión de dos sub-techas DLL DLL cargando adjunto y secuestro de la orden de búsqueda de DLL en una categoría emplazamiento “Flujo de ejecución de secuestro: DLL” al tener en cuenta su naturaleza superpuesta. Asimismo se agrega a ATT & CK V17 una técnica emplazamiento “Herramientas de ataque remoto: hardware de ataque remoto” que destaca los esquemas de trabajo remoto de la República Popular Democrática de Corea (DPRK).
• Mesa de virus -Se han notificado a cientos de personal de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) que la agencia descontinuó el uso de censas a fines del mes pasado y Virustotal propiedad de Google el 20 de abril de 2025 “. Comprendemos la importancia de estas herramientas en nuestras operaciones y estamos explorando activamente herramientas alternativas para avalar una disgusción mínima”, NextGov citó un correo electrónico enviado a CISA de CISA. “Estamos seguros de que pronto encontraremos alternativas adecuadas”. Los días de incremento a posteriori de que la industria de la ciberseguridad se envió a una posaderas a posteriori de que un memorando interno de Miter revelara que Estados Unidos ya no apoyaría su software CVE insignia. Sin requisa, a la hora undécima, CISA revirtió el curso y extendió el convenio por unos 11 meses. “Para aclarar el récord, no hubo un problema de financiación, sino un problema de dependencia de contratos que se resolvió ayer de un intervalo del convenio”, dijo Matt Hartman, director ejecutor ejecutor breve de Ciberseguridad de Ciberseguridad de CISA. “No ha habido interrupción en el software CVE y CISA está totalmente comprometido a prolongar y mejorar esta infraestructura cibernética crítica.
• Cómo se podría secuestrar Windows PC Manager -Los investigadores de seguridad cibernética han esbozado dos escenarios en los que las versiones asociadas con la útil PC Manager, un software diseñado para ayudar a optimizar y llevar la batuta las computadoras de Windows, podrían acontecer sido secuestrados por los atacantes a través del repositorio de Winget (ZDI-23-1527), ‘URL’ URL ‘URL’ oficial ‘). Tokens de firma de ataque compartido (SAS) demasiado permisivo. Explotación exitosa de las vulnerabilidades para ejecutar código abusivo en los puntos finales de los clientes sin requerir ninguna autenticación. “Si se hubiera llevado a parte un ataque, los ciberdelincuentes podrían acontecer comprometido las cadenas de suministro de software para la distribución de malware, les permitió reemplazar las versiones de software y alterar los ejecutables distribuidos del administrador de PC”, dijo Trend Micro. Microsoft ha abordado los problemas, los cuales llevan una puntuación CVSS de 10.0, en octubre de 2023.
• Nuevas campañas de Magecart observadas en la naturaleza -Se ha observado que una nueva campaña de skimming de tarjetas de crédito (igualmente conocida como Magecart) inyecta código receloso en sitios de comercio electrónico comprometidos con el objetivo de interceptar datos de cuota ingresados ​​por los usuarios en formularios de cuota. Los ataques implican obtener ataque a los sistemas de back -end de los sitios utilizando credenciales robadas a través de un robador de información, aprovechándolo para cargar una página de PHP maliciosa directamente al servidor. El script PHP actúa como un shell web para obtener el control remoto del sitio y contaminar la pulvínulo de datos insertando un código de JavaScript receloso. El JavaScript está diseñado para capturar información de cuota, efectuar la validez de los números ingresados ​​y exfiltrar la información a través de una conexión WebSocket y como una imagen. Los datos de la polímero de crédito robados a través de skimmers web generalmente se venden en foros de tarjetas como Savastan0, donde otros actores de amenazas los compran a actividades criminales a cambio de un cuota de criptomonedas. “Las reglas de Savastan0 establecen que un comprador solo tiene 10 minutos para usar un verificador, de lo contrario la polímero no puede ser reembolsada”, dijo Yarix. “Cada cheque cuesta $ 0.30. Sin hacer ninguna transacción, los servicios de comprobación de tarjetas pueden estilarse para ‘efectuar suave’ la autenticidad de las tarjetas. Esto reduce la posibilidad de alertar al propietario lícito de la actividad o advertir sistemas anti-fraude. Asimismo se puede usar para inferir fechas de vencimiento y códigos CVV, entre otra información faltante”. La divulgación se produce cuando JSCrambler detalló una campaña sigilosa de descremado web que se infiltró en 17 sitios web de Caritas España que ejecutan WooCommerce utilizando un kit modular diseñado para permanecer sin ser detectado al interceptar datos de cuota confidenciales. “La campaña de descremado, como muchos, se ejecutó en dos etapas”, dijo Jscrambler. “La etapa uno sirvió como cargador, estableciendo las bases para el ataque. La etapa dos sostuvo la deducción de Skimmer, inyectó un formulario de cuota copiado y exfiltró datos confidenciales”. El vector de infección original exacto sigue siendo desconocido, aunque hay evidencia que apunta al hecho de que los actores de amenaza tienen ataque persistente a la instalación de WooCommerce. JScrambler dijo que los detalles de la polímero robada se validan en el interior de los 10 minutos de la exfiltración, lo que indica cierto nivel de automatización.
• 4chan regresa – Infamous Imageboard Site 4Chan ha vuelto en ristra a posteriori de que un hack derribó el sitio durante casi dos semanas. En una publicación en su blog, dijo “un hacker que usa una dirección IP del Reino Unido explotó un paquete de software desactualizado en uno de los servidores de 4chan, a través de una carga en PDF copiado. Con este punto de entrada, eventualmente pudieron obtener ataque a uno de los servidores de 4chan, incluido el ataque a la pulvínulo de datos y el ataque a nuestro propio Dashboard. 4chan dijo que el servidor incumplido ha sido reemplazado y que las cargas de PDF se han deshabilitado temporalmente en tableros que admitieron la función.
• SK Telecom revela la violación -SK Telecom, el cirujano móvil más sobresaliente de Corea del Sur, alertó a los clientes de que una infección por malware permitió a los actores de amenaza penetrar a su información confidencial relacionada con USIM. La compañía dijo que se dio cuenta del incidente el 19 de abril de 2025, aproximadamente de las 11 p.m. hora recinto. SK Telecom, sin requisa, enfatizó que no hay evidencia de que la información haya sido mal utilizada de ninguna modo. El ataque no ha sido reclamado por ningún actor o categoría de amenazas conocido.
• Nuevos defectos en Kentico Xperience CMS -Los investigadores de seguridad cibernética han detallado una vulnerabilidad ahora parada en la aplicación Kentico Xperience Content Management System (CMS) (CVE-2025-2748, CVSS SCUENT: 6.5) que se produce un ataque de secuencias de comandos de sitios cruzados (XSS) al exprimir el hecho de que no valida o filtra completamente los archivos cargados a través de la funcionalidad de carga múltiple de carga múltiple. El error esencialmente permite que un atacante distribuya una carga útil maliciosa como un beneficiario no autenticado al cargar varios archivos a la aplicación. Este problema afecta a Kentico Xperience hasta 13.0.178. Asimismo abordados por Kentico hay otras tres vulnerabilidades, WT-2025-0006 (bypass de autenticación), WT-2025-0007 (ejecución de código remoto posterior a la autorización) y WT-2025-0011 (bypass de autenticación), que pueden ganar la ejecución de código remoto contra las implementaciones totalmente desplegadas.
• Los bancos indios ordenaron portar a los dominios “.Bank (.) En” ayer del 31 de octubre – En Febraury 2025, el Porción Central de la India, el Porción de la Reserva de la India (RBI), introdujo un exclusivo “. Bank (.) En” Dominio de Internet para los bancos en el país para combatir el fraude financiero digital. En una nueva directiva emitida la semana pasada, el RBI ha instado a los bancos a comenzar la migración al nuevo dominio y completar el proceso ayer del 31 de octubre de 2025. Con ese fin, los bancos deben comunicarse con el Instituto de Expansión e Investigación de Tecnología Bancaria (IDRBT) para iniciar el proceso de registro.
• Nuevo botnet DDOS alimentado por 1.33 millones de dispositivos – Se ha observado que la botnet DDOS más sobresaliente que consta de 1,33 millones de dispositivos se dirige a la microsegmento de “tiendas de apuestas” y duró aproximadamente 2.5 horas a fines de marzo de 2025. Más del 50% de los dispositivos comprometidos están ubicados en Brasil, seguidos por la Rusia, Rusia, Iraq y México, por Qrator Args. La divulgación coincidió con una campaña de amenazas emergente dirigida a los servidores MS-SQL mal administrados para implementar ammyy admin y petitpotato malware para ataque remoto y ascensión de privilegios. “Los atacantes explotan servidores vulnerables, ejecutan comandos para compendiar información del sistema y usar WGet para instalar el malware”, dijo Broadcom. “Asimismo habilitan los servicios de RDP y agregan nuevas cuentas de beneficiario para prolongar el ataque persistente”.
• Scallywag utiliza extensiones falsas de WordPress para fraude publicitario -Una colección de cuatro complementos de WordPress: Soralink, Yu Idea, WpSafelink y Droplink, se anuncia colectivamente SCallywag como una operación de fraude como servicio para ayudar a monetizar servicios digitales de piratería y cortes de URL. “Estos módulos redirigen a los usuarios a través de una o más páginas intermedias para solicitar y representar anuncios ayer de entregar el contenido prometido o la URL acortada”, dijo el equipo de investigación e inteligencia de amenazas de Satori humano. En su apogeo, Scallywag representó 1.400 millones de solicitudes de ofertas fraudulentas por día en 407 dominios de salida de efectivo. El proceso de ataque comienza con un beneficiario que reconocimiento un sitio de catálogo de piratería de películas. Una vez que se elige el contenido a ver, redirigen un blog de retención asociado a Scallywag cargado con anuncios ayer de conducir a su destino final, donde el contenido está alojado. Human dijo que han surgido nuevos sitios de efectivo en medio de la continua represión del esquema, subrayando lo que parece ser un selección de Whack-a-Mole con los estafadores.

• Microsoft comienza oficialmente a retirarse – Microsoft ha puesto a disposición su función de recuperación de inteligencia fabricado (AI) en Copilot+ PC, casi un año a posteriori de que se anunció a una inmensa reacción de privacidad y seguridad. Las preocupaciones llevaron a la compañía a convertirla en una función de suscripción y una investigación del sistema con controles mejorados para evitar el ataque no facultado. “Hemos implementado amplias consideraciones de seguridad, como el inicio de sesión de Windows Hello, el secreto de datos y el aislamiento en el retiro para ayudar a prolongar sus datos seguros y seguros”, dijo Microsoft. “Los datos de recuperación se procesan localmente en su dispositivo, lo que significa que no se envía a la estrato y no se comparte con Microsoft y Microsoft no compartirá sus datos con terceros”. El investigador de seguridad Kevin Beaumont dijo que Microsoft ha hecho “esfuerzos serios” para afrontar algunas de las quejas de seguridad sustantivas, pero señaló que filtrar datos confidenciales de instantáneas puede ser impredecible.
• Cibercrimen cuesta a las víctimas $ 16 mil millones en 2024 – El Centro de Quejas de Delitos de Internet de la Oficina de Investigación de Investigación (FBI) de EE. UU., O IC3, registró 859,532 quejas en 2024, de las cuales 256,256 quejas condujeron a una asombrosa pérdida de $ 16.6 mil millones, un aumento del 33% en las pérdidas de 2023 “. Infraestructura, con quejas que aumentan el 9% desde 2023 “, dijo IC3. “Como categoría, aquellos mayores de 60 abriles sufrieron la mayoría de las pérdidas y presentaron la mayoría de las quejas”. Inversión, Compromiso de correo electrónico comercial (BEC), las estafas de soporte técnico tomaron las tres primeras espacios para la anciano pérdida. Hong Kong, Vietnam, México, Filipinas, India y China fueron los principales destinos internacionales de transacciones fraudulentas de alambre. Los informes de ataque de ransomware al FBI totalizaron 3,156 en 2024, frente a 2,825 en 2023 y 2,385 en 2022. Hasta 67 nuevas variantes de ransomware se reconocieron en 2024.
• Japón advierte sobre el comercio de acciones no facultado a través de credenciales robadas – La Agencia de Servicios Financieros de Japón (FSA) está alertando a los usuarios de transacciones no autorizadas en los servicios de comercio de acciones de Internet utilizando credenciales robadas cosechadas de sitios web de phishing que se hacen tener lugar por sus contrapartes legítimas. Ha habido 1.454 transacciones fraudulentas hasta la época. Estas transacciones comerciales no autorizadas valen casi ¥ 100 mil millones ($ 700 millones) desde febrero.
• FBI escudriñamiento información sobre Salt Typhoon – El FBI dijo que está buscando información sobre un categoría de piratería chino llamado Salt Typhoon y su compromiso de las compañías de telecomunicaciones estadounidenses. “La investigación sobre estos actores y su actividad revelaron una campaña cibernética amplia y significativa para exprimir el ataque a estas redes para atacar a las víctimas a escalera entero”, dijo la agencia. “Esta actividad dio como resultado el robo de registros de datos de llamadas, un número pequeño de comunicaciones privadas que involucran a víctimas identificadas y la copia de información selecta sujeta a solicitudes de aplicación de la ley de los Estados Unidos ordenadas por el tribunal”.
• Privacy Watchdog archiva la queja GDPR contra Ubisoft -La estructura sin fines de interés de la privacidad austriaca Noyb ha destacado al desarrollador y editor de videojuegos franceses Ubisoft de violar las leyes generales de regulación del Reglamento de Protección de Datos (GDPR) en la región por obliga a sus clientes a conectarse a Internet cada vez que lanzan un selección de un solo deportista incluso en escenarios en los que no tienen características en ristra. “Esto le permite a Ubisoft compendiar el comportamiento de selección de las personas. Entre otras cosas, la compañía recopila datos sobre cuándo comienzas un selección, por cuánto tiempo lo juegas y cuándo lo cierras”, dijo Noyb. “Incluso a posteriori de que el demandante le preguntó explícitamente por qué se ve obligado a estar en ristra, Ubisoft no reveló por qué esto está sucediendo”. La queja se acerca inmediatamente a posteriori de Noyb, llamando al confuso “mecanismo de cooperación” para manejar las quejas entre la Autoridad de Protección de Datos (DPA) en el estado miembro de los usuarios y el DPA en el estado miembro de la compañía. “Esta regulación podría acontecer cambiado el selección para desempeñar los derechos fundamentales de las personas. En cambio, parece que perderá miles de horas en autoridades ya con exceso de trabajo al prescribir varios pasos de procedimiento inútiles y demasiado complejos, lo que se traduce en millones en mosca de los contribuyentes”, dijo Max Schrems. “Al mismo tiempo, los procedimientos serán más lentos y igualmente más complejos para negocios y ciudadanos por igual. La aplicación de los derechos de las personas normales de las personas normales será aún más difícil de alcanzar”.
• Flaw en el proceso DCV SSL.com – Una error en el proceso de subsistencia de control de dominio (DCV) de SSL.com podría acontecer permitido a los atacantes comerse la comprobación y emitir certificados SSL fraudulentos para cualquier dominio vinculado a ciertos proveedores de correo electrónico como Aliyun (.) Com. Se dice que se emitieron un total de 11 certificados de esta modo.
• Las operaciones de estafa asiática se expanden a nivel mundial – La Oficina de las Naciones Unidas sobre Drogas y Crimen (UNODC) ha revelado que los centros de estafa administrados por las pandillas del crimen organizado del este y el sudeste oriental se han extendido como un “cáncer” en respuesta a los esfuerzos de aplicación de la ley, lo que resulta en una expansión entero. Nigeria, Zambia, Angola, Brasil y Perú son algunos de los nuevos sitios indirectos a los que los grupos liderados por oriental han migrado. “La dispersión de estas sofisticadas redes criminales en el interior de las áreas de gobernanza más débil ha atraído a nuevos actores, se ha presbítero y alimentado la corrupción, y ha permitido a la industria ilícita continuar escalera y consolidando, culminando en cientos de centros de estafas de escalera industrial que generan menos de US $ 40 en las ganancias anuales”, dijo el UNODC.

🎥 seminarios web de ciberseguridad

1. La suplantación de AI está superando a MFA: aquí está cómo cerrar la puerta de los ataques basados ​​en la identidad -La suplantación impulsada por la IA está haciendo que MFA tradicional sea inútil, y los atacantes están entrando sin robar una contraseña. En esta sesión, aprenderá cómo detener los ataques basados ​​en la identidad ayer de que comiencen, utilizando comprobación en tiempo verdadero, controles de ataque y detección destacamento de Deepfake. Desde la prevención de adquisición de cuentas hasta la prueba de identidad con IA, consulte cómo las defensas modernas pueden cerrar la puerta a los impostores. Únase al seminario web para verlo en acto.
2. Los agentes inteligentes de IA necesitan una seguridad más inteligente, aquí se va a comenzar – Los agentes de IA están ayudando a los equipos a moverse más rápido, pero sin la seguridad adecuada, pueden exponer datos confidenciales o ser manipulados por los atacantes. Esta sesión lo cicerone a través de cómo construir agentes de IA de forma segura, con pasos prácticos, controles secreto y riesgos pasados ​​por parada que necesita conocer. Aprenda a aminorar la exposición sin perder la productividad y prolongar sus herramientas de IA seguras, confiables y bajo control. Regístrese ahora para comenzar a sostener su IA de la modo correcta.

🔧 Herramientas de ciberseguridad

• Varalyze: es un conjunto de herramientas de inteligencia de amenazas unificadas que conecta datos de fuentes como abusoipdb, virustotal y urlscan para optimizar el prospección de amenazas. Automata la reunión de Intel, acelera el triaje y genera informes claros y procesables, todo en una plataforma simple con pitón.
• Cookiecrumbler-¿Cansado de ventanas emergentes de galletas que interrumpen la funcionalidad de su sitio de navegación o ruptura? Cookiecrumbler es una útil inteligente diseñada para detectar y analizar automáticamente los avisos de consentimiento de cookies en los sitios web. Ya sea que esté depurando problemas de compatibilidad web o identificando pancartas de cookies que pasan más allá de los bloqueadores existentes, Cookiecrumbler lo ayuda a detectarlos rápidamente. Funciona como una aplicación web, puede ejecutar rastreos locales e incluso se integra con otros sistemas, no se necesitan habilidades técnicas profundas.
• EyeBaller: es una útil inteligente para los probadores de penetración que analiza grandes lotes de capturas de pantalla del sitio web para identificar rápidamente objetivos de parada valencia como páginas de inicio de sesión, sitios obsoletos y aplicaciones web activas. En oportunidad de perder el tiempo en dominios estacionados o 404 inofensivos, EyeBaller lo ayuda a concentrarse en lo que probablemente sea indefenso, acelerando el triaje en las pruebas de red de parada importancia. Simplemente alimente sus capturas de pantalla y deje que EyeBaller resalte lo que importa.

🔒 Consejo de la semana

No dejes que las llamadas de video se conviertan en puros traseros – Los atacantes ahora están usando invitaciones falsas de reuniones para engañar a las personas para que les den ataque remoto durante las videollamadas. Configuran entrevistas falsas o reuniones de negocios, luego solicitan el control de la pantalla, a veces incluso cambiando su nombre a “Teleobjetivo” para que parezca un mensaje del sistema. Si hace clic en “Permitir” sin pensar, pueden hacerse cargo de su computadora, robar datos o instalar malware.

Para mantenerse seguro, deshabilite las características de control remoto si no las necesita. En Teleobjetivo, apague en la configuración de “En Meeting (Basic)”. Siempre verifique quién está pidiendo ataque y nunca apruebe el control solo porque parece oficial. Use herramientas basadas en navegador como Google se encuentre cuando sea posible: son más seguros porque no pueden tomar fácilmente el control de su sistema.

Para una protección adicional, los usuarios de Mac pueden sitiar el teleobjetivo (o cualquier aplicación) de obtener permisos especiales como “accesibilidad”, que es necesario para el control remoto. Los equipos de TI igualmente pueden establecer esto en todos los dispositivos de la compañía. Y tenga cuidado con las invitaciones de correos electrónicos o enlaces impares: las compañías reales no usarán cuentas personales o páginas de reserva falsas. Manténgase alerta y no permita que un simple clic se convierta en un gran problema.

Conclusión

Las defensas más efectivas a menudo comienzan haciendo mejores preguntas. ¿Se están comportando sus sistemas de una modo que efectivamente entiende? ¿Cómo podrían los atacantes usar sus herramientas de confianza contra usted?

Ahora es el momento de explorar la seguridad más allá de la tecnología: busque cómo su equipo maneja la confianza, la comunicación y el comportamiento inusual. Mapee donde el madurez humano se encuentra con la automatización y dónde los atacantes pueden encontrar puntos ciegos.

La curiosidad no es solo para la investigación, es un escudo poderoso cuando se usa para desafiar los supuestos y descubrir riesgos ocultos.