Rootkit Patch, Federal Breach, OnePlus SMS Fuga, Tiktok Scandal & More

SonicWall ha emprendedor una puesta al día de firmware que dice que ayudará a los clientes a eliminar el malware RootKit implementado en ataques dirigidos a dispositivos de la serie SMA 100. “Sonicwall SMA 100 10.2.2.2-92SV Build se ha emprendedor con comprobación de archivos adicional, proporcionando la capacidad de eliminar el malware RootKit conocido presente en los dispositivos SMA”, dijo la compañía. “Sonicwall recomienda insistentemente que los usuarios de los productos de la serie SMA 100 (SMA 210, 410 y 500V) se actualicen a la interpretación 10.2.2.2-92SV”. La puesta al día se produce luego de un noticia de Google que encontró a un actor de amenaza rastreado como UNC6148 que implementa malware sobrevasta en los dispositivos SonicWall SMA 100 SMA 100. Sonicwall incluso ha revelado que acelerar la vencimiento del fin de apoyo (EOS) para todos los dispositivos SMA 100 al 31 de octubre de 2025, citando “vulnerabilidades significativas presentadas por los dispositivos VPN heredados”.

Se ha descubierto una vulnerabilidad de derivación de permiso (CVE-2025-10184, puntaje CVSS: 8.2) en múltiples versiones de OnePlus OxyGenos instalados en sus dispositivos Android. La deficiencia tiene que ver con el hecho de que los proveedores de contenido interno delicados son accesibles sin permiso, y son vulnerables a la inyección de SQL. “Cuando se aprovecha, la vulnerabilidad permite que cualquier aplicación instalada en el dispositivo lea datos y metadatos de SMS/MMS del proveedor de telefonía proporcionado por el sistema (el paquete com.android.providers.telephony) sin permiso, interacción del usufructuario o consentimiento”, dijo Rapid7. “El usufructuario siquiera se le notifica a que se accede a los datos de SMS”. La explotación exitosa de la rotura podría conducir al robo de información confidencial, como los códigos de autenticación multifactor (MFA) enviados como mensajes SMS. El problema parece haberse introducido como parte de Oxygenos 12, emprendedor en 2021. La vulnerabilidad sigue sin parpadear, pero OnePlus ha agradecido que está investigando el problema.

Únase a esta sesión para descubrir por qué la visibilidad del código a la abundancia se está convirtiendo rápidamente en la piedra angular de la administración moderna de postura de seguridad de aplicaciones (ASPM). Verá cómo los riesgos de mapeo desde donde se originan en el código a donde surgen en la abundancia une el avance, los devops y los equipos de seguridad, permitiendo una priorización más aguda, bucles de feedback más estrictos y remediación más rápida, antiguamente de que los atacantes puedan explotar el vínculo débil.

La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha publicado un asesoramiento integral de seguridad cibernética que detalla cómo los actores de amenaza comprometieron con éxito una red de la Red de Branchas Ejecutivas Civiles Federales de EE. UU. El 11 de julio de 2024, explotando CVE-2024-36401, una vulnerabilidad de ejecución de código remoto crítico en Geoserver. “Durante el período de tres semanas, los actores de amenaza cibernética obtuvieron llegada auténtico separado a un segundo geoserver a través de la misma vulnerabilidad y se trasladaron lateralmente a otros dos servidores”, dijo la agencia. Una vez comprometidos, los atacantes cargaron (o intentaron cargar) conchas web como China Chopper, pegado con scripts diseñados para llegada remoto, persistencia, ejecución de comandos y ascensión de privilegios. Los actores cibernéticos incluso utilizaron técnicas de vida-de la tierra (LOTL) para el usufructuario, el servicio, el sistema de archivos y el descubrimiento de red, al tiempo que dependen de herramientas como FSCAN, DirtyCow y RingQ para examen de red, ascensión de privilegios y distracción de defensa, respectivamente.

La semana pasada, tres miembros del afamado corro de delitos cibernéticos dispersos fueron arrestados. Los valor se acercaron luego de la tripulación anunciando que estaba cerrando sus operaciones. Se sabe que el corro, compuesto por adolescentes principalmente de palabra inglesa, realiza hirviendo lágrimas utilizando tácticas avanzadas de ingeniería social para violar empresas de suspensión perfil, robar datos y extorsionarlas. A principios de este año, Noah Urban, un pollo de 20 abriles vinculado al claro corro, se declaró culpable de sus cargos de delitos cibernéticos y acordó enriquecer millones en restitución. En un noticia publicado la semana pasada, Bloomberg reveló su papel crítico como persona que flama, hablando de personas para que involuntariamente les diera llegada a sistemas informáticos confidenciales al instalar herramientas de llegada remoto. Igualmente dijo que encontró un corro de intercambio de SIM a través de Minecraft, cuyo líder le pagaba $ 50 cada vez que una indicación resultó en un robo de criptomonedas. Urban incluso dijo que uno de los colaboradores, Daniel Junk, descubrió una forma de consentir al portal de servicio al cliente de T-Mobile registrando su computadora personal en su red corporativa y utilizando software de llegada remoto para ingresar a la útil de activación SIM de la compañía. Se dice que la basura pagó a Urban para nombrar a las tiendas T-Mobile y engañar al personal para que entregue sus inicios de sesión al afirmar ser de la administración de seguridad interna. Pronto Urban se graduó para consumir a sus propias personas que llaman para realizar el intercambio de sim y usaron páginas de inicio de sesión falsas de OKTA disfrazadas de engañar a un empleado de Twilio para que envíen sus credenciales. Pero cuando esa cuenta no tenía los datos que quería, inició sesión en la cuenta floja del empleado y envió un mensaje a un empleado superior que había identificado en LinkedIn, pidiéndoles que enviaran datos de clientes pertenecientes a 209 compañías con fines de auditoría. La información se utilizó luego para piratear más empresas. En diciembre de 2022, el corro incluso robó la información personal de 5.7 millones de clientes de Gemini Trust y la puso a la saldo. Este corro de actividad llegó a ser conocido como 0ktapus. El corro de amenazas eventualmente se uniría a otras entidades como Lapsus $ y la araña dispersa para violar Crypto.com y explotar un sistema United Parcel Service Inc. para resumir los datos personales de posibles víctimas. La casa de Urban fue allanada por las autoridades estadounidenses en marzo de 2023, y finalmente fue arrestado en enero de 2024. El mes pasado, fue sentenciado a diez abriles de prisión. “No estoy diciendo que lo que hice fue poco bueno, es una comunidad horrible, y lo que hice fue malo”, dijo a Bloomberg. “Pero amaba mi vida. Me gusta quién soy. Me alegro de sobrevenir podido conducirse la vida como la vivía”.

Los actores de amenaza están utilizando archivos SVG atrapados en una campaña de phishing de correo electrónico dirigida a usuarios en Colombia, México y Perú como vector de entrega para entregar sigilosamente malware como Asyncrat por medio de un archivo ZIP protegido con contraseña. Los archivos SVG de gran tamaño contienen el “paquete completo”, eliminando la condición de conexiones externas a un servidor remoto para mandar comandos a dispositivos comprometidos o descargar cargas enseres maliciosas adicionales. “Los atacantes incluso parecen tener fe al menos en parte de las herramientas de inteligencia químico (IA) para ayudarlos a crear archivos personalizados para cada objetivo”, dijo Eset. “La capacidad de los señuelos de SVG para admitir scripts, enlaces integrados y utensilios interactivos los hace maduras para el exceso, todo al tiempo que aumenta las probabilidades de sortear la detección de algunas herramientas de seguridad tradicionales”.

Una vulnerabilidad de una decenio puede cascar la puerta a la suplantación de URL explotando cómo los navegadores manejan los guiones de derecha a izquierda (RTL) y de izquierda a derecha (LTR), lo que permite a los atacantes elaborar URL que parecen confiables pero que efectivamente conducen a un destino diferente. El ataque ha sido llamado Bidi Swap por Varonis. Mientras que los ataques de homógrafos de PunyCode y las exploits de anulación de RTL (RLO) se han abusado durante mucho tiempo de engañar a los usuarios y navegadores para que muestren texto o URL engañoso o URL, Bidi Swap implica la elaboración de dominios que tienen un subdominio de LTR con algunos parámetros RTL a sitios legítimos inspiradores.

CISA ha publicado un aviso sobre el nuevo compromiso generalizado de la esclavitud de suministro dirigido al ecosistema NPM que implicó el uso de un infeliz autopractante llamado Shai-Hulud para robar credenciales y propagar el malware a otros paquetes. El malware “aprovechó un proceso automatizado para propagarse rápidamente autenticando al registro de NPM como el desarrollador comprometido, inyectando código en otros paquetes y publicando versiones comprometidas en el registro”, dijo CISA. La agencia insta a las organizaciones a realizar una revisión de dependencia, las versiones de dependencia del paquete PIN NPM a las versiones seguras conocidas, rotar todas las credenciales de desarrolladores, exigir la autenticación multifactor (MFA) resistente a phishing (MFA) en todas las cuentas de desarrolladores, monitorear el comportamiento anomaloso de la red, la seguridad de Harden Github mediante la exterminio innecesaria de las aplicaciones Github y las aplicaciones de Oauth, y las reglas de protección de la Oauth y las reglas de la redable. “El infeliz Shai-Hulud representa una ascensión significativa en la serie en curso de ataques de NPM dirigidos a la comunidad de código amplio”, dijo Palo Stop Networks Unit 42. “Su diseño autorreplicante es particularmente sobresaliente, combinando efectivamente la monasterio de credenciales con un mecanismo de diseminación automatizado que explota los derechos de publicación existentes para proliferar a través del ecosistema”.

Un selección de selección de plataformas 2D llamado BlockBlasters ha comenzado a exhibir signos de actividad maliciosa luego de un tirada de parche el 30 de agosto de 2025, que captura silenciosamente la información del sistema, una tira de productos de seguridad instalados y extensiones de navegador de billetera de criptomonedas, y deja caer la información de STEALC mientras el usufructuario está jugando. Este parche afecta a cientos de jugadores que actualmente tienen el selección instalado en sus sistemas, dijo G Data. Desde entonces, el selección ha sido sacado de Steam.

Se ha observado que los actores de amenaza explotan un servidor de saco de datos Oracle DBS expuesto para ejecutar comandos de forma remota y crear un túnel encriptado con un servidor de comando y control (C2) para implementar a los ELON, una variable probable del servidor proxima/blackshadow que apareció en la red de 2024.

Se están utilizando instaladores de pantalla de pantalla troyanizada para distribuir Asyncrat y una rata PowerShell personalizada como parte de una campaña en curso diseñada para allanar el robo de datos y el llegada a espléndido plazo. Un disección de las diversas direcciones IP asociadas con la actividad de asíncrata ha revelado una “infraestructura maliciosa de asíncrata resiliente y evasiva mantenida para operaciones a espléndido plazo en ocupación de ataques oportunistas”, dijo Hunt.io.

Un hombre de unos cuarenta abriles de West Sussex ha sido arrestado en relación con un ataque cibernético que interrumpió las operaciones diarias en varios aeropuertos europeos, incluido Heathrow. La Agencia Franquista de Crimen del Reino Unido (NCA) dijo que ha sido libre bajo fianza condicional. “Aunque este arresto es un paso positivo, la investigación sobre este incidente se encuentra en sus primeras etapas y sigue en curso”, dijo el subdirector Paul Foster, patrón de la Dispositivo Franquista de Delitos Cibernéticos de la NCA. La agencia no nombró al sospechoso ni dijo si actuó solo o como parte de un corro cibercriminal más amplio. El incidente causó cientos de retrasos en el revoloteo luego de que el equipaje aeroespacial de Collins y el software de registro utilizado por varias aerolíneas fallaron. RTX Corporation, el propietario de Collins Aerospace, dijo que el ransomware había sido desplegado en el ataque. Aunque la compañía no compartió ningún otro detalle sobre el incidente, el investigador de ciberseguridad Kevin Beaumont dijo que los atacantes usaron una variable de ransomware “increíblemente básica” indicación Hardbit.

Los mantenedores del Índice de paquetes de Python (PYPI) han despabilado sobre los continuos ataques de phishing que emplean la confusión de dominio y los correos electrónicos de aspecto genuino para engañar a los accionistas para que se separen con sus credenciales al engañarlos para hacer clic en los enlaces falsos (“Pypi-Mirror.org”) bajo el pretexto de confirmar su dirección de correo electrónico para “mantenimiento de la seguridad y el peligro de cuentas” o el peligro de cuentas “o el peligro de cuentas”. Se recomienda a los mantenedores de paquetes que cambien sus contraseñas con huella inmediato si ya han hecho clic en el enlace y proporcionan su información de inicio de sesión. Igualmente se recomienda confirmar el historial de seguridad de la cuenta para cualquier actividad sospechosa.

Las autoridades de aplicación de la ley en francés han cerrado un mercado web dudoso que atiende a usuarios de palabra francesa. El Dark French Anty System, o DFAS, se estableció en 2017 y tenía más de 12,000 usuarios registrados, emergiendo como un centro importante para entregar drogas, armas, herramientas de piratería, esquemas de lavado de fortuna y otros servicios criminales. Las autoridades tomaron el control de los servidores y arrestaron a dos sospechosos, uno que supuestamente es el administrador principal del sitio y un cómplice que ayudó en las pruebas de sus servicios.

Una operación coordinada interpol que alpargata 40 países y territorios condujo a la recuperación de USD 342 millones en monedas respaldadas por el gobierno, pegado con USD 97 millones en activos físicos y virtuales. La operación, denominada Haechi-Vi, tuvo ocupación entre abril y agosto de 2025, y se dirigió a siete tipos de delitos financieros con facultad cibernética: phishing de voz, estafas románticas, sextortion en tilde, fraude de inversiones, lavado de fortuna asociado con juegos de azar en tilde ilegales, compromiso de correo electrónico comercial y fraude de comercio electrónico. Como parte del esfuerzo en curso, las autoridades bloquearon más de 68,000 cuentas bancarias asociadas, se congelaron cerca de 400 billeteras de criptomonedas y recuperaron más o menos de $ 16 millones en presuntos ganancias ilícitas de billeteras de criptomonedas. Adicionalmente, la policía portuguesa rompió un sindicato que desvió fondos destinados a apoyar a las familias vulnerables, lo que llevó al arresto de 45 sospechosos que accedieron ilegalmente a las cuentas del Seguro Social y los detalles bancarios alterados que resultaron en $ 270,000 robados de 531 víctimas. Los funcionarios tailandeses incluso confiscaron $ 6.6 millones en activos robados en relación con una sofisticada estafa de compromiso de correo electrónico comercial realizado por un corro de crimen organizado transnacional que comprende nacionales tailandeses y de África occidental. “La pandilla engañó a una importante corporación japonesa para transferir fondos a un socio comercial ficticio con sede en Bangkok”, dijo Interpol.

La popular aplicación de redes sociales Tiktok ha estado recopilando información confidencial de cientos de miles de canadienses menores de 13 abriles, según una investigación conjunta de las autoridades de privacidad. Sin secuestro, “como resultado de las inadecuadas medidas de respaldo de perduración de Tiktok, la compañía recopiló la información personal de una gran cantidad de niños canadienses, incluida la información que las oficinas consideran sensibles”, dice el noticia. La sonda incluso encontró que Tiktok no pudo explicar adecuadamente su compendio y uso de información biométrica, como datos faciales y de voz, para disección de video, imagen y audio. Los comisionados de privacidad dijeron que Tiktok acordó mejorar su comprobación de perduración y proporcionar avisos por avanzado sobre su amplia compendio de datos. La compañía incluso acordó “detener” efectivamente “a los anunciantes apuntar a usuarios menores de 18 abriles, excepto en saco a categorías amplias como el estilo y la ubicación aproximada.

Un nuevo noticia de APIIRO descubrió que los equipos de avance de software que utilizan asistentes de codificación de inteligencia químico (IA) han introducido “más de 10,000 nuevos hallazgos de seguridad por mes en los repositorios”, una pico de 10 × desde diciembre de 2024 “. Estas defectos abarcan cada categoría de peligro de aplicaciones, desde dependencias abiertas de las dependencias de la codificación de la codificación de la insecución, los patrones de codificación expuestos y los miscensorios en la abundancia y las miscensoraciones de la abundancia, y los apio, los apio.” APIURACIONES “. “La IA no está multiplicando un tipo de vulnerabilidad, sino todos a la vez”. El estudio incluso encontró que, si admisiblemente los errores de sintaxis en el código escrito por AI cayeron en un 76%y los errores lógicos disminuyeron en más del 60%, las rutas de ascensión de privilegios aumentaron un 322%y los defectos de diseño arquitectónico aumentaron 153%. Adicionalmente, los desarrolladores asistidos por IA expusieron claves de API y directores de servicio relacionados con la abundancia casi el doble que sus compañeros no AI.

En septiembre de 2024, Microsoft emitió parches para una característica de seguridad de Windows Mark-of-the-Web (MOTW) de vulnerabilidad de derivación rastreada como CVE-2024-38217. Igualmente llamado pisoteo LNK, la rotura explota la forma en que se manejan archivos de llegada directo de Windows (LNK) para eliminar la ritual MOTW y el omitido de las protecciones de seguridad. Según Elastic, hay indicios de que el problema ha sido explotado desde febrero de 2018, mucho antiguamente de que se documentara públicamente. “LNK STOPPing es un ataque que manipula la ruta del software de ejecución auténtico de un archivo de llegada directo de Windows (.lnk) con una ruta objetivo anormal o una estructura interna”, dijo ASEC de la compañía de seguridad cibernética de Corea del Sur. “Luego solicita a Explorer.exe para eliminar los metadatos de MOTW durante el proceso ‘Normalización (canonicalización)’, sin producirse por suspensión las verificaciones de seguridad”.

Doma -Domaols reveló que los usuarios de Android indonesios y vietnamitas han sido atacados por troyanos bancarios disfrazados de solicitudes legítimas de suscripción e identidad público desde agosto de 2024 “. Los operadores exhiben patrones de registro de dominio distintos, a menudo reutilizando los certificados de TLS y los dominios de agrupación para resolver a los mismos IP, con un musculoso enfoque eficaz durante el día de la Asia, según los certificados de la compañía. Se sospecha que los actores de amenaza están utilizando sitios web falsificados que imitan la tienda Google Play para engañar a los usuarios en la instalación de archivos APK fraudulentos que eliminan un troyano bancario llamado BankBot, que tenía su código fuente filtrado en foros en idioma ruso en 2016. Se han identificado más de 100 dominios como utilizados para la distribución de malware.

Un actor de amenaza respaldado por el estado con vínculos con el ruso está apuntando a las próximas elecciones de Moldavan de 2025 con una campaña de desinformación, estableciendo sitios de noticiero falsos para informar artículos que amplifiquen las narrativas que intentan disuadir a Moldova de alinearse aún más con la Unión Europea y exhibir los sesgos contra el liderazgo contemporáneo. La actividad de varios abriles se rastrea bajo el nombre de Storm-1679 (incluso conocido como Matryoshka). Silent Push dijo que identificaba “huellas digitales técnicas” que vinculan los esfuerzos con un sitio de noticiero ruso llamado Absatz. Igualmente encontró puntos en popular entre múltiples sitios web de desinformación, lo que sugiere “reutilización de infraestructura y propiedad popular en esta campaña”. Esto incluye el uso de dos direcciones IP: 95.181.226 (.) 135 y 91.218.228 (.) 51, que se han utilizado para encajar los dominios en relación con un esfuerzo de desinformación ruso que data de 2022. “Al agenciárselas la palabra rusa para moldOva (‘м ллд’) en ABSATZ (ABATZ (ABATZ (ABATZ (). Artículos de desinformación “, dijo Silent Push.

En una nueva investigación publicada por CrowdStrike, se ha antitético que el motor de inteligencia químico chino Deepseek a menudo se niega a ayudar a los programadores o les da un código o código de pérdida calidad que contiene fallas de seguridad importantes cuando dicen que están trabajando para el movimiento espiritual prohibido Falun Tantán u otros grupos considerados sensibles por el gobierno chino. “Producir deliberadamente código defectuoso puede ser menos sobresaliente que insertar puertas traseras (medios secretos de llegada para usuarios no autorizados, incluidos los gobiernos, al tiempo que producen el mismo resultado: hacer que los objetivos sean fáciles de piratear”, informó el Washington Post.