18.9 C
Madrid
sábado, octubre 25, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

⚡ Resumen semanal – SharePoint Breach, Spyware, IoT Hyjacks, DPRK Fraud, Crypto Drains y más

Por Conectamentado
21
⚡ Resumen semanal – SharePoint Breach, Spyware, IoT Hyjacks, DPRK Fraud, Crypto Drains y más

Algunos riesgos no violan el perímetro: llegan a través del software firmado, los currículums limpios o los proveedores sancionados que aún se esconden a la clarividencia.

Esta semana, las amenazas más claras no fueron las más fuertes: fueron las más legítimas. En un entorno donde la identidad, la confianza y las herramientas están interconectadas, el camino de ataque más musculoso es a menudo el que parece pertenecer. Los equipos de seguridad ahora tienen el desafío de defender los sistemas no solo de las intrusiones, sino que la confianza se convierte en un armamento.

⚡ Amenaza de la semana

Ataques de Microsoft SharePoint rastreados a China -Las consecuencias de una juerga de ataque se dirigen a defectos en los servidores locales de Microsoft SharePoint continúan extendiéndose una semana a posteriori del descubrimiento de las hazañas de día cero, con más de 400 organizaciones a nivel mundial comprometidas. Los ataques se han atribuido a dos grupos de piratería chinos conocidos rastreados como Typhoon de tela (además conocido como APT27), Violet Typhoon (además conocido como APT31) y un supuesto actor de amenaza con sede en China, el codificado como Tormenta-2603 que ha aplicado el ataque al despliegue de ransomware Warlock. Los ataques aprovechan CVE-2025-49706, un defecto de falsificación y CVE-2025-49704, un error de ejecución de código remoto, colectivamente llamado Toolshell. Bloomberg informó que Microsoft está investigando si una filtración del Software de Protecciones Activas de Microsoft (MAPP), que proporciona ataque temprano a la información de vulnerabilidad a los proveedores de software de seguridad, puede ocurrir llevado a la explotación del día cero. China ha incapaz las acusaciones de que estaba detrás de la campaña.

🔔 Telediario principales

  • Sanciones del Hacienda de EE. UU. Compañía coreana por el esquema de trabajadores de TI – El Unidad de Control de Activos Extranjeros (OFAC) del Unidad de Hacienda de los Estados Unidos sancionó a una empresa delantera norcoreana y tres personas asociadas por su billete en el esquema de trabajadores de tecnología de la información remota (TI) fraudulenta diseñado para ocasionar ingresos ilícitos para Pyongyang. En un movimiento relacionado, Christina Marie Chapman, una agricultor de laptop en Arizona responsable de suministrar el esquema, fue sentenciada a la calabozo durante ocho primaveras y medio, a posteriori de percibir $ 17 millones en fondos ilícitos para el régimen. En estos esquemas, los trabajadores de TI de Corea del Ártico usan carteras perfectamente elaboradas y cuidadosamente seleccionadas, completadas con perfiles completos de redes sociales, fotos mejoradas con AI y infartos profundos, y identidades robadas para aprobar verificaciones de historial y trabajos de tierras en varias empresas estadounidenses. Una vez contratados, toman la ayuda de facilitadores para percibir computadoras portátiles emitidas por la empresa y otros equipos, a los que luego pueden conectarse de forma remota, dando así la impresión de que están adentro del país donde se encuentra la empresa. Los esfuerzos continuos operan con los objetivos broches de ocasionar ingresos para el software nuclear del Reino Hermita y otros esfuerzos a través de salarios regulares, así como obtener un punto de apoyo adentro de las redes corporativas con el fin de plantar malware para robar secretos y molestar a sus empleadores. «Las operaciones cibernéticas de la DPRK desafían el obra de jugadas tradicional de estado-nación: fusionar el robo de criptomonedas, el espionaje y la ansia nuclear adentro de un sistema autofinanciado impulsado por ganancias, honradez y supervivencia», dijo Sue Gordon, miembro de la Articulación Asesora de DTEX y ex directora directora de la inteligencia franquista de Estados Unidos. «Reconocerlo como un sindicato de mafia ascendiente que desborna las líneas entre el delito cibernético y la artesanía. Este noticia retira el telón de su funcionamiento interno y psicología, revelando cuán profundamente integrados ya están adentro de nuestra fuerza sindical, proporcionando el contexto necesario para anticipar su próximo movimiento».
  • SOCO404 y Koske Target mal configiadas las instancias de la nubarrón para soltar mineros – Dos campañas de malware diferentes tienen vulnerabilidades y configuraciones erróneas en entornos en la nubarrón para entregar mineros de criptomonedas. Estos grupos de actividad han sido nombrados en código SOCO404 y Koske. Mientras que SOCO404 se dirige a los sistemas Linux y Windows a implementar malware específico de plataforma, Koske es una amenaza centrada en Linux. Asimismo hay evidencia que sugiere que Koske se ha desarrollado utilizando un maniquí de jerigonza magnate (LLM), dada la presencia de comentarios perfectamente estructurados, flujo razonable de mejor maña con hábitos de secuencia de comandos defensivos e imágenes sintéticas relacionadas con el panda para introducir la carga útil del minero.
  • Foro de XSS derribado y supuesto administrador arrestado – La policía anotó una conquista significativa contra la capital del delito cibernético con la interrupción del afamado Foro XSS y el arresto de su supuesto administrador. Dicho esto, es importante tener en cuenta que los derribos de foros similares han demostrado ser de corta duración, y los actores de amenaza a menudo se mudan a nuevas plataformas u otras alternativas, como los canales de telegrama. El expansión se produce cuando Leakzone, un «foro de fuga y agrietamiento» autodenominado donde los usuarios anuncian y comparten bases de datos incumplidas, credenciales robadas y software pirateado, fue atrapado filtrando las direcciones IP de sus usuarios registrados en la web abierta.
  • Coyote Trojan Exploits Windows UI Automation – El troyano bancario de Windows conocido como Coyote se ha convertido en la primera cepa de malware conocida en explotar el situación de accesibilidad de Windows llamado UI Automation (UIA) para cosechar información confidencial. Coyote, que se sabe que se dirige a los usuarios brasileños, viene con capacidades para registrar las pulsaciones de teclas, capturar capturas de pantalla y atender superposiciones por otra parte de las páginas de inicio de sesión asociadas con las empresas financieras. El disección de Akamai descubrió que el malware invoca la API GetForeGroundwindow () Windows para extraer el título de la ventana activa y compararlo con una inventario codificada de direcciones web que pertenecen a bancos específicos e intercambios de criptomonedas. «Si no se encuentra ninguna coincidencia, COYOTE usará UIA para analizar los nociones infantiles de la UI de la ventana en un intento de identificar pestañas del navegador o barras de dirección», dijo Akamai. «El contenido de estos nociones de la interfaz de usufructuario se remisión cruzada con la misma inventario de direcciones de la primera comparación».
  • Cisco confirma exploits activos dirigidos a ISE -Cisco ha apto que un conjunto de fallas de seguridad en el motor de servicios de identidad (ISE) e ISE Passive Identity Connector (ISE-PIC) han estado bajo una explotación activa en la naturaleza. Los fallas, CVE-2025-20281, CVE-2025-20337 y CVE-2025-20282, permiten que un atacante ejecute el código despótico en el sistema eficaz subyacente como los archivos arbitrarios o cargue los archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema eficaz subyacente como root. El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo vivo, la identidad de los actores de amenaza que los explotan o la escalera de la actividad.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una puesta al día perdida o un error oculto, incluso un CVE sin parches puede aclarar la puerta a daños graves. A continuación se muestran las vulnerabilidades de detención peligro de esta semana que hacen olas. Revise la inventario, parche rápido y mantén un paso delante.

La inventario de esta semana incluye: CVE-2025-54068 (Laravel LiveWire Framework), CVE-2025-34300 (Lighthouse Studio), CVE-2025-6704, CVE-2025-7624 (Sophos Firewall), CVE-2025-40599 (Sonicwall SMA 100), CVE-2025-2025, CVE-205655555555555525, CVE-2025, CVE-2025, CVE-205655555555525, CVE-2025, CVE-2025, CVE-4999999 (Sonicwall SMA 100), CVE-2025-2025, CVE-49999999 (Sonicwall SMA 100), CVE-2025- CVE-2025-50151 (Apache Jena), CVE-2025-22230, CVE-2025-22247 (Broadcom VMware Tools), CVE-2025-7783 (Form-Data), CVE-2025-34140, CVE-2025-34141, CVE-2025-34142, CVE-2025-2025-2025 (Hexagon ETQ Reliance), CVE-2025-8069 (AWS Client VPN para Windows), CVE-2025-7723, CVE-2025-7724 (TP-Link Vigi NVR), CVE-2025-7742 (LG INNOTEK LNV5110R), CVE-2025-24000 (Post SMTP), Post SMTP), CVE-2025-52449, CVE-2025-52452, CVE-2025-52453, CVE-2025-52454, CVE-2025-52455 (Salesforce Tableau Server) y CVE-2025-6241 (systrack).

📰 cerca de del mundo cibernético

  • Google elimina los 1000 de los canales de YouTube vinculados para influir en OPS -Google eliminó casi 11,000 canales de YouTube y otras cuentas vinculadas a las campañas de propaganda vinculadas al estado de China, Rusia y más en el segundo trimestre de 2025. Eliminó más de 2,000 canales eliminados vinculados a Rusia, incluidos 20 canales de YouTube, 4 cuentas de ADS y 1 blog de blogger asociado con RT, una salida de medios de comunicación estatales rusas. El derribo además incluyó más de 7.700 canales de YouTube vinculados a China, que compartió contenido en chino e inglés que promovió la República Popular de China, apoyó al presidente Xi Jinping y comentó sobre los asuntos exteriores de los Estados Unidos.
  • La compañía de vigilancia evita las salvaguardas SS7 – Una compañía de vigilancia no identificada ha estado utilizando una nueva técnica de ataque para evitar las protecciones del protocolo del sistema 7 (SS7) y engañar a las compañías de telecomunicaciones para que revelen la ubicación de sus usuarios. El método de ataque, probablemente utilizado desde el cuarto trimestre de 2024, depende de la manipulación de la parte de la aplicación de la aplicación de capacidades de transacción (TCAP) a través de los comandos SS7 que se han codificado de tal guisa que sus contenidos no están analizados por los sistemas de protección o los firewalls en la red objetivo. «No tenemos ninguna información sobre cuán exitoso ha sido este método de ataque en todo el mundo, ya que su éxito es específico del proveedor/software, en emplazamiento de ser una vulnerabilidad caudillo de protocolo, pero su uso como parte de una suite indica que ha tenido cierto valencia», dijeron los investigadores de ENEA Cathal Mc Daid y Martin Gallagher.
  • Número de sitios de phishing dirigidos a picos de telegrama – Un nuevo noticia descubrió que el número de sitios de phishing dirigidos a los usuarios de telegramas aumentó a 12,500 en el segundo trimestre de 2025. En una variación del esquema, los estafadores crean una página de phishing que simula la página de inicio de sesión asociada con telegrama o fragmento, una plataforma en la plataforma tonelada que permite a los usuarios comprar y traicionar Usernames de telegrama únicos y números de teléfono virtuales. Si las víctimas ingresan a sus credenciales y los códigos de confirmación, los atacantes secuestran las cuentas. El segundo atmósfera implica al atacante que se acerca a una víctima para comprar un regalo digital raro en Telegram por una gran cantidad. «Como cuota, el estafador envía tokens falsos», dijo Bi.Zone. «A primera clarividencia, son indistinguibles de los reales, pero no tienen un valencia vivo. A posteriori de la transferencia, la víctima queda sin un regalo y con una moneda digital falsa». En un noticia relacionado, la Dispositivo de Palo Stop Networks 42 dijo que identificaba 54,446 dominios que alojaban sitios de phishing en una campaña que se hace tener lugar por telegrama denominado telegram_acc_hijack. «Estas páginas recopilan las credenciales de inicio de sesión de Telegram enviadas y los códigos de ataque único en tiempo vivo (OTP) para secuestrar cuentas de usufructuario», agregó la compañía.
  • Ex empleado de la NCA sentenciado a 5.5 primaveras de prisión -Un ex funcionario de la Agencia Franquista de Delitos del Reino Unido (NCA) fue sentenciado a cinco primaveras y medio de prisión a posteriori de robar una parte de la agencia incautada por la agencia como parte de una operación de aplicación de la ley dirigida al ahora desaparecido mercado de Silk Road de Silk Road. Paul Chowles, de 42 primaveras, fue identificado como el culpable a posteriori de que las autoridades recuperaron su iPhone, lo que lo vinculó a una cuenta utilizada para transferir bitcoin, así como el historial de búsqueda relevante del navegador relacionado con un servicio de intercambio de criptomonedas. «Internamente de la NCA, Paul Chowles era considerado como alguno competente, técnicamente mental y muy consciente de la oscura web y las criptomonedas», dijo Alex Johnson, fiscal doble en la división de delitos distinto del Servicio de Fiscalía de la Corona. «Aprovechó su posición trabajando en esta investigación alineando sus propios bolsillos mientras ideaba un plan que creía que aseguraría que la sospecha nunca caería sobre él. Una vez que había robado la criptomoneda, Paul Chowles buscó confundir las aguas y cubrir sus huellas al transferir el bitcoin a mezclar servicios para ayudar a ocultar el sendero del peculio».
  • Sanciones del Reino Unido 3 Unidades de Gru rusas para ataques cibernéticos sostenidos – El Reino Unido sancionó a tres unidades de la Agencia de Inteligencia Marcial Rusia (GRU) y 18 oficiales de inteligencia marcial para «admitir a extremo una campaña sostenida de actividad cibernética maliciosa durante muchos primaveras» con el objetivo de «sembrar caos, división y desorden en Ucrania y en todo el mundo». La pelotón de cobertura de sanciones 26165 (vinculada a Apt28), la pelotón 29155 (vinculada a Cadet Blizzard) y la Dispositivo 74455 (vinculada a Sandworm), así como la iniciativa africana, una «industria de contenido de redes sociales establecida y financiada por Rusia y empleando a los funcionarios de inteligencia rusos para admitir a extremo operaciones de información en África occidental».
  • Prohibición de pagos de ransomware del Reino Unido para organismos públicos – El gobierno del Reino Unido ha propuesto una nueva código que prohibiría a las organizaciones del sector notorio y a la infraestructura franquista crítica al sufragar a los operadores penales detrás de los ataques de ransomware, así como hacer cumplir los requisitos de informes obligatorios para que todas las víctimas informen a la policía de los ataques. «Los organismos y operadores del sector notorio de la infraestructura franquista crítica, incluidos el NHS, los consejos locales y las escuelas, se les prohibiría sufragar demandas de rescate a los delincuentes bajo la medida», dijo el gobierno. «La prohibición se dirigiría al maniquí de negocio que alimenta las actividades de los ciberdelincuentes y hace que los servicios vitales que el notorio depende de un objetivo menos atractivo para los grupos de ransomware». Las empresas que no caen bajo el ámbito de la ley deberían avisar al gobierno sobre cualquier intención de sufragar un rescate. Un fracaso en descargar parches para asaltar vulnerabilidades ampliamente explotadas podría conducir a multas diarias de £ 100,000 o 10 por ciento de la facturación en caso de que ocurra un robo digital.
  • ¿Pensó que Lumma estaba fuera de servicio? ¡Piense de nuevo! – Las operaciones de Lumma Stealer se han recuperado a posteriori de un derribo de la ley de su infraestructura a principios de este año, con el malware distribuido a través de canales más discretos y tácticas de esparcimiento más sigilosas. «La infraestructura de Lumma comenzó a aumentar nuevamente a las pocas semanas del derribo», dijo Trend Micro. «Esta rápida recuperación destaca la resistor y adaptabilidad del montón frente a la interrupción». Un cambio sobresaliente es la reducción en el convexidad de dominios utilizando los servicios de Cloudflare para ofuscar sus dominios maliciosos y hacer que la detección sea más desafiante, en emplazamiento de cambiar a alternativas rusas como Selectel. «Este pivote clave sugiere un movimiento en torno a los proveedores que podrían percibirse como menos receptivos a las solicitudes de aplicación de la ley, lo que complica aún más los esfuerzos para rastrear e interrumpir sus actividades», agregó la compañía. Lumma Stealer es conocido por sus métodos de entrega diversos y en transformación, aprovechando publicaciones de redes sociales, GitHub, ClickFix y sitios falsos que distribuyen grietas y generadores de claves, como métodos de ataque original. El resurgimiento de la lumma es la parte del curso con operaciones cibercriminales modernas que a menudo pueden reanudar rápidamente la actividad incluso a posteriori de importantes interrupciones de la aplicación de la ley. En una afirmación compartida con The Hacker News, ESET confirmó el resurgimiento de Lumma Stealer y que la actividad coetáneo se ha acercado a niveles similares a los anteriores a la batalla de aplicación de la ley. «Los operadores de robadores de Lumma continúan registrando docenas de nuevos dominios semanalmente, actividad que no se detuvo incluso a posteriori de la interrupción, pero cambió a resolverlos principalmente en servidores de nombres ubicados en Rusia», dijo Jakub Tománek, analista de malware de Eset. «La cojín de código en sí ha mostrado cambios mínimos desde el intento de exterminio. Esto indica que el enfoque principal del montón ha sido restaurar las operaciones en emplazamiento de innovar su ‘producto’ e introducir nuevas características».
  • El gobierno de los Estados Unidos advierte sobre el ransomware de enclavamiento -El gobierno de los Estados Unidos advirtió sobre los ataques de ransomware entrelazados dirigidos a empresas, infraestructura crítica y otras organizaciones en América del Ártico y Europa desde finales de septiembre de 2024. Los ataques, diseñados para dirigirse a los sistemas de Windows y Linux, emplean descargas de conducción de sitios web legítimos comprometidos o Luros de estilo FileFix y Lures de estilo FileFix a la carga original. «Los actores luego usan varios métodos para el descubrimiento, el ataque a las credenciales y el movimiento supletorio para prolongarse a otros sistemas en la red», dijo el gobierno de los Estados Unidos. «Los actores entrelazados emplean un maniquí de doble molestia en el que los actores encriptan los sistemas a posteriori de exfiltrando datos, lo que aumenta la presión sobre las víctimas para sufragar el rescate para que los dos se descifren sus datos y eviten que se filtre». Asimismo parte de las herramientas del actor de amenaza son Cobalt Strike y un troyano de ataque remoto personalizado llamado Nodesnake Rat, y robos de información como Lumma Stealer y Berserk Stealer para cosechar credenciales para el movimiento supletorio y la subida privilegiada.
  • Apple notifica a los iraníes de los ataques de spyware – Apple notificó a más de una docena de iraníes en los últimos meses que sus iPhones habían sido atacados con el spyware del gobierno, según una ordenamiento de derechos y seguridad digitales llamamiento Miaan Group. Esto incluyó a las personas que tienen una larga historia de acción directa político. Asimismo se notificó a los disidentes y un trabajador de tecnología. No está claro qué fabricante de spyware está detrás de estos ataques. Los ataques marcan el primer ejemplo conocido de herramientas mercenarias avanzadas que se usan tanto adentro de Irán como contra los iraníes que viven en el extranjero.
  • Servidores de Linux dirigidos por SVF Bot -Los servidores de Linux mal gestionados están siendo atacados por una campaña que ofrece un malware basado en Python llamado Bot SVF que alista máquinas infectadas en una botnet que puede realizar ataques distribuidos de invalidez de servicio (DDoS). «Cuando se ejecuta el bot SVF, puede autenticarse con el servidor Discord utilizando el futuro token BOT y luego actuar de acuerdo con los comandos del actor de amenaza», dijo ASEC. «La mayoría de los comandos apoyados son para ataques DDoS, con L7 HTTP Flood y L4 UDP Flood son los principales tipos admitidos».
  • Empresas turcas atacadas por Snake Keylogger – Las organizaciones turcas son el objetivo de una nueva campaña de phishing que ofrece un robador de información llamado Snake Keylogger. La actividad, principalmente destacando los sectores de defensa y aeroespacial, implica la distribución de mensajes de correo electrónico falsos que se hacen tener lugar por industrias aeroespaciales turcas (TUSAş) en un intento de engañar a las víctimas para que abran archivos maliciosos bajo la apariencia de documentos contractuales. «Una vez ejecutado, el malware emplea mecanismos avanzados de persistencia, incluidos los comandos de PowerShell para sortear el defensor de Windows y las tareas programadas para la ejecución cibernética, para cosechar datos confidenciales, como credenciales, cookies e información financiera, desde una amplia escala de navegadores y clientes de correo electrónico», dijo Malwation.
  • El ex ingeniero se declara culpable de robo comercial -Un hombre del condado de Santa Clara y un ex ingeniero de una compañía del sur de California se declaró culpable de robar tecnologías secretas de comercio desarrolladas para su uso por el gobierno de los Estados Unidos para detectar lanzamientos de misiles nucleares, rastrear misiles balísticos e hipersónicos, y permitirnos aviones de combate para detectar y sortear los misiles de búsqueda de calor. Chenguang Gongo, de 59 primaveras, de San José, se declaró culpable de un cargo de robo de secretos comerciales. Sigue vacancia con un bono de $ 1.75 millones. Gongo, un doble ciudadano de los Estados Unidos y China, transfirió más de 3.600 archivos de una compañía de investigación y expansión del radio de Los Ángeles, donde trabajó para dispositivos de almacenamiento personal durante su breve mandato con la compañía el año pasado. La compañía de víctimas contrató a Gongo en enero de 2023 como apoderado de diseño de circuito integrado específico de la aplicación. Fue despedido tres meses a posteriori. Gongo, quien fue arrestado y dibujado en febrero, está programado para la sentencia el 29 de septiembre de 2025. Se enfrenta hasta 10 primaveras de prisión.
  • FBI emisas advertencia sobre el COM -La Oficina Federal de Investigación (FBI) advierte al notorio sobre un montón en tilde llamado en la vida vivo (IRL) com que proporciona violencia como servicio (VAA), incluidos tiroteos, secuestros, robos a mano armada, apuñalamientos, asalto físico y teja. «Los servicios se publican en tilde con un desglose de precios para cada acto de violencia», dijo el FBI. «Grupos que ofrecen VAA anuncian contratos en las plataformas de redes sociales para solicitar a las personas dispuestas a realizar el acto de violencia para la compensación monetaria». Asimismo se dice que el montón de amenazas anuncia servicios SWAT-for arrendamiento a través de aplicaciones de comunicación y plataformas de redes sociales. Se evalúa que IRL Com es uno de los tres subconjuntos de la Com (iniciales de la comunidad), un creciente colectivo en tilde que comprende principalmente de miles de personas de palabra inglesa, muchos de los cuales son menores, y participan en una amplia escala de esfuerzos criminales. Las otras dos ramas son los hacker com, que está vinculado a DDoS y grupos de ransomware como servicio (RAAS), y molestia Com, que implica principalmente la explotación de niños. En particular, el COM alpargata los grupos de amenazas rastreados como Lapsus $ y Spiders Spider. La Agencia Franquista de Delitos Nacionales (NCA) emitió una advertencia similar a principios de marzo, llamando la atención sobre la tendencia de la COM de enganchar a los adolescentes para cometer una variedad de actos criminales, desde fraude cibernético y ransomware hasta alcaldada sexual pueril.
  • Categoría de crimen organizado detrás de fraude a gran escalera interrumpido -Un montón criminal en extremo organizado involucrado en fraude a gran escalera en Europa occidental fue desmantelado en una operación coordinada dirigida por autoridades de Rumania y el Reino Unido. «La pandilla había viajado de Rumania a varios países de Europa occidental, principalmente el Reino Unido, y retiró grandes sumas de peculio de los cajeros automáticos», dijo Europol. «Más tarde lavaron las ganancias invirtiendo en riqueza raíces, empresas, receso y productos de opulencia, incluidos automóviles y joyas». La operación ha llevado a dos coraje, 18 búsquedas en la casa y la incautación de riqueza raíces, automóviles de opulencia, dispositivos electrónicos y efectivo. Los atacantes cometieron lo que se ha descrito como fraude de inversión de transacción (TRF), en el que se elimina la pantalla de un cajero instintivo y se inserta una maleable bancaria para solicitar fondos. Las transacciones fueron canceladas (o revertidas) antaño de dispensar los fondos, lo que les permitió alcanzar adentro del cajero instintivo y tomar el efectivo antaño de que se retractara. Se estima que la pandilla ha saqueado cerca de de € 580,000 (cerca de de $ 681,000) utilizando este método. «Los perpetradores además participaron en otras actividades criminales, incluida la descremada, forjando medios electrónicos de cuota y tarjetas de transporte, y realizando ataques de contenedor, un tipo de fraude de tarjetas realizado utilizando software diseñado para identificar números de tarjetas y ocasionar ingresos ilícitos a través de pagos fraudulentos», agregó Europol. El expansión se produjo cuando una estudiante del Reino Unido de 21 primaveras, Ollie Holman, que diseñó y distribuyó 1,052 kits de phishing vinculados a £ 100 millones (aproximadamente $ 134 millones) en fraude, fue encarcelado por siete primaveras. Se estima que Holman recibió £ 300,000 al traicionar los kits entre 2021 y 2023. Los kits de phishing se vendieron a través de Telegram. Holman anteriormente se declaró culpable de siete cargos, que incluyen alentar o asistir a la comisión de un delito, hacer o suministrar artículos para su uso en fraude y transferir, conseguir y poseer propiedades penales, según el servicio de apreciación de la Corona.
  • Endgame Gear reconoce el ataque de la esclavitud de suministro – El fabricante de periféricos de juegos Fingame Gear confirmó que los actores de amenaza no identificados comprometieron su sistema oficial de distribución de software para difundir malware XRED peligroso a clientes desprevenidos durante casi dos semanas a través de la página del producto OP1W 4K V2. La violación de seguridad ocurrió entre el 26 de junio y el 9 de julio de 2025. La compañía declaró que «el ataque a nuestros servidores de archivos no se vio comprometido, y no se trataron los datos del cliente o afectados en nuestros servidores en ningún momento, y que» este problema se aisló a la descarga de la página del producto OP1W 4K V2 solamente «.
  • La nueva campaña dirigió a los usuarios de criptografía desde marzo de 2024 -Una nueva campaña de malware sofisticada y evasiva ha rematado permanecer desapercibidos y dirigirse a usuarios de criptomonedas a nivel mundial desde marzo de 2024. Apodado WeevilProxy, la actividad aprovecha las campañas de anuncios de Facebook que se enojaron como un software y plataformas de criptomonedas perfectamente conocidos, como Binance, Bybit, Krren, revuelta, intercambiando visión, y otros, y otros, y otros, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos. Finalmente, elimina los robos de información y los drenadores de criptomonedas. «Asimismo hemos observado que el actor de amenaza propaga anuncios a través de Google Display Network desde abril a mayo de 2025, que se muestran en Internet en forma de imágenes/videos», dijo WithSeecure. «Estos anuncios además aparecen geográficamente encuadernados, por ejemplo, hemos observado tales anuncios dirigidos específicamente a Filipinas, Malasia, Tailandia, Vietnam, Bangladesh y Pakistán».
  • VMDetector Loader ofrece Formbook Malware – Se ha antitético una nueva variación del malware del cargador VMDetector de VMDetector integrado adentro de los «datos de píxeles» de una imagen JPG aparentemente benigna que se entrega a través de correos electrónicos de phishing para implementar un robador de información llamado Formbook. La imagen JPG se recupera de Archive.org mediante scripts de Visual Basic presentes adentro de los archivos con cremallera que se envían como archivos adjuntos a los mensajes de correo electrónico.
  • Los actores de amenaza usan Mount Binary en ataques de hikVision -Se han descubierto ataques en el Wild Exploting CVE-2021-36260, un error de inyección de comandos que afecta las cámaras de hikVision, que aprovechan el defecto para totalizar una parte remota de NFS y ejecutar un archivo de ella. «El atacante le dice a Mount que haga que el NFS remoto compartiera,/SRV/NFS/Shared, en 87.121.84 (.) 34 habitable localmente como directorio ./b», dijo Vulncheck.
  • ¿Cómo se pueden armarse los conductores de Windows? -En un nuevo disección detallado, Security Joes ha destacado la amenaza que plantea los ataques en modo núcleo y cómo los ataques que abusan de los conductores vulnerables, llamado Tray Your Own Delicado Driver (BYOVD), los atacantes pueden ser utilizados por los atacantes para explotar los conductores firmados pero a las protecciones de Kernel de derivación. «Correcto a que los conductores se ejecutan en modo kernel, poseen altos privilegios y ataque sin restricciones a los bienes del sistema», dijo la compañía. «Esto los convierte en un objetivo de detención valencia para los atacantes con el objetivo de aumentar los privilegios, deshabilitar los mecanismos de seguridad como las devoluciones de llamamiento EDR y conseguir un control total sobre el sistema».
  • La superficie de ataque de las organizaciones aumenta – Las organizaciones han creado más puntos de entrada para los atacantes. Según un noticia de Reliaquest, que encontró un aumento del 27% en los puertos expuestos entre la segunda centro de 2024 y la primera centro de 2025, un aumento del 35% en la tecnología operativa expuesta (OT) y un aumento en las vulnerabilidades en los sistemas de orientación pública, como PHP y WordPress. «Las vulnerabilidades en los activos públicos más del doble, aumentando de 3 por ordenamiento en la segunda centro de 2024 a 7 en la primera centro de 2025», dijo la compañía. «Desde finales de 2024 hasta principios de 2025, el número de claves de ataque expuestas para organizaciones en nuestra cojín de clientes se duplicó, creando el doble de la oportunidad para que los atacantes pasen desapercibidos».
  • Pasargad del Mesa iraní atacado durante el conflicto de junio -El parcialidad iraní conocido como Pasargad fue blanco como parte de un ataque cibernético durante la Conflagración de Irán-Israel en junio de 2025, lo que impacta el ataque a servicios cruciales. Una presunta operación israelí llamamiento Sparrow depredador se atribuyó la responsabilidad del ataque a otro parcialidad iraní Sepah y el intercambio de criptomonedas más magnate del país, Nobitex.
  • La interrupción de crowdstrike impactó a más de 750 hospitales estadounidenses – Un nuevo estudio realizado por un montón de académicos de la Universidad de California, San Diego, encontró que 759 hospitales estadounidenses experimentaron interrupciones en julio pasado conveniente a una puesta al día defectuosa de CrowdStrike. «Se identificaron un total de 1098 servicios de red distintos con interrupciones, de los cuales 631 (57.5%) no pudieron clasificarse, 239 (21.8%) eran servicios directos orientados al paciente, 169 (15.4%) eran servicios operacionalmente relevantes y 58 (5.3%) fueron servicios relacionados con la investigación», dijo el estudio.
  • Los actores norcoreanos emplean señuelos de Nvidia -Los actores de amenaza de Corea del Ártico detrás de la campaña contagiosa entrevista (además conocida como DeceptedEgrelment) están aprovechando señuelos estilo ClickFix para engañar a los solicitantes de empleo desprevenidos para descargar una supuesta puesta al día relacionada con NVIDIA para asaltar los problemas de cámara o micrófono al intentar proporcionar una evaluación de video. El ataque lleva a la ejecución de un script de Visual Basic que bichero una carga útil de Python llamamiento Pylangghost que roba credenciales y permite el ataque remoto a través de Meshagent.
  • Modificación ACRStealer distribuida en nuevos ataques – Los actores de amenaza están propagando una nueva variación de Acrstealer que incorpora nuevas características dirigidas a la esparcimiento de detección y la obstrucción del disección. «El AcrStealer modificado usa la puerta del bóveda celeste para interrumpir la detección y el disección», dijo Ahnlab. «Heaven’s Gate es una técnica utilizada para ejecutar el código X64 en los procesos WOW64 y se usa ampliamente para la esparcimiento de disección y la evitación de detección». La nueva traducción ha sido renombrada como Amatera Stealer, por punto de prueba. Se ofrece a la liquidación por $ 199 por mes a $ 1,499 por año.
  • El montón AEZA cambia la infraestructura a posteriori de las sanciones de EE. UU. -A principios de este mes, el Unidad del Hacienda de los Estados Unidos impuso sanciones contra el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia AEZA Group para ayudar a los actores de amenazas en sus actividades maliciosas, como ransomware, robo de datos y tráfico de drogas Darknet. Silent Push, en un nuevo disección, dijo que IP alpargata desde AS210644 de AEZA comenzó a portar a AS211522, un nuevo sistema autónomo operado por Hypercore Ltd., a partir del 20 de julio de 2025, en un intento por sortear la aplicación de sanciones y actuar bajo una nueva infraestructura.
  • Solicitud de estafas de cotización Demostrar sofisticación -Los investigadores de ciberseguridad están llamando la atención sobre una estafa generalizada de solicitudes de cotización (RFQ) que emplea opciones de financiamiento neto comunes (neto 15, 30, 45) para robar una variedad de productos electrónicos y riqueza de detención valencia. «En las campañas de RFQ, el actor se comunica con un negocio para solicitar citas para varios productos o servicios», dijo Proofpoint. «Las citas que reciben se pueden usar para hacer señuelos muy convincentes para dirigir malware, enlaces de phishing e incluso compromiso de correo electrónico comercial adicional (BEC) y fraude de ingeniería social». Adicionalmente de utilizar el financiamiento suministrado por el proveedor y las identidades robadas de empleados reales para robar riqueza físicos, estas estafas utilizan el correo electrónico y los formularios legítimos de solicitud de cotización en tilde para datar a posibles víctimas.
  • Los juegos falsos distribuyen malware de robador – Una nueva campaña de malware está distribuyendo instaladores falsos para títulos de juegos independientes como Baruda Quest, Warstorm Fire y Dire Talon, promocionándolos a través de sitios web fraudulentos, canales de YouTube y Discord, a los usuarios innovadores para infectar sus máquinas con Staalers como Leet Stealer, RMC Stealer (una traducción modificada de Leet Stealer) y Sniffer Sniffer. Los orígenes de las familias de malware Leet y RMC se remontan a menos robador, lo que sugiere un pelaje compartido. Se cree que la campaña originalmente se dirigió a Brasil, antaño de expandirse en todo el mundo.
  • La FCC de EE. UU. Quiere prohibir que las empresas usen equipos chinos al colocar cables submarinos – La Comisión Federal de Comunicaciones de los EE. UU. Dijo que planea emitir nuevas reglas que prohíban la tecnología china de los cables submarinos estadounidenses para proteger la infraestructura de telecomunicaciones submarinas de amenazas adversas extranjeras. «Hemos gastado una infraestructura de cable submarino amenazada en los últimos primaveras por adversarios extranjeros, como China», dijo el presidente de la FCC, Brendan Carr. «Por lo tanto, estamos tomando medidas aquí para proteger nuestros cables submarinos contra la propiedad adversaria extranjera y el ataque, así como las amenazas cibernéticas y físicas». En un noticia fresco, el futuro registrado dijo que el entorno de peligro para los cables submarinos ha «intensificado» y que la «amenaza de actividad maliciosa patrocinada por el estado dirigida a la infraestructura de cable submarino es probable que aumente aún más en medio de tensiones geopolíticas aumentadas». La compañía de ciberseguridad además citó una desatiendo de exceso, la desatiendo de variedad de rutas de cables y la capacidad de reparación limitada como algunos de los factores secreto que aumentan el peligro de impacto reservado causado por el daño a los cables submarinos.
  • China advierte a los ciudadanos de dispositivos traseros y amenazas de la esclavitud de suministro – El Tarea de Seguridad del Estado de China (MSS) ha emitido un aviso, advirtiendo sobre los puestos de traseros y los ataques de la esclavitud de suministro contra el software. La agencia de seguridad dijo que tales amenazas no solo corren el peligro de privacidad personal y robo de secretos corporativos, sino que además afectan la seguridad franquista. «Los riesgos de seguridad técnicos posibles en la puerta trasera además se pueden sujetar fortaleciendo las medidas de protección técnica, como la formulación de estrategias de parches, desempolvar regularmente los sistemas operativos, realizar regularmente los registros de dispositivos y monitorear el tráfico anormal», dijo MSS, instando a las organizaciones a evitar software extranjero y, en su emplazamiento, adoptar sistemas operativos nacionales. En un boletín separado, el MSS además alegó que las agencias de inteligencia de espías en el extranjero pueden establecer traseros en sus sensores de observación oceánica para robar datos.
  • Infraestructura del montón de piratería Nyashteam interrumpida -La compañía de seguridad cibernética con sede en Rusia F6 dijo que desmanteló una red de dominios operados por un equipo de piratería relativamente desconocido conocido como Nyashteam, que vende dos troyanos de ataque remoto diferentes conocidos como DCRAT (rata Darkcrystal) y WebRat a través de bots y sitios web de telegrama bajo el maniquí de malware-as-a-servicio (MAAS). El malware se distribuye utilizando YouTube y GitHub al pasarlos como trucos de pasatiempo o software pirateado. Asimismo se cree que el montón brinda servicios de alojamiento para la infraestructura cibercriminal y los clientes de soporte a través de complementos, guías y herramientas de procesamiento de datos, que atraen tanto a los piratas informáticos y los ciberdelincuentes experimentados.
  • Técnica de ataque de renderershock detallada -Los investigadores de ciberseguridad han detallado una organización de ataque de clic cero llamamiento Rendershock que aprovecha los comportamientos de sistema eficaz confiable para admitir a extremo el gratitud y entregar cargas avíos sin requerir ninguna interacción del usufructuario. «Al incorporar la razonamiento maliciosa en los metadatos, los desencadenantes de clarividencia previa y los formatos de documentos, Renderershock capitaliza la conveniencia del sistema como un vector de ataque sin agente», dijo Cyfirma. «Los sistemas empresariales modernos están creados para conveniencia, previsualizando automáticamente, indexación, sincronización y representación de archivos a través de puntos finales, plataformas en la nubarrón y suites de productividad. Estos sistemas a menudo procesan archivos sin acciones de usufructuario explícitas, confiando en que el proceso de representación es seguro. RenderShock explota estos explotaciones de ejecución pasiva: los componentes confiables que los archivos perseguidos no afligidos se sienten en el fondo». «
LEER  Cursor AI Code Editor Flaw habilita la ejecución de código silencioso a través de repositorios maliciosos

🎥 seminarios web de ciberseguridad

  • La IA está rompiendo la confianza, aquí está cómo salvarlo antaño de que sea demasiado tarde, descubra cómo los clientes están reaccionando a las experiencias digitales impulsadas por la IA en 2025. El noticia Auth0 Ciam Trends revela amenazas de identidad crecientes, nuevas expectativas de confianza y los costos ocultos de los inicios roto. Únase a este seminario web para ilustrarse cómo la IA puede ser su longevo activo, o su longevo peligro.
  • Python Devs: Su instalación de PIP podría ser una bala de malware: en 2025, la esclavitud de suministro de Python está bajo asedio, desde tiposquatos hasta bibliotecas de IA secuestradas. Una instalación de PIP incorrecta podría inyectar malware directamente en la producción. Esta sesión muestra cómo consolidar sus compilaciones con herramientas como Sigstore, SLSA y contenedores endurecidos. Deja de esperar que tus paquetes estén limpios, comience a realizar.

🔧 Herramientas de ciberseguridad

  • VENDETECT: es una utensilio de código hendido diseñada para detectar código copiado o proveedor en todos los repositorios, incluso cuando el código ha sido modificado. Creado para las evacuación de seguridad y cumplimiento del mundo vivo, utiliza el disección semántico de huellas dactilares y control de versiones para identificar de dónde se copió el código, incluida la confirmación de fuente exacta. A diferencia de las herramientas de plagio académica, Vendetect está optimizado para entornos de ingeniería de software: atrapa funciones renombradas, comentarios despojados y formateo afectado, y ayuda a rastrear dependencias no respaladas, violaciones de licencias y vulnerabilidades heredadas a menudo encontradas durante las evaluaciones de seguridad.
  • Telegram Channel Scraper: es una utensilio basada en Python diseñada para monitoreo innovador y colección de datos de canales públicos de telegrama. Utiliza la biblioteca Telethon para rozar mensajes y medios, almacenando todo en bases de datos SQLite optimizadas. Construido para la eficiencia y la escalera, admite raspado en tiempo vivo, descargas de medios paralelas y exportaciones de datos por lotes. Esto lo hace útil para investigadores, analistas y equipos de seguridad que necesitan ataque estructurado al contenido de telegrama para investigar o guardar, sin subordinarse de raspado manual o plataformas de terceros.
LEER  Microsoft lanza el parche urgente para la falla de SharePoint RCE explotada en ataques cibernéticos en curso

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio peligro: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

No confíes en tu navegador a ciegas – La mayoría de las personas piensan en su navegador como una utensilio para conectarse en tilde, pero en sinceridad, es una de las partes más expuestas de su dispositivo. Detrás de panorama, su navegador almacena en silencio nombres, correos electrónicos, empresas y, a veces, incluso información de cuota. Estos datos a menudo viven en archivos simples y sin acelerar que son fáciles de extraer si alguno apetencia ataque particular, incluso brevemente.

Por ejemplo, en Chrome o Edge, los detalles personales de AutoFill se almacenan en un archivo llamado Web Data, que es una cojín de datos básica de SQLite que cualquier persona con ataque puede interpretar. Esto significa que si su máquina está comprometida, incluso por un bandera simple, su identidad personal o incluso de trabajo puede ser robada en silencio. Los equipo rojo y los atacantes adoran este tipo de oro de gratitud.

No se detiene allí. Los navegadores además mantienen cookies de sesión, almacenamiento particular y bases de datos del sitio que a menudo no se limpian, incluso a posteriori del pestillo de sesión. Estos datos pueden permitir a los atacantes secuestrar sus sesiones iniciadas o extraer información confidencial almacenada por aplicaciones web, incluidas las herramientas de la empresa. Incluso las extensiones del navegador, si son maliciosas o secuestradas, pueden espiar silenciosamente su actividad o inyectar código malo en las páginas en las que confía.

LEER  Patch de liberación de Fortinet para fallas de inyección SQL crítica en Fortiweb (CVE-2025-25257)

¿Otro punto débil? Extensiones del navegador. Incluso los complementos de aspecto oficial pueden tener amplios permisos, permitiéndoles interpretar lo que escribe, rastrear su navegación o inyectar scripts. Si una extensión confiable se compromete en una puesta al día, puede convertirse en silencio en una utensilio de robo de datos. Esto sucede con más frecuencia de lo que la masa piensa.

Aquí le mostramos cómo sujetar el peligro:

  • Aclarar el autofill, las cookies y los datos del sitio regularmente
  • Deshabilitar el autofill por completo en las estaciones de trabajo
  • Limite las extensiones: auditarlas utilizando herramientas como CRXCAVATOR o POLICÍA DE LA EXTENSIÓN
  • Use el navegador DB para SQLite para inspeccionar archivos almacenados (datos web, cookies)
  • Utilice herramientas como Bleachbit para aniquilar de forma segura las trazas

Los navegadores son plataformas de aplicaciones esencialmente livianas. Si no está auditando cómo almacenan datos y quién puede ingresar a él, está dejando una gran brecha abierta, especialmente en máquinas compartidas o expuestas a puntos finales.

Conclusión

Las señales de esta semana son menos una conclusión y más una provocación: ¿qué más podríamos estar mal clasificando? ¿Qué datos familiares podrían volverse significativos bajo una monóculo diferente? Si el adversario piensa en los sistemas, no en síntomas, nuestras defensas deben progresar en consecuencia.

A veces, la mejor respuesta no es un parche: es un cambio de perspectiva. Hay valencia en mirar dos veces donde otros han dejado de mirar por completo.

spot_img
Artículo anterior
Las puertas de enlace de paquetes virtualizadas como servicio pueden mejorar muchas soluciones de IoT celulares
Artículo siguiente
Microsoft le da a Copilot una cara: aquí le mostramos cómo probar su nuevo compañero de chat de apariencia
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado