19.1 C
Madrid
sábado, octubre 25, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Explaios de VPN, incriación silenciosa de Oracle, SickFix Surge y más

Por Conectamentado
20
Explaios de VPN, incriación silenciosa de Oracle, SickFix Surge y más

Hoy, cada sistema no parpadeado, contraseña filtrada y complemento pasado por suspensión es una puerta para atacantes. Las cadenas de suministro se extienden profundamente en el código en el que confiamos, y el malware se esconde no solo en aplicaciones sombrías, sino en ofertas de trabajo, hardware y servicios en la aglomeración en los que confiamos todos los días.

Los piratas informáticos ya no necesitan hazañas sofisticadas. A veces, sus credenciales y un poco de ingeniería social son suficientes.

Esta semana, rastreamos cómo los supervisiones simples se convierten en grandes infracciones, y las amenazas silenciosas que la mayoría de las empresas aún subestiman.

Vamos a sumergirnos.

⚡ Amenaza de la semana

UNC5221 explota un nuevo defecto ivanti para soltar malware -El Clase de Cyber ​​Espionage de China-Nexus rastreó como UNC5221 explotó un defecto ahora parpadeado en Ivanti Connect Secure, CVE-2025-22457 (CVSS Score: 9.0), para ofrecer un cuentagotas en la memoria llamado Trailblaze, un pasivo en el nombre de nombre en código y el suite de malware de membretería. La vulnerabilidad fue originalmente parcheada por Ivanti el 11 de febrero de 2025, lo que indica que los actores de amenaza estudiaron el parche y descubrieron una forma de explotar las versiones anteriores para violar los sistemas no parchados. Se cree que UNC5221 comparte superposiciones con grupos rastreados por la comunidad más amplia de ciberseguridad bajo los apt27, el tifón de seda y la UTA0178.

🔔 Parte principales

  • CiCrypThub desenmascarado como un probable actor de lobo solitario -Un actor de amenaza prometedora que opera bajo el apelativo CiCrypthub ha sido expuesto adecuado a una serie de errores de seguridad operativos. Lo que distingue a CiCrryPThub de otros ciberdelincuentes típicos es la dicotomía de sus actividades en serie: al realizar campañas maliciosas, el individuo contribuyó simultáneamente a la investigación legítima de seguridad, incluso recibió el gratitud del Centro de Respuesta de Seguridad de Microsoft (MSRC) el mes pasado para descubrir e informar CVE-2025-24061 y CVE-2025-2407. Otro aspecto interesante de CiCryPTHub es su uso de OpenAi Chatgpat como un «socio en el crimen», aprovechándolo para las tareas de expansión y traducción de malware. En algunas conversaciones particularmente reveladoras con el chatbot de inteligencia químico (AI), CiCrypThub le pidió que evaluara si estaba mejor adecuado para ser un hacker de «sombrero irritado o sombrero blanco» y si fuera mejor ser un «hacker ocurrente o un investigador desconfiado», incluso con el difusión de la confesión de sus actividades criminales y las explotaciones que se había desarrollado. «Cuando las personas piensan en los ciberdelincuentes, tienden a imaginar equipos de suscripción tecnología y respaldados por el gobierno y piratas informáticos que utilizan tecnología de vanguardia», dijo Outpost24. «Sin requisa, muchos piratas informáticos son personas normales que en algún momento decidieron seguir un camino complicado».
  • La esclavitud de suministro de batalla de Github se remonta a Spotbugs Robo de Pat -El ataque de la esclavitud de suministro en cascada que inicialmente se dirigió a Coinbase antaño de convertirse en un difusión más amplio para eliminar a los usuarios del GitHub Action «TJ-Actions/Changed-Files» se ha rastreado más antes al robo de un token de llegada personal (PAT) asociado con otro tesina de fuente abierta señal Spotbugs. Los orígenes de la incumplimiento sofisticada se están enfocando lentamente en medio de una investigación continua, revelando cómo ocurrió el compromiso auténtico. Ahora ha surgido que la popular aparejo de descomposición invariable, Spotbugs, se vio comprometida en noviembre de 2024, utilizándola como un trampolín para comprometer «ReviewDog/Action-setup», que luego condujo a la infección de «TJ-Actions/Change-Files». Esto fue posible adecuado al hecho de que el mantenedor de ReviewDog igualmente tenía llegada a repositorios de Spotbugs. El ataque de la esclavitud de suministro de varios pasos finalmente exponió secretos en 218 repositorios luego de que los atacantes fallaron en su intento de violar los proyectos relacionados con Coinbase.
  • Entrevistas contagiosas adopta ClickFix y difunen paquetes de NPM falsos – Se han observado que los actores de amenaza de Corea del Septentrión detrás de la campaña de entrevistas contagiosas en curso adoptan la infame táctica de ingeniería social de ClickFix para entregar una puerta trasera previamente indocumentada señal Golangghost. El colectivo adversario igualmente ha publicado hasta 11 paquetes de NPM que entregan el malware del robador de información de Beaverail, así como un nuevo cargador de troyanos de llegada remoto (rata). Los paquetes se descargaron más de 5,600 veces antaño de su exterminio. Mientras tanto, los trabajadores de TI de Corea del Septentrión están ampliando sus esfuerzos más allá de los Estados Unidos, y están tratando de obtener empleo de modo fraudulenta con organizaciones de todo el mundo, especialmente en Europa. Los investigadores de Google llamaron a los guerreros de TI por participar en «un patrón de proporcionar referencias fabricadas, construir una relación con los reclutadores de empleo y usar personajes adicionales que controlaban para certificar su credibilidad». Adicionalmente, están tratando cada vez más de dañar el pasta de estas compañías una vez que los descubren y/o despiden. En los últimos abriles, el gobierno de EE. UU. Ha hecho un impulso concentrado para crear conciencia sobre la operación de amenaza interna, para eliminar y castigar a los facilitadores con sede en los Estados Unidos del esquema fraudulento, para descubrir a los trabajadores de TI y las compañías frontales que ayudan a estos trabajadores a ocultar su serio origen y ayudar a las organizaciones a detectar el aventura antaño de que sea demasiado tarde. Con toda probabilidad, estos intensos esfuerzos de aplicación de la ley han provocado que los operadores del esquema se centren más en los objetivos ubicados en otros lugares, al tiempo que los llevan a adoptar medidas más agresivas para proseguir los flujos de ingresos.
  • Las versiones falsas de los teléfonos Android vienen precargadas con malware Triada -Se ha antitético que las versiones falsificadas de los modelos populares de teléfonos inteligentes a precios reducidos están preinstaladas con una traducción modificada de un malware Android llamado TRIADA. La mayoría de las infecciones se han informado en Rusia. Se cree que las infecciones son el resultado de un compromiso de la esclavitud de suministro de hardware, aunque se ha observado que Triada se propaga a través de modificaciones no oficiales de WhatsApp y mercados de aplicaciones de terceros.
  • Los malos actores abusan de Mu-Plugins para tener malware -Los actores de amenaza están utilizando el directorio de WordPress Mu-Plugins («complementos de uso obligatorio») para ejecutar sigilosamente el código desconfiado en cada página mientras evade la detección. Conveniente a que las plugins MU se ejecutan en cada carga de página y no aparecen en la letanía de complementos estereotipado, pueden estilarse para realizar sigilosamente una amplia escala de actividades maliciosas, como robar credenciales, inyectar código desconfiado o alterar la salida HTML.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión último en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

LEER  Lo que revela el 2025 Gartner® Magic Quadrant ™

La letanía de esta semana incluye: CVE-2025-22457 (Ivanti Connect Secure, Policy Secure y ZTA Gateway), CVE-2025-30065 (Apache Parquet), CVE-2024-10668 (Google Quick Share for Windows), CVE-2025-24362 (Github/CodeQL-Action), CVE-2025-1268 (CANONA CVE-2025-1449 (Rockwell Automation Verve Asset Manager), CVE-2025-2008 (complemento del importador CSV WP), CVE-2024-3660 (Tensorflow Keras), CVE-2025-20139 (Cisco Enterprise Chat y correo electrónico), CVE-2025-20212 (Cisco Cisco Anycon de Cisco de Cisco de Cisco de Cisco de Cisco de CISCO Meraki MX y Cisco Meraki Z), CVE-2025-27520 (Bentoml), CVE-2025-2798 (tema de Woffice CRM), CVE-2025-2780 (Woffice Core Plugin), CVE-2025-31553 (WPFactory Advanced WooOcommerce Sense Referencia Reglin), CVE-2025-31579 (WPFactory WooOcommerce Complemento de ventas de ventas), CVE-2025-31525 (CVE-31525 (WPA (EXEIDEAS International WP AutoKeyword Plugin) y CVE-2025-31552 (complemento RSVPmarker).

📰 cerca de del mundo cibernético

  • Oracle confirma en privado la violación de datos – Según los informes, el cíclope de la computación empresarial Oracle informa a sus clientes en privado que los hackers de TI comprometieron un entorno de Oracle «heredado», exponiendo nombres de becario, verises de resolución y contraseñas cifradas, contradiciendo su carencia pública consistente sobre el incidente. «La compañía informó a los clientes que el sistema no ha estado en uso durante ocho abriles y que las credenciales de los clientes robados, por lo tanto, representan poco aventura», informó Bloomberg. Según los informes, una investigación realizada por la Oficina Federal de Investigación de los Estados Unidos (FBI) y CrowdStrike está en curso. Esta es la segunda violación que la compañía ha obligado a los clientes en las últimas semanas. Se evalúa que la intrusión está separada de otro truco en Oracle Health (anteriormente Cerner) que afectó a algunos clientes de atención médica de los Estados Unidos el mes pasado. Las telediario sobre la violación salieron a la luz luego de que un actor de amenaza no identificado llamado «Rose87168» intentó traicionar datos sobre incumplimientos que afirmaron acaecer robado a los servidores en la aglomeración de la compañía. Múltiples compañías de ciberseguridad, incluidas Black Kite, Cloudsek, Cyberangel, Hudson Rock, Orca Security, Socradar, Sygnia y Trustwave, han analizado y validado los datos publicados para la cesión en serie como se extraen directamente de Oracle. Se cree que el atacante ha explotado una vulnerabilidad no parpadea en Oracle Fusion Middleware (CVE-2021-355587) para comprometer el sistema de inicio de sesión y autenticación de Oracle Cloud y robar los datos. «Esta exposición fue facilitada a través de una exploit de Java 2020 y el hacker pudo instalar un shell web próximo con malware», dijo Cyberangel. «El malware se dirigió específicamente a la pulvínulo de datos Oracle IDM y pudo exfil». El investigador de seguridad Kevin Beaumont dijo que «Oracle está intentando declaraciones de Wordsmith en torno a Oracle Cloud y usar palabras muy específicas para evitar la responsabilidad,» agregando «Oracle Rebadged Old Cloud Services para ser Oracle Classic. Oracle Classic tiene el incidente de seguridad. Oracle está negando en ‘Oracle Cloud’ usando este difusión, pero aún es Oracle Cloud Services que Oracle Managine. Es parte de Wordplay». «. CloudSek ha desarrollado una aparejo en serie que permite a las organizaciones corroborar si se ven afectadas por la violación de datos. El gratitud privado de Oracle igualmente se produce pocos días luego de que la compañía fue golpeada con una demanda colectiva sobre su manejo del evento de seguridad.
  • Nueva rata Triton emerge en la naturaleza -Un nuevo troyano de llegada remoto basado en Python llamado Triton Rat permite a los actores de amenaza aceptar y controlar de forma remota un sistema usando Telegram. Escrito en Python, el malware está arreglado públicamente en GitHub y viene con capacidades para registrar las pulsaciones de teclas, ejecutar comandos, morder pantallas, compendiar información de Wi-Fi y robar contraseñas, contenido de portapapeles y cookies de seguridad Roblox. «Una cookie de seguridad de Roblox es una cookie de navegador que almacena la sesión de los usuarios y puede estilarse para obtener llegada a la cuenta de Roblox que evita 2FA», dijo Cado Security. La divulgación se produce cuando Cyfirma detalló otra rata escrita en Python que utiliza la API de Discord para comando y control (C2) para ejecutar comandos arbitrarios del sistema, robar información confidencial, capturar capturas de pantalla y manipular tanto las máquinas locales como los servidores de discordias.
  • El DOJ de EE. UU. Anuncia la recuperación de $ 8.2 millones robada en estafa de cebo romántico – El Unidad de Equidad de los Estados Unidos (DOJ) ha anunciado la recuperación de $ 8.2 millones en USDT (Tether) que fue robado a través de una estafa de cebo romántico (anteriormente Butchering). According to a complaint filed in late February 2025, the scam targeted a woman in Ohio, who lost her entire life savings of approximately $663,352, after she responded to a text message from an unknown number in November 2023. While the initial conversation revolved around topics such as hobbies and religion, the victim was persuaded into opening an account at crypto.com and transferred her money into the account. «Cuando la víctima quería retirar fondos, su ‘amigo’ cedió y dijo que se necesitaban pagos adicionales y ella cumplió», dijo el Unidad de Equidad. «Cuando a la víctima ya no les quedaba fondos luego de hacer pagos adicionales, su ‘amigo’ comenzó a amenazarla de que él enviaría a sus amigos a ‘cuidar’ de sus amigos y familiares». Se estima que más de 30 víctimas han caído para el esquema en total «.
  • ClickFix utilizado para entregar Qakbot – La técnica ClickFix cada vez más popular se ha utilizado como vector de entrega para distribuir el malware Qakbot previamente inactivo. El ataque combina el malware con ClickFix, un método de compromiso de punto final que se observó por primera vez a fines de 2024 y desde entonces ha manada una tracción significativa en los últimos meses. Implica engañar a una víctima para que ejecute un comando desconfiado con el pretexto de solucionar un problema, generalmente un desafío de comprobación Captcha.
  • Fallas reveladas en el filtro de llamadas de Verizon -La aplicación de filtro de llamadas de Verizon tenía una vulnerabilidad que permitía a los clientes aceptar a los registros de llamadas entrantes para otro número inalámbrico de Verizon a través de una solicitud de API no segura al «CLR-AQX.CEQUINTVZWECID.com/clr/calllogretrieval» en el punto de finalización. Pero el investigador de seguridad Evan Connelly, quien descubrió e informó el error el 22 de febrero de 2025, descubrió que la solicitud que contenía el número de teléfono utilizado para recuperar los registros del historial de llamadas no se verificaba con el número de teléfono cuyos registros de llamadas entrantes se solicitaban. Esto podría inaugurar la puerta a un atmósfera en el que un atacante podría acaecer inquieto la solicitud con otro teléfono de Verizon para recuperar su historial de llamadas entrantes. Verizon ha abordado la vulnerabilidad a partir del 25 de marzo de 2025.
  • GitHub presenta actualizaciones de la plataforma de seguridad vanguardia – GitHub ha anunciado actualizaciones a su plataforma de seguridad vanguardia luego de su servicio de escaneo secreto detectado más de 39 millones de secretos filtrados en repositorios el año pasado. Esto incluye un escaneo secreto gratis de toda la ordenamiento para ayudar a los equipos a identificar y aminorar la exposición, así como la disponibilidad de protección de secreto de GitHub y una nueva aparejo de evaluación de riesgos secreto que tiene como objetivo ofrecer «información clara sobre la exposición de su ordenamiento».
  • Nuevo Ubuntu Linux Security omitida detallados – Se han descubierto tres derivaciones de seguridad en las restricciones del espacio de nombres de usuarios de usuarios de Ubuntu Linux, lo que podría permitir que un atacante restringido explote vulnerabilidades en los componentes del núcleo. Los derivados, que ocurren a través de AA-EXEC, BusyBox y LD_PReload, permiten a los atacantes crear espacios de nombres de usuarios con privilegios elevados. «Estos derivaciones permiten a los atacantes locales crear espacios de nombres de usuarios con capacidades administrativas completas, lo que facilitan la explotación de vulnerabilidades en los componentes del núcleo que requieren poderosos privilegios administrativos internamente de un entorno confinado», dijo Qualys en un comunicado. «Es importante tener en cuenta que estos derivados por sí solos no permiten la adquisición completa del sistema; sin requisa, se vuelven peligrosos cuando se combinan con otras vulnerabilidades, típicamente relacionadas con el núcleo». Ubuntu, que reconoció los problemas, dijo que está trabajando para «implementar más reglas de ajuste en Apparmor».
  • Classiscam apunta a Asia Central -Classiscam es una operación automatizada de estafa como servicio que utiliza bots de telegrama para crear sitios web falsos que se hacen acaecer por servicios legítimos en un intento de engañar a las víctimas para que compartan sus detalles financieros. La estafa, igualmente señal Telekopye, involucra esencialmente a los estafadores que se hacen acaecer por un comprador o un tendero en plataformas en serie para engañar a las víctimas para que transfieran pasta para acervo o servicios inexistentes, o persuadiendo al tendero para que use un servicio de entrega para la transacción a través de un sitio web de entrega falsa que averiguación su información financiera. Estas conversaciones ocurren sobre una aplicación de correo como Telegram al afirmar que «es más acomodaticio comunicarse». La investigación del Clase-IB ha antitético que más de diez instituciones financieras en Uzbekistán, incluidos los destacados bancos y los sistemas de plazo, han sido atacadas por esquemas de phishing, que emplean sitios falsos que se hacen acaecer por los servicios para obtener las credenciales bancarias de sus clientes. Uno de esos equipos que se dedican al esquema fraudulento es el equipo de Namangun, que ha proporcionado principalmente servicios de phishing dirigidos a Uzbekistán y Kirguistán desde finales de noviembre de 2024, lo que permite a sus clientes crear páginas de phishing en la marcha utilizando su bot de telegrama.
  • Google se asocia con Nvidia y Hiddenlayer para una nueva biblioteca de firma de modelos -Google, en colaboración con Nvidia y Hiddenlayer, ha anunciado el extensión de una biblioteca de Python señal «firma de modelos» que ofrece a los desarrolladores una forma de firmar y corroborar los modelos de formación involuntario (ML) en un esfuerzo para animar la seguridad de la esclavitud de suministro de ML y la protección contra amenazas emergentes como el maniquí y el envenenamiento de datos, inyección rápida, fuga rápida y una distracción rápida. «Usando firmas digitales como las de Sigstore, permitimos a los usuarios corroborar que el maniquí utilizado por la aplicación es exactamente el maniquí creado por los desarrolladores», dijo el cíclope tecnológico. El expansión se produce cuando Python estandarizó oficialmente un formato de archivo de obstrucción como parte de PEP 751. El nuevo formato, llamado pylock.toml, es un formato basado en TOML que registra versiones de dependencia exactas, hashes de archivos y fuentes de instalación. El nuevo estereotipado «Aline a Python con otros ecosistemas como JavaScript (Package-Lock.json), Rust (Cargo.lock) y Go (Go.Sum)», dijo Socket. «Si correctamente el PEP no aborda todas las amenazas de la esclavitud de suministro (como el tipo de tipoquatación, el compromiso de la cuenta del mantenedor y las cargas efectos ocultas), sienta las bases para una mejor auditoría y resistor a los manipulaciones».
  • Arcanum Trojan distribuido a través de sitios de fortuna -Un nuevo troyano llamado Arcanum se está distribuyendo a través de sitios web dedicados a la fortuna y las prácticas esotéricas, disfrazándose de una aplicación «mágica» para predecir el futuro. La aplicación, aunque ofrece una funcionalidad aparentemente inofensiva, se conecta a un servidor remoto para implementar cargas efectos adicionales, incluida la Autolycus. Hermes Stealer, Karma.miner Miner y Lysander.Scytale Crypto-Malware. La información capturada se exfila luego a un servidor controlado por el atacante. El surgimiento del malware coincide con el descubrimiento de un skimmer de polímero de crédito Malware con nombre en código Rolandskimmer que se dirige a los usuarios de comercio electrónico en Bulgaria por medio de un archivo de llegada directo de Windows (LNK) distribuido a través de archivos ZIP. El archivo LNK luego inicia un proceso de varios pasos que instala una extensión de navegador desconfiado en los navegadores web para robar información de la polímero de crédito. «Los atacantes emplean cargas efectos de JavaScript cuidadosamente elaboradas, engañan a archivos manifiestos y vBscripts ofuscados para proseguir la persistencia en las sesiones y evitar la detección», dijo Fortinet.
  • Ataques basados ​​en la identidad en progreso -Los atacantes dependen en gran medida de los puntos de llegada habilitados para credenciales para infiltrarse en redes y fomentar sus operaciones, en extensión de utilizar métodos más complejos como explotar vulnerabilidades o implementar malware, según Cisco Talos. Se sabe que las pandillas de ransomware, en particular, utilizan credenciales robadas pero válidas adquiridas de los corredores de llegada auténtico (IBAB) como un medio de llegada auténtico en redes corporativas. Los IBIS, a su vez, aprovechan los robos de información comercialmente disponibles como Lumma para capturar las credenciales de los usuarios. Esto igualmente se ve exacerbado por el hecho de que muchos usuarios reciclan contraseñas en múltiples servicios, creando un «impacto de aventura de aventura» cuando se roban sus credenciales. Según el tráfico observado entre septiembre y noviembre de 2024, el 41% de los inicios de sesión exitosos en los sitios web protegidos por CloudFlare implican contraseñas comprometidas, según la compañía de infraestructura web. Adicionalmente, las credenciales de VPN válidas podrían abusarse para obtener llegada sin restricciones a sistemas sensibles, a menudo con privilegios elevados que reflejan los de empleados o administradores legítimos. El uso de credenciales legítimas por parte de los actores de amenaza evita por completo las barreras de seguridad, dándoles una «ruta directa para infiltrarse en redes, robar datos e implementar ransomware sin detectar». «Los ataques basados ​​en la identidad son atractivos para los actores de amenaza porque pueden permitir que un adversario realice una variedad de operaciones maliciosas, a menudo con un esfuerzo minúsculo o sin cumplir con mucha resistor desde el punto de olfato de la seguridad», dijo la compañía. «Esto se debe en gran parte a que la actividad es difícil de detectar porque emana de cuentas de usuarios aparentemente legítimas». Los datos recopilados por la compañía muestran que las aplicaciones de administración de identidad y llegada (IAM) se dirigieron con maduro frecuencia en los ataques de MFA, lo que representa el 24% de todos los ataques dirigidos a la autenticación multifactor (MFA).
  • Oilrig combinado a Irán se dirige a las entidades iraquíes -El corro de piratería iraní conocido como OilRig (igualmente conocido como APT34) se ha atribuido a una serie de ataques cibernéticos contra entidades estatales iraquíes desde 2024 que implican el uso de señuelos de phishing de alabarda para desplegar una puerta de cama que pueda ejecutar comandos, compendiar información del host y cargar/descargar archivos. La puerta trasera utiliza HTTP y correo electrónico para comunicaciones C2. «El primero envía en secreto instrucciones de control basadas en el valencia característico del contenido del cuerpo, y el segundo utiliza una gran cantidad de buzones de gobierno oficiales iraquí comprometidos para la comunicación por correo electrónico», dijo Amenazbook.
  • Fallas de seguridad en Pytorch Lightning – Se han revelado cinco vulnerabilidades de deserialización en las versiones de Pytorch Lightning 2.4.0 y anteriormente que podrían explotarse para ejecutar código desconfiado al cargar modelos de formación involuntario de fuentes desconocidas o no confiables. «Estas vulnerabilidades surgen del uso inseguro de Torch.Load (), que se utiliza para deserializar puntos de control de modelos, configuraciones y, a veces, metadatos», dijo el Centro de Coordinación CERT (CERT/CC). «Un becario podría cargar sin saberlo un archivo desconfiado de ubicaciones locales o remotas que contienen código integrado que se ejecuta internamente del contexto del sistema, lo que puede conducir al compromiso completo del sistema». CERT/CC dijo que los problemas siguen sin parches, lo que requiere que los usuarios verifiquen que los archivos se carguen son de fuentes confiables y con firmas válidas.
  • La empresa rusa ofrece $ 4 millones para exploits de telegrama -Operation Zero, una firma de adquisición de exploit rusa, dice que está dispuesta a sufragar hasta $ 4 millones por exploits de esclavitud completa dirigida al popular servicio de correo Telegram. En una publicación compartida en X, la plataforma de transacción de vulnerabilidades de día cero dijo que pagará hasta $ 500,000 por exploits que pueden obtener una ejecución de código remoto de 1 clic (RCE) y $ 1.5 millones para aquellos que pueden ser armados para obtener RCE sin interacción del becario (es aseverar, cero, con clic cero). «En el difusión hay exploits para Android, iOS, Windows. Los precios dependen de las limitaciones de los días cero y los privilegios obtenidos», dijo la Operación Zero. Los corredores de explotar a menudo desarrollan o adquieren vulnerabilidades de seguridad en los sistemas y aplicaciones operativos populares y luego los vuelvan a traicionar por un precio más suspensión a los clientes de interés. Para la operación cero para soltar el telegrama tiene sentido, cedido que la aplicación de correo es popular entre los usuarios en Rusia y Ucrania. Un portavoz de Telegram le dijo a TechCrunch que la plataforma de correo «nunca ha sido pasivo» a una exploit de clic cero. El expansión se produce cuando surgieron detalles sobre un defecto de día cero en el cliente macOS de Telegram que podría explotarse para obtener RCE. A principios del mes pasado, el investigador de seguridad 0x6RSS igualmente reveló una traducción actualizada de la rotura de EvilVideo en Telegram (CVE-2024-7014), que evita las mitigaciones existentes a través de archivos .htm. «Un archivo con una extensión ‘.htm’ se disfraza de video y se envía a través de la API de Telegram, y aunque el becario prórroga un video, el código JavaScript internamente del HTML efectivamente se ejecuta», dijo el investigador. El nuevo exploit ha sido el nombre en código Evilloader.
  • ¿Cuáles son las contraseñas más comunes en los ataques RDP? – Son 123456, 1234, contraseña1, 12345, p@ssword, contraseña, contraseña123, bienvenido1, 12345678 y AA123456, según SpecOPS, basado en un descomposición de 15 millones de contraseñas utilizadas para atacar los puertos RDP. «Los atacantes están atentos a los servidores RDP expuestos, ya que estos pueden ser objetivos fáciles para los ataques de fuerza bruta», dijo la compañía. «Adicionalmente, los atacantes pueden realizar ataques de pulverización de contraseña en los servidores RDP y probar credenciales violadas conocidas en servidores expuestos».
LEER  Más de 70 organizaciones en múltiples sectores atacados por el grupo cibernético de espionaje vinculado a China

🎥 Seminario web práctico

  • Shadow Ai ya está internamente de sus aplicaciones: aprende a bloquearlo – Las herramientas de IA están inundando su entorno, y la mayoría de los equipos de seguridad no pueden ver la parte de ellos. Shadow AI se está conectando silenciosamente a sistemas críticos como Salesforce, creando riesgos ocultos que las defensas tradicionales pierden. Únase a DVIR Sasson, director de investigación de seguridad en Reco, para descubrir dónde se esconden las amenazas de IA internamente de sus aplicaciones SaaS, historias de ataque de mundo vivo y cómo los principales equipos están detectando y cerrando Rogue AI antaño de causar daños reales.
  • Asegure cada paso del ciclo de vida de identidad, antaño de que los atacantes lo exploten -Los atacantes de hoy están utilizando profundos y ingeniería social impulsados ​​por la IA para evitar las débiles defensas de identidad. Apuntalar todo el alucinación de identidad, desde la inscripción hasta el llegada diario a la recuperación, ahora es esencial. Únase más allá de la identidad y el Nametag para asimilar cómo las empresas están bloqueando las adquisiciones de cuentas, asegurando el llegada con MFA y confianza de dispositivos resistentes a phishing, y defendiendo contra las amenazas de IA con Deepfake Defense ™.

🔧 Herramientas de ciberseguridad

  • Goresolver – Malware de Golang es difícil de revertir – Ofcuscadores como Garble Hide Funciones críticas. Goresolver, la aparejo de código hendido de Volexity, utiliza la similitud de representación de flujo de control para recuperar los nombres de funciones ocultas y revelar estructuras de paquetes automáticamente. Integrado con Ida Pro y Ghidra, convierte los binarios opacos en código claro más rápido. Habitable ahora en Github.
  • MATANO-Es un balsa de datos de seguridad nativo de aglomeración sin servidor construido para AWS, lo que brinda a los equipos de seguridad control total sobre sus registros sin obstrucción de proveedores. Normaliza los datos de seguridad no estructurados en tiempo vivo, se integra con más de 50 fuentes de la caja, admite detecciones como código en Python y transforma registros utilizando scripting VRL potente, todos almacenados en formatos abiertos como Apache Iceberg y ECS. Consulte sus datos con herramientas como Athena o Snowflake, escriba detecciones en tiempo vivo y reduzca los costos de SIEM mientras mantiene la propiedad de su descomposición de seguridad.
LEER  Fortinet advierte a los atacantes retener el acceso a FortiGate después del parche a través de SSL-VPN Symlink Exploit

🔒 Consejo de la semana

Detectar amenazas temprano al rastrear las conexiones por primera vez – La mayoría de los atacantes dejan su primera pista vivo no con malware, sino cuando inician sesión por primera vez, desde una nueva IP, dispositivo o ubicación. Atrapar los eventos de llegada «por primera vez» es una de las formas más rápidas de detectar las violaciones temprano, antaño de que los atacantes se mezclen con el tráfico diario. Concéntrese en sistemas críticos: VPN, portales de oficina, paneles de nubes y cuentas de servicio.

Puede automatizar esto fácilmente con herramientas gratuitas como Wazuh (detecta nuevos dispositivos e IP), Osquery (consultas desconocidas) o GrayLog (construye alertas para conexiones desconocidas). Configuraciones más avanzadas como Microsoft Sentinel o Crowdstrike Falcon Free igualmente ofrecen detección de «primera olfato» a escalera. Las reglas simples, como alertar cuando una cuenta de administrador inicia sesión desde un país nuevo o un dispositivo inesperado accede a datos confidenciales, pueden desencadenar alarmas tempranas sin esperar las firmas de malware.

Pro Move: Basel hay sus usuarios «conocidos», IP y dispositivos, luego marcar cualquier cosa nueva. Puntos de abono Si combina esto con Honeytokens (credenciales falsas) para atrapar a los intrusos investigando activamente su red. Recuerde: los atacantes pueden robar credenciales, evitar MFA o ocultar malware, pero no pueden fingir nunca acaecer conectado antaño.

Conclusión

En la ciberseguridad, las amenazas que nos preocupan con maduro frecuencia no son las más fuertes: son las que nunca vemos venir. Un defecto de API silencioso. Una credencial olvidada. Un paquete con malware que instaló el mes pasado sin pensarlo dos veces.

Las historias de esta semana son un recordatorio: el aventura vivo vive en los puntos ciegos.

Mantente curiosidad. Mantente escéptico. Tu próxima violación no tocará primero.

spot_img
Artículo anterior
Android instaló en silencio una función que escanea sus fotos para ‘contenido sensible’ – cómo eliminarla
Artículo siguiente
La demanda de iPhones aumenta en las tiendas de Apple de EE. UU. A medida que los clientes temen las subidas de precios
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado