19.9 C
Madrid
miércoles, octubre 22, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

VPN 0 días, trasero de cifrado, malware de IA, falla de macOS, hack de cajero automático y más

Por Conectamentado
14
VPN 0 días, trasero de cifrado, malware de IA, falla de macOS, hack de cajero automático y más

El malware ya no solo está tratando de esconderse, está tratando de pertenecer. Estamos viendo un código que acento como nosotros, registros como nosotros, incluso se documenta como un compañero de equipo útil. Algunas amenazas ahora se parecen más a las herramientas de desarrollador que a las exploits. Otros toman prestada confianza de las plataformas de código franco, o se construyen en silencio de los fragmentos escritos por AI. No se tráfico solo de ser pillo, se tráfico de ser veraz.

En el sumario de ciberseguridad de esta semana, exploramos cómo las amenazas de hoy se están volviendo más sociales, más automatizadas y demasiado sofisticadas para los instintos de ayer para atrapar.

⚡ Amenaza de la semana

Secret Blizzard conduce ataques de AITM de nivel ISP para desplegar Apolloshadow – Las ciberespías rusas están abusando de las redes de proveedores de servicios de Internet locales para dirigirse a embajadas extranjeras en Moscú y probablemente recopilen inteligencia de los dispositivos de los diplomáticos. La actividad se ha atribuido a la amenaza persistente vanguardia rusa (apt) conocida como Blizzard Secret (igualmente conocido como Turla). Es probable que implique usar una posición adversaria en el medio (AITM) interiormente de las compañías de telecomunicaciones nacionales e ISP que los diplomáticos están utilizando para el camino a Internet para impulsar una alcoba de malware llamamiento Apolloshadow. Esto indica que el ISP puede estar trabajando con el actor de amenaza para solucionar los ataques utilizando los sistemas del sistema para actividades de investigación operativas (SORM). Microsoft se negó a asegurar cuántas organizaciones fueron atacadas o infectadas con éxito en esta campaña.

🔔 Noticiario principales

  • Empresas que emplearon a los piratas informáticos de Hafnium vinculados a más de una docena de patentes – Los actores de amenaza vinculados al patente camarilla de piratería de Hafnium han trabajado para empresas que registraron varias patentes para forenses y tecnologías de compilación de datos mucho intrusivas. Los hallazgos destacan el diverso ecosistema ofensivo del sector privado de China y un problema subyacente con el mapeo de la artesanía a un camarilla específico, que puede no reverberar con precisión la verdadera estructura organizativa de los atacantes. El hecho de que los actores de amenaza se hayan atribuido a tres compañías diferentes muestran que múltiples compañías pueden estar trabajando en conjunto para transigir a agarradera las intrusiones y esas compañías pueden estar proporcionando sus herramientas a otros actores, lo que lleva a una atribución incompleta o engañosa. Actualmente no se sabe cómo los actores de amenaza llegaron a poseer los defectos de Microsoft Exchange Server que se utilizaron para atacar a varias entidades en una campaña generalizada a principios de 2021. Pero su estrecha relación con la Oficina de Seguridad del Estado de Shanghai (SSSB) ha aumentado la posibilidad de que la Oficina haya obtenido camino a información sobre los días cero a través de algún método de compilación de evidencia y apto por los atacantes. El descubrimiento igualmente destaca otro aspecto importante: las amenazas persistentes avanzadas (APT) con sede en China pueden resumir en diferentes compañías que sirven a muchos clientes oportuno al ecosistema contratante, lo que obliga a estas compañías a colaborar en intrusiones. En junio de 2025, el futuro registrado reveló que un instituto de investigación de defensa estatal chino presentó una certificado a fines de diciembre de 2024 que analiza varios tipos de inteligencia, incluidos Osint, Humint, Sigint, Geoint y Techint, para capacitar un maniquí de estilo vasto específico marcial para «apoyar cada período del ciclo de inteligencia y mejorar la toma de decisiones durante las operaciones militares».
  • Probable fallas de VPN Sonicwall SSL de 0 días utilizada en ataques de ransomware Akira -Los dispositivos VPN de SonicWall SSL se han convertido en el objetivo de los ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025. El ártico Lob Labs dijo que los ataques podrían estar explotando una error de seguridad ineteterminada en los dispositivos, lo que significa que una vulnerabilidad de los días cero, regalado que algunos de los incidentes afectados por completo. Sin requisa, la posibilidad de ataques basados en credenciales para el camino auténtico no se ha descartado. El exposición se produjo cuando Watchtowr Labs detalló múltiples vulnerabilidades en los electrodomésticos de la serie Sonicwall SMA 100 (CVE-2025-40596, CVE-2025-40597 y CVE-2025-40598) que un atacante podría explotar para causar la incompetencia de la ejecución del código o el código. «Nos topamos con vulnerabilidades que se sienten que fueron conservadas en Amber de una era más ingenua de programación C», dijo la investigadora de seguridad Sina Kheirkhah. «Si proporcionadamente entendemos (y estamos de acuerdo) en que estas vulnerabilidades son, en última instancia, difíciles, o en algunos casos, actualmente no son explotables, el hecho de que existan en inmutable es, francamente, decepcionante. Los desbordamientos de pila y almacenamiento previos a la autor desencadenados por los encabezados HTTP malformados ya no se supone que ocurren».
  • UNC2891 infringe la red ATM a través de 4g Raspberry Pi en ataque cibernético -Se ha observado que el actor de amenaza conocido como UNC2891 dirige a la infraestructura cibernética de la máquina de cajeros automáticos (ATM) utilizando una Raspberry Pi equipada con 4G como parte de un ataque encubierto. El ataque cibernético involucró al adversario aprovechando su camino físico para instalar el dispositivo Raspberry Pi y tenerlo conectado directamente al mismo interruptor de red que el ATM, colocándolo efectivamente interiormente de la red del asiento de destino. El objetivo final de la infección era implementar el Caketap RootKit en el servidor de conmutación de ATM y solucionar los retiros de efectivo de ATM fraudulentos. Se evalúa la UNC2891 para compartir superposiciones tácticas con otro actor de amenaza llamado UNC1945 (igualmente conocido como LightBasin), que se identificó previamente a proveedores de servicios administrados y objetivos sorprendentes interiormente de las industrias de consultoría financiera y profesional. UNC1945 igualmente es conocido por sus ataques dirigidos al sector de las telecomunicaciones.
  • Explotación activa de la error del tema de WordPress solo -Los actores de amenaza están explotando activamente un defecto de seguridad crítico en «Tema de WordPress sin fines de ganancia multipropósito de caridad» para hacerse cargo de los sitios susceptibles. La vulnerabilidad, rastreada como CVE-2025-5394 (puntuación CVSS: 9.8), es una carga de archivos arbitraria que afecta todas las versiones del complemento ayer e incluyendo 7.8.3. Se ha solucionado en la lectura 7.8.5 arrojado el 16 de junio de 2025. En los ataques observados, el defecto se promedia para cargar un archivo zip que contiene una puerta trasera basada en PHP para ejecutar comandos remotos y cargar archivos adicionales. Alternativamente, la error igualmente se ha armado para ofrecer administradores de archivos y traseros con plantillas totalmente completas capaces de crear cuentas de administrador deshonesto.
  • Múltiples defectos parcheados en el cursor del editor de código AI -Se han abordado varias vulnerabilidades de seguridad en el cursor, incluido un error de reincorporación severidad (CVE-2025-54135, igualmente conocido como CurxeCute) que podría dar sitio a la ejecución de código remoto (RCE) al procesar contenido forastero de un servidor de protocolo de contexto de maniquí de terceros (MCP). «Si está encadenado con una vulnerabilidad de inyección rápida por separado, esto podría permitir la escritura de archivos MCP sensibles en el host por el agente», dijo Cursor. «Esto se puede usar para ejecutar directamente el código agregándolo como un nuevo servidor MCP». Asimismo se aborda en Cursor lectura 1.3 es CVE-2025-54136 (puntaje CVSS de 7.2), que podría poseer permitido a los atacantes trocar archivos de configuración de MCP inofensivos por un comando pillo, sin activar una advertencia. «Si un atacante tiene permisos de escritura en las ramas activas de un heredero de un repositorio de origen que contiene los servidores MCP existentes que el heredero ha apto previamente, o un atacante tiene una escritura de archivos arbitraria localmente, el atacante puede ganar una ejecución de código arbitraria», dijo la compañía.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una modernización perdida o un error oculto, incluso un CVE sin parches puede cascar la puerta a daños graves. A continuación se muestran las vulnerabilidades de detención peligro de esta semana que hacen olas. Revise la índice, parche rápido y mantén un paso delante.

La índice de esta semana incluye: CVE-2025-7340, CVE-2025-7341, CVE-2025-7360 (complemento de formulario de contacto HT), CVE-2025-54782 (@Nestjs/Devtools-Integration), CVE-2025-54418 (Codeigner4), CVE-2025-4421,, CVE-2025-54418 (Codeigner4), CVE-2025-4421,), CVE-2025-54418 (Codeigner4), CVE-2025-4421, 4421, CVE-2025‑4422, CVE-2025‑4423, CVE-2025‑4424, CVE-2025‑4425, CVE-2025‑4426 (Lenovo), CVE-2025-6982 (TP-Link Archer C50), CVE-2025-2297 (más allá de la diligencia de privilegios de ventanas para Windows), CVE-2025-5394 (tema solo), CVE-2025-2523 (Honeywell Experion PKS), CVE-2025-54576 (OAuth2-Proxy), CVE-2025-46811 (SUSE), CVE-2025-6076, CVE-2025-6077 y CVE-2025-6078 (Software de sus socios).

📰 cerca de del mundo cibernético

  • RCE crítico en @nestjs/devitools-integración -Se ha descubierto una error de ejecución de código remoto crítico (CVE-2025-54782, puntaje CVSS: 9.4) en @Nestjs/Devtools-Integration, un paquete Nestjs NPM descargado por 56,000 veces por semana. El paquete establece un servidor de exposición almacén con un punto final que ejecuta un código caprichoso interiormente de un «sandbox» de JavaScript construido con el nodo: VM Module y el ahora desidioso de eval, lo que finalmente permite la ejecución de código de heredero no confiable en un entorno de arenque, dijo Socket. Un examen posterior ha opuesto que el sandbox es trivialmente escapable y oportuno a que el servidor es accesible en Localhost, cualquier sitio web pillo puede activar la ejecución del código en la máquina de un desarrollador a través de CSRF utilizando el punto final Inspector/Graph/Interact. «Correcto al sandboxing inadecuado y a las protecciones de origen cruzado faltante, cualquier sitio web pillo visitado por un desarrollador puede ejecutar código caprichoso en su máquina almacén», dijo el mantenedor de Nestjs Kamil Mysliwiec en un aviso. «Al encadenar estos problemas, un sitio web pillo puede desencadenar el punto final endeble y ganar la ejecución de código arbitraria en la máquina de un desarrollador que ejecuta la integración de Nestjs DevTools».
  • Los atacantes explotan cuentas de correo electrónico comprometidas para ataques – Los actores de amenaza utilizan cada vez más las cuentas de correo electrónico interna o confiable de los socios comerciales comprometidos para expedir correos electrónicos maliciosos para obtener camino auténtico. «El uso de una cuenta confiable legítima ofrece a un atacante numerosas ventajas, como potencialmente evitar los controles de seguridad de una ordenamiento, así como parecer más confiable para el destinatario», dijo Talos. La divulgación se produce cuando los malos actores igualmente continúan explotando la función de giro directo de Microsoft 365 para entregar correos electrónicos de phishing que parecen originarse interiormente de la ordenamiento mediante el uso de una dirección interna falsificada y aumenta la probabilidad de éxito de los ataques de ingeniería social. Los mensajes se inyectan en Microsoft 365 inquilinos a través de dispositivos de seguridad de correo electrónico de terceros no garantizados utilizados como relés SMTP. «Esta táctica permite a los atacantes expedir cargas bártulos maliciosas a los usuarios de Microsoft 365 con maduro credibilidad, lo que a menudo resulta en una entrega exitosa a pesar de los controles de autenticación fallidos», dijo Proofpoint.
  • Signal advierte que saldrá de Australia sobre el empuje de la puerta trasera de secreto – El presidente de Signal Foundation, Meredith Whittaker, dijo que la aplicación de correo segura dejará a Australia si el gobierno lo obliga a incorporar una puerta trasera en su operación de secreto o camino a la demanda a los datos de los usuarios cifrados. A principios de este año, el gobierno del Reino Unido emitió una orden secreta que exigía que Apple le permita entrar a datos de usuarios cifrados para ayudar en las investigaciones, lo que resulta en que Apple elimine su función de protección de datos vanguardia (ADP) para los usuarios de la región. Si proporcionadamente el gobierno del Reino Unido parece estar retrocediendo de su demanda preparatorio, Google le dijo a TechCrunch que, a diferencia de Apple, no recibió ninguna solicitud del Reino Unido para construir una puerta trasera secreta. Esta es la primera vez que Google comenta formalmente sobre el asunto.
  • Google Hardens CHROME Extension Supply Chain contra el compromiso de la cuenta – Google ha implementado una nueva función de seguridad llamamiento carga CRX verificada para los desarrolladores de extensión de Chrome que impone firmas criptográficas para todas las actualizaciones de extensión de Chrome y evita que los malos actores comprometan cuentas de desarrolladores y publiquen actualizaciones maliciosas en la tienda web de Chrome (CWS). La protección de seguridad igualmente está diseñada para afrontar los escenarios en los que las revisiones de código CWS no siempre pueden marcar tales ataques maliciosos. «Al optar por una extensión en la carga CRX verificada, el desarrollador le da a Google una secreto pública. A posteriori de eso, el desarrollador ya no puede cargar archivos zip sin firmar para esa extensión y, en cambio, debe cargar un archivo CRX firmado con la secreto privada correspondiente», dijo Google (PDF). «La carga verificada actúa como un segundo autor para el acto de cargar a CWS. Un actor pillo que compromete la contraseña de cuenta de un desarrollador, las cookies de sesión o incluso una token OAuth, no podrá cargar una modernización maliciosa a menos que igualmente obtengan camino a la secreto de firma privada del desarrollador».
  • Kimsuky se dirige a Corea del Sur con malware de robador -El camarilla de piratería Kimsuky vinculado a Corea del Ártico se ha vinculado a una campaña de phishing de bichero que se dirige a las entidades de Corea del Sur utilizando los archivos de Windows Shortcut (LNK) como un vector de camino auténtico para desencadenar una prisión de infección de varias etapas para desplegar un KeyLogger, Staaler de información, establecer un control persistente sobre los hosts comprometidos y ofrecer una carga de plazo de la futuro etapa desconocida. Paralelamente, los usuarios se muestran con documentos de señuelos relacionados con avisos de impuestos y alertas gubernamentales sobre presuntos delincuentes sexuales en el dominio. «Una vez interiormente, el malware realiza un perfil extenso del sistema, roba credenciales y documentos confidenciales, monitorea la actividad del heredero a través de el keylogging y la captura del portapapeles, y exfiltrata los datos en segmentos discretos sobre el tráfico web típico, lo que la combina en operaciones de red normales», dijo Aryaka.
  • Apple MacOS Flaw puede suprimir TCC – Los atacantes podrían poseer utilizado una vulnerabilidad de macOS recientemente parcheada para evitar la transparencia, el consentimiento y las verificaciones de seguridad de control (TCC) y robar información del heredero confidencial de ubicaciones como el directorio de descargas y los cachés de inteligencia de Apple. Microsoft, el defecto, denominado Sploitlight de Microsoft y rastreó como CVE-2025-31199, fue abordado por la independencia de MacOS Sequoia 15.4 en marzo de 2025. El ataque se claridad así porque explota los complementos de los focos llamados importadores, que se utilizan para indexar los datos encontrados en un dispositivo y la superficie de la superficie a través de su aparejo de búsqueda integrada. Sploitlight convierte estos complementos en un bypass TCC, lo que permite que se filtren datos valiosos sin el consentimiento de un heredero.
  • Traducción mejorada de Xworm manchado -Se ha descubierto una nueva lectura de un troyano de camino remoto llamado Xworm (lectura 6.0) con nuevas características, como protección de procesos y capacidades de anti-análisis mejoradas, lo que indica intentos continuos de los desarrolladores para iterar y refinar sus tácticas. El punto de partida del ataque es un script de Visual Basic que probablemente se entrega a los objetivos a través de la ingeniería social, que luego procede a configurar la persistencia en el host a través del Registro de Windows (a diferencia de las tareas programadas en la lectura preparatorio), aunque es importante tener en cuenta que el constructor ofrece tres métodos diferentes, incluidas las técnicas mencionadas y la carga útil a la carpeta de inicio. Asimismo está diseñado para ejecutar un script PowerShell que incluye la capacidad de evitar la interfaz de escaneo de antimalware (AMSI) a través de la modificación en memoria de «Clr.dll» para evitar la detección. Algunas de las nuevas características observadas en la última lectura de Xworm son su capacidad para evitar la terminación del proceso al marcarse como un proceso crítico y suicidarse si el host comprometido ejecuta Windows XP.
  • Mozilla advierte a los desarrolladores de complementos contra el ataque de phishing -El fabricante de navegadores Mozilla advierte sobre una campaña de phishing dirigida a su infraestructura de complementos de Firefox que tiene como objetivo engañar a los desarrolladores para separarse de las credenciales de su cuenta como parte de correos electrónicos que contienen mensajes como «Su cuenta de complementos Mozilla requiere una modernización para continuar con las características de los desarrolladores» que están diseñados para provocar el compromiso. La divulgación sigue a la aparición de complementos falsos de Firefox que se disfrazan de Tronlink, Solflare, Rabby Wallet y están diseñados para robar secretos de billeteras de criptomonedas, dijo el investigador de seguridad Lukasz Olejnik.
  • Nuevo malware de robador diseccionado – Los investigadores de ciberseguridad han detallado a tres nuevas familias de malware de Stealer llamadas Cyber Stealer, Raven Stealer y Shuyal Stealer que combinan extensas capacidades de robo de credenciales con tácticas de agradecimiento y entretenimiento del sistema reformista. «Más allá del robo de credenciales, Shuyal captura capturas de pantalla del sistema y contenido de portapapeles, exfiltrando estos datos contiguo con tokens de discordia robadas a través de una infraestructura de BOT de telegrama», dijo Hybrid Analysis. «El malware mantiene el sigilo eficaz a través de los mecanismos de autoselección, eliminando trazas de su actividad utilizando un archivo por lotes luego de completar sus funciones principales». Cyber Stealer, por su parte, mantiene la comunicación con su servidor de comando y control (C2) a través de verificaciones de latidos, configuración del minero XMR, verificaciones de tareas y exfiltración de datos. Asimismo viene con una clipper, capacidades remotas, proxy inversa, DDoS, minería XMR y capacidades de envenenamiento DNS basadas en el nivel de suscripción predilecto por un cliente. «La URL C2 se puede modernizar dinámicamente a través de Pastebin, con una URL de copia de seguridad codificada si eso error», dijo Esentire. Si proporcionadamente ya hay varios robadores en la ámbito del delito cibernético, la aparición de nuevos robadores demuestra la naturaleza lucrativa de tales herramientas para permitir el robo de datos a escalera. El tercer nuevo malware de InfenteSer es Raven Stealer, que se distribuye activamente a través de repositorios de GitHub y se promueve a través de un canal de telegrama operado por los actores de amenaza. El robador es consistente con otros robadores, facilitando el robo de credenciales, la convento de datos del navegador y la exfiltración de datos en tiempo vivo a través de la integración de Bot de Telegram.
  • Nodo de node.js robador vistado en la naturaleza -Desarrollado y vendido por el Montón Sordeal, un actor de amenazas que demuestra el dominio del idioma francés, NovableVight se comercializa como una «aparejo educativa» en plataformas como Telegram y Discord de 25 € por un mes a 140 € por seis meses ($ 28 a $ 162). Sin requisa, este aspecto enmascara su verdadera intención: un malware modular, basado en NodeJS rico en características, basado en NodeJS construido en el situación de electrones, diseñado para robar información confidencial, incluidas las credenciales de inicio de sesión y los datos de la billetera de criptomonedas. Se dice que el malware se distribuye a través de sitios web falsos que publicitan los instaladores de videojuegos. «Novablight es un robador de información modular y rico en características construido en node.js con el situación de electrones», dijo Elastic Security Labs. «Sus capacidades van más allá del simple robo de credenciales, incorporando métodos para la compilación y exfiltración de datos, la detección de sandbox y la pesada ofuscación».
  • El robo de bitcoin de Lubian $ 3.5B no se detectó durante casi cinco primaveras -Un robo previamente no revelado de 127,426 bitcoin, valorado en $ 3.5 mil millones en ese momento (actualmente aproximadamente $ 14.5 mil millones), se remonta a un ataque de diciembre de 2020 en un camarilla minero chino poco conocido llamado Lubian, convirtiéndolo como el más vasto de la criptñencia hasta la término, superado por la término de $ 1.5 billones de hack. El 28 de diciembre de 2020, por más del 90% de su BTC «, dijo Arkham Intelligence. «Después, el 29 de diciembre, cerca de de $ 6 millones de BTC y USDT adicionales fueron robados de una dirección Lubian activa en la capa Omni de Bitcoin. El 31, Lubian rotó sus fondos restantes a las billeteras de recuperación». Se cree que los atacantes desconocidos pueden poseer explotado un operación de vivientes de información privado defectuoso que lo dejó susceptible a los ataques de fuerza bruta. «Lubian conservó 11,886 BTC, actualmente con un valía de $ 1.35B, que todavía poseen», dijo Arkham. «El hacker igualmente tiene el BTC robado, con su extremo movimiento conocido como una consolidación de billetera en julio de 2024». Ni Lubian ni el supuesto hacker han obligado públicamente la violación.
  • Rusia bloquea el camino a SpeedTest – Rusia bloqueó el camino a SpeedTest, una popular aparejo de prueba de velocidad en Internet desarrollada por la compañía estadounidense Ookla, alegando que el servicio plantea una amenaza de seguridad doméstico y podría ayudar a los ataques cibernéticos. La restricción se debe a las «amenazas identificadas para la seguridad de la red de comunicación pública y el segmento ruso de Internet,» Roskomnadzor, el vigilante de comunicaciones del país, dijo, y agregó que «recopila datos sobre el diseño y la capacidad de los nodos de comunicaciones rusas» que podrían estilarse para «planear, conducir y evaluar los ataques sobre las redes rusas y los sistemas relacionados».
  • CISA libera torio -La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) anunció la disponibilidad pública de torio, una plataforma de código franco para analistas de malware y forenses en los sectores divulgado, divulgado y privado. «El torio restablecimiento las capacidades de los equipos de ciberseguridad al automatizar los flujos de trabajo de examen a través de la integración perfecta de herramientas comerciales, de código franco y personalizados», dijo CISA. «Admite varias funciones de tarea, incluidos el examen de software, los forenses digitales y la respuesta a los incidentes, lo que permite a los analistas evaluar eficientemente las amenazas complejas de malware». La agencia igualmente ha publicado la aparejo de estrategias de desalojo, que ayuda a los equipos de seguridad durante la respuesta de incidentes al proporcionar las acciones necesarias para contener y desalojar a los adversarios de redes y dispositivos comprometidos.
  • Entidades rusas dirigidas a desplegar huelga de cobalto -El sector de la tecnología de la información rusa (TI), y, en cierta medida, las empresas en China, Japón, Malasia y Perú, han estado en el extremo receptor de una campaña de correo electrónico de Spear-Phishing que ofrece el Beacon de Cobalt Strike por medio de cargas bártulos intermedias que llegan a perfiles falsas en plataformas de redes sociales para obtener la URL que organiza la aparejo posterior a la explotación. Se dice que las cuentas, creadas en las redes sociales en Github, Quora y Russian-Language, se crearon específicamente para los ataques y actúan como resolutores de caída muerta para solucionar la resistor operativa. La actividad se registró por primera vez en la segunda parte de 2024, alcanzando su pico en noviembre y diciembre. La campaña no se ha atribuido a ningún actor o camarilla de amenazas conocido.
  • Apt36 se dirige a los ferrocarriles indios, sectores de petróleo y gas -Un supuesto actor de amenaza paquistaní conocido como APT36 (igualmente conocido como Tribu Transparente) se ha atribuido a ataques dirigidos a los sistemas ferroviarios indios, la infraestructura de petróleo y gas, y el Tarea de Asuntos Externos a través de ataques de phishing de bichero para entregar un malware conocido llamado Poseidon. «Utilizan archivos .desktop disfrazados de documentos PDF para ejecutar scripts que descargan malware y establecen persistencia utilizando trabajos cron», dijo Hunt.io. «La puerta trasera de Poseidon, construida en el situación mítico y escrito en GO, se utiliza para ayudar el camino y apoyar el movimiento adyacente».
  • El ataque de ransomware Qilin aprovecha la técnica BYOVD – Se ha observado que los actores de amenaza asociados con el ransomware Qilin aprovechan un compensador previamente desconocido, TPWSAV.SYS, para deshabilitar sigilosamente las herramientas de seguridad utilizando una lectura personalizada de Edrsandblast como parte de un ataque de conductor endeble (BYOVD). «Este compensador, desarrollado originalmente para las características de hucha de energía en las computadoras portátiles de Toshiba, es un compensador de núcleo de Windows firmado, lo que lo convierte en una opción atractiva para evitar las protecciones EDR a través de un ataque BYOVD», dijo Blackpoint Cyber. Antaño de este incidente, no ha habido evidencia de explotación del conductor. «Compilado en 2015 y tener una firma válida, este conductor es un candidato atractivo para los ataques de BYOVD destinados a deshabilitar EDR. Mientras interactuar con el conductor, solo requiere privilegios de bajo nivel, cargándolo y enumerando los privilegios administrativos de la demanda física de la memoria», agregó la compañía.
  • La campaña de phishing distribuye 0BJ3CTIVITIVY STALER -Los correos electrónicos de phishing que llevan los fortuna de orden de importación se están utilizando para distribuir a través de archivos JavaScript un robador llamado 0BJ3CTIVITION STALER, que se ha propagado a través de AndE Loader en el pasado. «Las etapas adicionales son poco comunes, incluidos los scripts de PowerShell personalizados para implementar las próximas etapas y esteganografía para ocultar algunas de las cargas bártulos», dijo Trellix. «Una vez decodificado, el script de PowerShell se descargará desde Archive.org una imagen JPG, que contiene la futuro etapa oculta usando esteganografía». Estados Unidos, Alemania y Montenegro exhiben un detención comba de detecciones, aunque los datos de telemetría igualmente han revelado una actividad trascendente en Europa, América del Ártico, el sudeste oriental y Australia, lo que indica la naturaleza total de la amenaza.
  • Creciente número de defectos apalancados como 0 o 1 día -Un tercio de los defectos apalancados por los atacantes este año han sido fallas de día cero o 1 día, lo que indica que los actores de amenaza se están volviendo más rápidos para explotar las vulnerabilidades. «Observamos un aumento del 8,5% en el porcentaje de KEV (vulnerabilidades explotadas conocidas) que tenía evidencia de explotación divulgada en o ayer del día que se publicó una CVE, 32.1% en H1-2025 en comparación con el 23.6% que informamos en 2024», dijo Vulncheck. En total, la compañía agregó 432 nuevas vulnerabilidades a su índice de KEV en la primera parte de 2025, con 92 actores de amenaza únicos vinculados a los esfuerzos de explotación. De estos, 56 (60.8%) se atribuyeron a países específicos, incluidos China (20), Rusia (11), Corea del Ártico (9) e Irán (6). En un exposición relacionado, un mensaje de Greynoise encontró que en el 80% de los picos de agradecimiento contra el equipo empresarial, el aumento de la actividad fue seguido por la publicación de una nueva CVE interiormente de las seis semanas, lo que sugiere que los actores o investigadores de amenazas están probando sus hazañas con anticipación. «Estos patrones fueron exclusivos de las tecnologías de Edge Enterprise como VPN, firewalls y herramientas de camino remoto, los mismos tipos de sistemas cada vez más atacados por actores de amenazas avanzadas», dijo la firma de inteligencia de amenazas.
  • BreachForums vuelve a estar en lista – Breachforums parece retornar luego de desconectarse en abril. El popular foro del delito cibernético fue cerrado y resucitado varias veces durante el año pasado. Según DatabReaches.net, el sitio oficial parece retornar a estar en lista en su dirección web oscura, al tiempo que preserva la pulvínulo de datos de usuarios innovador, la reputación, los créditos y las publicaciones. Adicionalmente, el sitio parece poseer regresado bajo un nuevo liderazgo: un heredero con el apodo en lista «N/A». En una publicación introductoria, N/A igualmente afirmó que nadie de sus administradores ha sido arrestado y que es «negocios como siempre».
  • Los nuevos ataques de RedCurl entregan rojo -El actor de amenaza conocido como Gold Blade (igualmente conocido como Earth Kapre, RedCurl y Red Wolf) se ha vinculado a un nuevo conjunto de ataques en julio de 2025 que combinan archivos LNK maliciosos y WebDAV para ejecutar DLLS alojados de forma remota para difundir finalmente Red Loader con carga adyacente de DLL. Los archivos LNK, disfrazados de cartas de presentación en formato PDF, se distribuyen a través de correos electrónicos de phishing a través de sitios de búsqueda de empleo de terceros como de hecho.
  • MIMO explota fallas de SharePoint para entregar ransomware -El actor de amenaza conocido como MIMO está explotando los fallas de Microsoft SharePoint recientemente reveladas para entregar el ransomware 4L4MD4R basado en GO. El camarilla de piratería se vinculó recientemente con el demasía de una error de CMS de artesanía crítica para soltar a los mineros. El exposición marca la primera vez que el camarilla de piratería ha desplegado ransomware en la naturaleza.
  • Silver Fox APT utiliza un complemento Flash Fake para entregar malware – El actor de amenaza rastreó como Silver Fox se ha observado entregando el troyano de Winos bajo la apariencia de herramientas populares como Adobe Flash, Google Translate y WPS. Los vectores de distribución típicos incluyen correo electrónico, sitios web de phishing y software de correo instantánea. «Sin requisa, con la fuga del código fuente de Troya de control remoto (como Winos 4.0) en el círculo cibernético, Silver Fox se ha transformado gradualmente de una sola ordenamiento en una clan maliciosa ampliamente reconstruida por grupos de delitos cibernéticos e incluso organizaciones APT», dijo el equipo conocido 404. «Winos tiene un rico conjunto de complementos funcionales que permiten varias funciones de control remoto y robo de datos en el host de destino».
  • Hacker Girona arrestado – Las autoridades españolas han detenido a un cibercriminal que supuestamente robó datos confidenciales de las principales instituciones financieras, organizaciones educativas y empresas privadas en todo el país. El acentuado, descrito como un hombre con habilidades avanzadas de programación de computadoras, está acentuado de atacar a los bancos españoles, una escuela de manejo y una universidad pública, entre otros. Se alega que el sospechoso ha robado bases de datos personales de empleados y clientes, así como documentos internos de empresas y organizaciones, y luego las vendió con fines de ganancia.
  • Infraestructura de SHADOWSYNDICATE analizada – Los investigadores de seguridad cibernética han opuesto conexiones entre la infraestructura de Shadowsyndicate y varias familias de malware como AMOS Stealer, TrueBot y una serie de cepas de ransomware como CL0P, BlackCat, Lockbit, Play, Royal, Cactus y Ransomhub. Adicionalmente de tener camino a una red de Hosters a prueba de balas (BPHS) en Europa, se cree que las funciones de Shadowsyndicate como un corredor de camino auténtico (IAB) que alimentan los aptos rusos, norcoreanos y chinos. «No está claro si Shadowsyndicate tiene un maniquí de negocio estructurado con clientes formales o socios en el delito cibernético, o si representa un actor de amenazas híbrido más fluido», dijo Intrinsec.
  • ¿Quiénes son los leones? – Los cazadores de amenazas han arrancado la cobertura de Lionishackers, un comerciante de bases de datos corporativas y un actor de amenazas motivado financieramente centrado en exfiltrarse y traicionar bases de datos corporativas a través de los foros de Telegram y Underground desde julio de 2024 «, aunque parecen tener un enfoque oportunista al designar sus objetivos, parece ser una cierta preferencia para las víctimas ubicadas en los países asiáticos», dichal24. «Han mostrado un detención nivel de colaboración con el camarilla ‘Hunt3r Kill3RS’ y una amplia décimo en los canales de telegrama de las comunidades subterráneas relevantes. Adicionalmente, igualmente trabajaron y ofrecieron otros servicios, como pruebas de lapicero, la comercialización de la botnet espanto y el tiro de un esquema de foro dubricados por los foros estresados».
  • EDSKMANAGER RAT, PULSAR RAT y RETRO-C2 RAT expuesta -Los investigadores de seguridad cibernética han impresionado tres nuevos troyanos de camino remoto llamados Edskmanager Rat, Pulsar Rat y Retro-C2 RAT, marcando su capacidad para sortear la detección y ayudar el control sobre los sistemas comprometidos. «El malware emplea un descargador disfrazado de software verdadero, seguido de descifrado en memoria y comunicación sigilosa con servidores de comando y control», dijo Cyfirma sobre Edskmanager Rat. «Su uso de HVNC (computación de red potencial oculta), técnicas de persistencia vanguardia y medidas anti-análisis indica un esforzado enfoque en el camino encubierto a derrochador plazo a los sistemas infectados». Pulsar Rat, por otro banda, es un troyano de Android que explota los servicios de accesibilidad para obtener un control casi total del dispositivo, entrar a mensajes, llamadas, datos GPS, la cámara, micrófono y otros datos confidenciales. Desarrollado por un actor de amenaza de acento turca conocido como Zerotrace, Retro-C2 Rat emplea técnicas de carga reflexiva para sortear la detección y los datos de sifón de máquinas comprometidas. «La infraestructura de comando y control está completamente basada en la web y proporciona a los actores de amenaza de monitoreo de clientes en tiempo vivo, diligencia de influencia, como CMD, PowerShell, escritorio remoto, keylogging, captura de portapapeles, diligencia de archivos y procesos, operaciones de registro y red, cinta de audio, escaneo de billeteras, operaciones de persistencia y recuperación credencial», dijo la amenaza de amenazmon.
  • Apple para habilitar la protección vanguardia de huellas dactilares para todas las sesiones de navegación de Safari – Apple ha revelado que tiene la intención de hacer que la protección vanguardia de huellas dactilares sea el valía predeterminado para todas las sesiones de navegación en Safari con el tiro de iOS 26, iPados 26 y MacOS 26 en septiembre de 2025. Actualmente, la opción se limita al modo de navegación privado. La característica se introdujo por primera vez en Safari 17.0.
  • Defecto de seguridad descubierto en Spyware Spywathful -Una vulnerabilidad de inyección de SQL en una operación acosada de Android llamamiento Catwatchful ha expuesto a más de 62,000 de sus clientes, incluido su administrador con sede en Uruguay, Omar Soca Charcov. El error, descubierto por el investigador Eric Daigle, podría ser explotado para filtrar la pulvínulo de datos de la aplicación, comprometiendo las direcciones de correo electrónico de los clientes y las contraseñas de texto sin formato. Desde entonces, Google ha ayudante protecciones para marcar aplicaciones maliciosas y suspendido la cuenta de Firebase del desarrollador por excederse de su infraestructura para actuar el software de monitoreo.
  • El ransomware sigue siendo una amenaza – Dragonforce ha reclamado más de 250 víctimas en su sitio de fuga de la web oscura, con 58 en el segundo trimestre de 2025 solo, lo que indica que el cartel de ransomware está ganando tracción luego de que supuestamente absorbe Ransomhub. Algunos de los grupos que parecen poseer saledizo de la ámbito incluyen Ransomhub, Babuk-Bjorka, Funksec, Bianlian, 8Base, Cactus y Hunters International. «Con los principales servicios de Raas cerrando, muchos afiliados operan de forma independiente o buscan nuevas asociaciones», dijo Check Point. «El resultado es un número creciente de entidades de ransomware más pequeñas, a menudo de corta duración. Al mismo tiempo, los jugadores establecidos compiten activamente para alistar a estos afiliados ‘huérfanos'». Los ataques de ransomware igualmente se han observado evolucionando más allá de la doble trastorno para atañer a las víctimas a avalar con amenazas de fugas de datos y ataques DDoS. «Las tácticas de trastorno doble, triple y cuadruplica agregan presión al amenazar con exponer la información del cliente, interrumpir las operaciones con ataques distribuidos de denegación de servicio (DDoS) y expedir mensajes de acoso a socios comerciales, clientes y otros, incluida la información sobre los medios de influencia», dijo Akamai.
  • Los actores de amenaza esconden malware en DNS Records -Si proporcionadamente se sabe que los actores de amenaza han estudioso el sistema de nombres de dominio (DNS) para fines de comando y control utilizando una técnica llamamiento Tuneling DNS, se ha observado que los cibercriminales están evolucionando aún más sus tácticas al ocultar los comandos maliciosos en los registros DNS TXT al conversolos en su representación hexadecimal y almacenarlos en Chunks. La experiencia es inteligente y astuta, ya que permite que los scripts maliciosos y el malware de la etapa temprana obtengan archivos binarios sin tener que descargarlos de sitios controlados por atacantes o adjuntarlos a correos electrónicos, que tienen una maduro probabilidad de ser detectados por el software antivirus.
LEER  Piratas informáticos chinos turbios, génesis y panda glacial escala nube y espionaje de telecomunicaciones

🎥 seminarios web de ciberseguridad

  • Los paquetes maliciosos de Python están en todas partes: aprenda a detectarlos y detenerlos: En 2025, los ataques contra el ecosistema de Python están aumentando rápidamente, desde fallas de imagen de contenedor peligrosas hasta fallas de imagen de contenedores peligrosos. Si todavía estás «Pip instalando y rezando», es hora de subir de nivel. Únase a nosotros para un seminario web práctico donde desglosemos las amenazas reales de la prisión de suministro y le muestre cómo defender su código con herramientas prácticas, flujos de trabajo más inteligentes e imágenes endurecidas. Sin exageración, solo pasos claros para sostener su pitón.
  • Asegure su pila de IA: aprenda a defender la identidad ayer de que sea demasiado tarde: AI está cambiando la forma en que trabajamos, y la forma en que nos atacan. Únase a Karl Henrik Smith de Okta para explorar cómo la identidad se está convirtiendo en la última y más crítica lista de defensa contra las amenazas de IA. Desde profundos hasta agentes autónomos, los atacantes se mueven más rápido de lo que las herramientas tradicionales pueden manejar. En este seminario web de balde, aprenderá por qué la seguridad de identidad primero es la secreto para mantenerse a la vanguardia y cómo ponerla en influencia.

🔧 Herramientas de ciberseguridad

  • Torio: Animado por la CISA de EE. UU., Esta nueva aparejo de código franco es una plataforma escalable para automatizar el examen de archivos y ampliar resultados en diversas herramientas. Ayuda a los equipos de ciberseguridad a racionalizar el triaje de malware, el forense y las pruebas de herramientas al integrarse con los flujos de trabajo existentes a través de la automatización basada en eventos y una infraestructura escalable.
  • LangExtract: es una biblioteca de Python de código franco, desarrollada por Google, que ayuda a los desarrolladores información estructurada de texto no estructurado utilizando Gemini y otros LLM. Está diseñado para tareas como analizar registros médicos, documentos legales o comentarios de los clientes mediante la combinación de ascendencia impulsada por aviso, futuro a tierra y aplicación de esquemas. LangExtract admite backends flexibles, escalera en documentos largos y facilita la visualización y verifica los resultados, todo sin ajustar un maniquí.
LEER  Hacks de las aerolíneas, Citrix 0 días, malware de Outlook, troyanos bancarios y más

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio peligro: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Su teclado podría estar espiando, aquí le mostramos cómo asegurar – La mayoría de las personas no se dan cuenta, pero el teclado de su teléfono inteligente puede hacer más que solo escribir. Algunos de ellos se conectan silenciosamente a Internet, enviando lo que escribe, cuándo escribe e incluso lo que hay en su portapapeles. Incluso las aplicaciones de confianza como Gboard y SwiftKey tienen características de sincronización en la cúmulo que comparten sus patrones de escritura. Y en peores casos, los teclados Rogue pueden registrar contraseñas o robar semillas de billetera criptográfica sin signos visibles.

La alternativa no solo «no uses teclados sombreados». Es conocer cómo controlar lo que pueden hacer. Comience utilizando una aplicación de firewall como NetGuard o Rethinkdns para cortar su teclado para expedir datos a través de Internet. Vaya a la configuración de su teclado y desactive las características de «personalización» o sincronización. Tenga cuidado con el comportamiento extraño como un teclado pidiendo camino a su micrófono, contactos o ubicación: esas son banderas rojas. En las versiones más nuevas de Android, las alertas de portapapeles le advertirán si un teclado está hundiendo.

Si desea plena tranquilidad, cambie a un teclado que respeta su privacidad por diseño. Opciones como OpenBoard o Keyboard simple no tienen camino a Internet en inmutable. Son rápidos, limpios y de código franco, lo que significa que su código puede ser auditado para un comportamiento oculto. En sumario: si su teclado quiere «formarse de usted», asegúrese de que no esté aprendiendo demasiado.

LEER  SharePoint 0-Day, Chrome Exploit, MacOS Spyware, Nvidia Toolkit RCE y más

Conclusión

Cada amenaza que cubrimos esta semana cuenta la misma historia: los atacantes están evolucionando más rápido porque están aprendiendo de nosotros. Desde cómo codificamos cómo confiamos, están observando de cerca. ¿Pero el otro banda? Asimismo nosotros.

Cuanto más compartimos, más rápido nos adaptamos. Sigue presionando, sigue cuestionando y nunca dejes que «frecuente» te haga advertir cómodo.

spot_img
Artículo anterior
Cómo borrar el caché de su teléfono Android (y por qué mejoró enormemente el rendimiento)
Artículo siguiente
IoT Now Lista de victorias por contrato – julio de 2025
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado