18.2 C
Madrid
viernes, octubre 24, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

WhatsApp 0 días, Docker Bug, Salesforce Breach, Fake Captchas, Spyware App y más

Por Conectamentado
15
WhatsApp 0 días, Docker Bug, Salesforce Breach, Fake Captchas, Spyware App y más

La ciberseguridad hoy se prostitución menos de ataques individuales y más sobre cadenas de pequeñas debilidades que se conectan con grandes riesgos. Una aggiornamento pasada por suspensión, una cuenta mal utilizada o una aparejo oculta en las manos equivocadas puede ser suficiente para rajar la puerta.

La nota de esta semana muestra cómo los atacantes están mezclando métodos: combinando el golpe robado, el software sin parches y los trucos inteligentes para tener lugar de pequeños puntos de entrada a grandes consecuencias.

Para los defensores, la disciplina es clara: el peligro existente a menudo no proviene de un defecto importante, sino de cómo los diferentes fallas interactúan juntas.

⚡ Amenaza de la semana

Patches de WhatsApp explotó activamente defecto -WhatsApp abordó una vulnerabilidad de seguridad en sus aplicaciones de correo para Apple IOS y MacOS que, según dijo, pudo suceder sido explotado en la naturaleza unido con una error de Apple recientemente revelada en ataques de día cero específicos. La vulnerabilidad, CVE-2025-55177 se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. La compañía propiedad de Meta dijo que el problema «podría suceder permitido que un heredero no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo». Igualmente evaluó que la deficiencia puede suceder sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOS, como parte de un ataque sofisticado contra usuarios específicos específicos. WhatsApp dijo que envió notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden suceder sido atacados como parte de la campaña de spyware.

🔔 Noticiero principales

  • El Riquezas de EE. UU. Continúa golpeando el esquema de trabajadores de IT con sanciones – El Área de Control de Activos Extranjeros (OFAC) del Área de Riquezas de los Estados Unidos sancionó una red de trabajadores de TI fraudulenta vinculada a la República Popular Democrática de Corea (RPDC). Esto incluyó a Vitaliy Sergeyevich Andreyev, un ciudadano ruso que facilitó los pagos a la Compañía de Cooperación de Tecnología de la Información de Chinyong (Chinyong), asimismo conocida como Jinyong IT Cooperation Company, que fue sancionada por OFAC y el Empleo de Asuntos Exteriores de Corea del Sur (MOFA) en mayo de 2023. Igualmente se incluyeron en la designación de la designación Kim Ung Sun, Shenyang GeumpungungriGriGriGri Gails), en mayo de 2023. Corea Sinjin Trading Corporation. Estos actores fueron designados por su billete en esquemas que canalizan los ingresos derivados de los trabajadores de la RPDPRK para apoyar las armas de destrucción masiva y los programas de misiles balísticos de la RPDC. La billetera de criptomonedas vinculada a Andreyev ha «recibido más de $ 600,000 de pagos y tiene exposición de origen a la exploit de la billetera atómica de junio de 2023», que se atribuyó al asociación Lázaro, según sobrentendido. La designación se cimiento en otras acciones que OFAC ha tomado para interrumpir los esquemas de trabajadores de TI de la RPDC.
  • Docker de Docker crítico parcheado – Se insta a los usuarios de Docker Desktop en Windows y Mac a actualizarse a la última interpretación para parchar una vulnerabilidad crítica que podría permitir que un atacante rompa la capa de aislamiento del contenedor y potencialmente se haga cargo del sistema de host. La vulnerabilidad (CVE-2025-9074) se deriva del hecho de que Docker Desktop expone la API del motor Docker, que puede estilarse para controlar los contenedores Docker a través de un zócalo TCP sin ninguna autenticación. Como resultado de este defecto, un atacante que apetito golpe a un contenedor Docker podría beneficiarse la API para crear un nuevo contenedor Docker y valer el sistema de archivos del sistema eficaz, obteniendo golpe a información confidencial o sobrescribir archivos críticos del sistema, lo que resulta en una ejecución de código arbitraria. Sin confiscación, el montaje del administrador del sistema de archivos solo funciona en Windows, ya que intentar este proceso en MacOS le pediría permiso al heredero. Adicionalmente, en MacOS, Docker no se ejecuta con privilegios de administrador como lo hace en Windows.
  • Sectores críticos dirigidos por mixshell -Los ciberdelincuentes se han dirigido a docenas de fabricantes críticos de los Estados Unidos y compañías de dependencia de suministro, buscando robar datos confidenciales e implementar ransomware. La actividad, denominada Zipline, se remonta a principios de mayo de 2025. En sitio de cursar un correo electrónico a un enlace receloso en un correo electrónico no solicitado, los delincuentes inician el contacto a través del formulario divulgado de «contactarnos» de la estructura bajo el pretexto de consultas de asociación u otros pretextos comerciales, engañando a la víctima para comenzar la conversación y permitir a los atacantes para obtener filtros de correo electrónico. Los ataques llevaron al despliegue de un implante sigiloso llamado Mixshell. Al usar formularios de contacto del sitio web, el ataque voltea el ejemplar de jugadas de Phishing al conseguir que las víctimas hicieran el primer contacto por correo electrónico con el atacante en sitio de al revés.
  • Instancias de Salesforce dirigidas a través de Salesloft Drift -Un clúster de actividad de amenazas ha cometido una serie de violaciones de datos de las instancias de la fuerza de ventas de las organizaciones al comprometer los tokens OAuth asociados con la aplicación de terceros SalesLoft Drift. UNC6395 ha llevado a agarradera una campaña de «robo de datos generalizados» al dirigirse a las instancias de la fuerza de ventas que comienzan tan pronto como el 8 de agosto al menos al 18 de agosto. UNC6395 «exportó sistemáticamente grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas» con el propósito de cosechar el golpe sensible a los amazonos. Una vez que se exfiltraron estas credenciales, «el actor buscó a través de los datos para apañarse secretos que podrían estilarse potencialmente para comprometer los entornos de las víctimas», y luego cubrió sus pistas eliminando los trabajos de consultas.
  • Storm-0501 vinculado a los ataques de perjuicio de la abundancia -Storm-0501 ha agudizado sus tácticas de ransomware al explotar las cuentas privilegiadas secuestradas para moverse perfectamente entre los entornos locales y en la abundancia, explotando lagunas de visibilidad para abreviar datos y exfiltrar datos confidenciales, y padecer a agarradera deleciones masivas de los posibles en la abundancia, incluidas las copias de seguridad. El actor de amenazas verificó la presencia de software de seguridad, lo que sugiere un esfuerzo deliberado para evitar la detección dirigiéndose a sistemas no abordados. Los atacantes asimismo realizaron actividades de agradecimiento para obtener una profunda visibilidad de las herramientas de seguridad de la estructura y la infraestructura. Esta proceso indica un cambio técnico y un cambio en la organización de impacto. En sitio de simplemente encriptar archivos y exigir un rescate para el descifrado, Storm-0501 exfiltra datos de nubes confidenciales, destruye copias de seguridad y luego extorsiona a las víctimas amenazando a la pérdida o exposición de datos permanentes.
  • UNC6384 implementa AGNX a través de Captive Portal Hankack – Los piratas informáticos estatales chinos han estado secuestrando las verificaciones del portal cautivo para entregar malware, como software Adobe. La actividad, atribuida a Mustang Panda, parece suceder atacado a diplomáticos del sudeste oriental en particular y otras entidades no identificadas en todo el mundo, entre aproximadamente marzo y julio de este año. Más o menos de dos docenas de víctimas probablemente se vieron comprometidas, aunque es posible que haya más. El truco para la última campaña de Mustang Panda implica secuestrar las verificaciones del portal cautivo para redirigir a los usuarios a un sitio web bajo su control para distribuir malware. Se cree que los piratas informáticos infectaron dispositivos de borde en las redes de los objetivos, que usaron para interceptar la demostración realizada por el navegador Google Chrome. Los usuarios que se enamoraron del esquema terminaron descargando un binario aparentemente inocuo que finalmente condujo a la implementación de Plugx.
  • ShadowCapatha aprovecha ClickFix para entregar malware – Una campaña de motivación financiera denominada ShadowCaptcha está aprovechando las páginas falsas de Google y Cloudflare Captcha para engañar a las víctimas para que ejecute comandos maliciosos utilizando sitios comprometidos de WordPress como vector de infección. Los ataques conducen al despliegue de robos de información y ransomware, lo que demuestra un enfoque de monetización versátil. La actividad se centra principalmente en tres flujos de ingresos: robo de datos y traspaso posterior, mineros de criptomonedas de caída e infectar máquinas con ransomware. Esta organización múltiple garantiza un mecanismo de gestación de ingresos sostenido, maximizando su retorno de la inversión y al mismo tiempo mantiene el golpe persistente.

🔥 CVES de tendencia

Los piratas informáticos actúan rápidamente. Atacan poco a posteriori de que se encuentra una afición. Una aggiornamento perdida, un error oculto o una alerta de seguridad olvidada puede dejarlos entrar. Un pequeño problema puede convertirse rápidamente en grandes problemas como datos robados o bloqueos del sistema, incluso antiguamente de notarlo. Aquí están los riesgos graves de esta semana. Compruébalos, arreglándolos rápidamente y manténgase seguro antiguamente que los atacantes.

LEER  La automatización está redefiniendo la entrega de Pentest

La relación de esta semana incluye: CVE-2025-55177 (WhatsApp), CVE-2025-34509, CVE-2025-34510, CVE-2025-34511 (plataforma de experiencia Sitecore), CVE-2025-57819 (FreepbX), CVE-2025-26496 (Tableau Server), CVE-2025-549993993993939393939939939996), CVE-CVE-2025-5499393939393993996) (LSQUIC QUIC), CVE-2025-9118 (API de Google Cloud DataForm), CVE-2025-53118 (Securden Unified PAM), CVE-2025-9478 (Google Chrome), CVE-2025-50975 (IPFIRE 2.29), CVE-2025-23307 (NVIDIA NVIDIA CURATOR), CHEMO-2025-2025-2024 (Switches de la serie Cisco Nexus 3000 y 9000), CVE-2025-20317 (Cisco Integrated Management Controller), CVE-2025-20294, CVE-2025-20295 (Cisco Unified Computing System Manager), CVE-2025-54370 (PHPSPREDSheet), CVE-2025-39245, CVE-2025-39246, CVE-2025-39247 (HikVision Hikcentral), CVE-2025-49146, CVE-2025-48976, CVE-2025-53506, CVE-2025-52520 (Atlassian), CVE-2025-50979 (Nodebb), y, y Nodebb), y y), y Nodebb), y Nodebb), y Nodebb), y Nodebb), y Nodebb). CVE-2025-8067 (Daemon Linux Udisks).

📰 aproximadamente del mundo cibernético

  • Servicios de Microsoft RDP dirigidos por escaneos maliciosos – Los servicios de protocolo de escritorio remoto de Microsoft (RDP) se han pasado afectados con un torrente de escaneos maliciosos de decenas de miles de direcciones IP en los últimos días, lo que indica una campaña de agradecimiento coordinada. «El objetivo de la ola era claro: prueba para el tiempo que revelan nombres de heredero válidos, sientando las bases para las intrusiones basadas en credenciales», dijo Greynoise. La actividad tuvo sitio más de dos olas el 21 y 24 de agosto, con miles de direcciones IP únicas que sondearon simultáneamente tanto el golpe web de Microsoft RD como los portales de autenticación del cliente web de Microsoft RDP.
  • Defecto en el spyware de spyspy – Una vulnerabilidad en la aplicación Spyware de Thetruthspy puede permitir a los malos actores hacerse cargo de cualquier cuenta y recuperar los datos de víctimas recopilados. La vulnerabilidad explota un problema con el proceso de recuperación de contraseña de la aplicación para cambiar la contraseña de cualquier cuenta. Thetruthspy le dijo a TechCrunch que no puede solucionar el error porque «perdió» el código fuente de la aplicación.
  • La actividad del heredero de los registros de aplicaciones máximos de Rusia – El rival de WhatsApp del gobierno ruso, Max, está constantemente monitoreando y registrando toda la actividad del heredero. Según el estudio técnico de Corellium, la aplicación no utiliza el secreto y rastrea la ubicación del heredero en tiempo existente y con reincorporación precisión. Desarrollado por el coloso de la tecnología rusa VK, la aplicación se ha hecho obligatoria y debe instalarse en todos los dispositivos móviles vendidos en Rusia a posteriori del 1 de septiembre de 2025. La aplicación se lanzó inicialmente a principios de marzo.
  • Openssh’s PQC Play -OpenSSH dijo que comenzará a mostrar advertencias cuando los usuarios se conecten a un servidor SSH que no tiene protecciones de criptografía posteriores al quantum que comienzan con OpenSSH 10.1. «La decisión ideal es refrescar el servidor para usar una implementación SSH que admita al menos uno de estos», dijeron los mantenedores. «Versiones OpenSSH 9.0 y decano soporte SNTRUP761X25519 SHA512 y versiones 9.9 y decano soporte MLKEM768X25519 SHA256. Si su servidor ya está ejecutando una de estas versiones, luego verifique si la opción KEXALGORITMS ha deshabilitado su uso».
  • La campaña de convento de credenciales se dirige a las cuentas super administrador -Una campaña de bajo bombeo está apuntando a los administradores de la abundancia ScreenConnect con alertas de correo electrónico falsas que advierten sobre un evento de inicio de sesión potencialmente sospechoso con el objetivo de robar sus credenciales para una posible implementación de ransomware. La actividad, en curso desde 2022, ha sido atribuida por Mimecast a MCTO3030. «La campaña emplea correos electrónicos de phishing de Spear entregados a través de cuentas del Servicio de correo electrónico simple de Amazon (SES), dirigido a profesionales de TI de suspensión nivel, incluidos directores, gerentes y personal de seguridad con privilegios elevados en entornos de captura de pantalla», dijo la compañía. «Los atacantes buscan específicamente credenciales de super administrador, que proporcionan un control integral sobre la infraestructura de golpe remoto en organizaciones enteras». Los atacantes están utilizando el entorno de código franco EvilGinx para provocar estas páginas de phishing y llevar a cabo como un proxy inverso entre la víctima y el sitio existente. El entorno puede capturar las credenciales de inicio de sesión y las cookies de sesión.
  • Más campañas con temas de captura de pantalla descubiertas – Otra campaña ha estudioso los correos electrónicos de phishing con invitaciones falsas de reuniones de teleobjetivo y las llamadas de los equipos de Microsoft para padecer a las víctimas a enlaces maliciosos que descargan el software ScreenConnect. «La armamento de una aparejo de dependencia de TI legítima, una diseñada para otorgar a los profesionales de TI, el golpe del sistema profundo para la resolución y el mantenimiento de los problemas, combinada con la ingeniería social y la suplantación de negocios convincente crea un simulación de múltiples capas que proporciona a los atacantes la doble delantera de la explotación de confianza y la diversión de seguridad», dijo AI anormal. Hasta ahora, la campaña ha atacado a más de 900 organizaciones, impactando una amplia viso de sectores y geografías. Igualmente se ha observado una campaña separada utilizando contenido espurio con temática AI-para atraer a los usuarios a ejecutar un instalador receloso y preconfigurado de screenconnect, que luego actúa como un punto de entrada para el malware Xworm, por confianza de la confianza. En un avance relacionado, se ha observado que los atacantes arman los enlaces seguros de Cisco («Secure-Web.cisco (.) Com») en Credenciales de campañas de phishing para eludir los filtros de escaneo de enlaces y red de red. «Los atacantes comprometen o crean cuentas interiormente de las organizaciones protegidas por Cisco», dijo Raven Ai. «Simplemente se envían por correo electrónico enlaces maliciosos, dejan que el sistema de Cisco los reescribiera en enlaces seguros y luego coseche estas URL para sus campañas». Cloudflare reveló una campaña similar que explota los enlaces de PROASPPOINT en julio de 2025.
  • TRM Labs advierte sobre la campaña de estafa que se hace tener lugar por la empresa – Blockchain Intelligence Company dijo que es consciente de las personas que usan dominios falsos para hacerse tener lugar por los laboratorios TRM y/o las agencias gubernamentales que trabajan en colaboración con TRM Labs. «Estos no son dominios TRM Labs, y los actores detrás de estos son estafadores», dijo la compañía. «TRM Labs no participa en los procesos de recuperación de fondos para las víctimas y no se asocia con las agencias gubernamentales a los mercadería de la recuperación del fondos. Desafortunadamente, este tipo de estafas se dirigen deliberadamente a las personas vulnerables, a menudo cuando son financieramente vulnerables, ya que ya han perdido fondos a las estafas». La advertencia se produce en el contexto de una alerta emitida por la Oficina Federal de Investigación de los Estados Unidos (FBI), instando a las víctimas de estafadores de criptomonedas a que estén atentos a las estafas en las que los estafadores se plantean como abogados que representan firmas de abogados ficticios para ayudarlos a ayudar con la recuperación de fondos, solo para engañarlos por segunda vez.
  • Nuevas cepas de ransomware detectadas – Se ha pasado una nueva tensión de ransomware con el nombre de Cephalus en la naturaleza. En los incidentes observados aproximadamente de mediados de agosto de 2025, el asociación detrás del casillero utilizó cuentas RDP comprometidas para el golpe original y utilizó el mega del servicio de almacenamiento en la abundancia para propósitos de exfiltración de datos probables. El avance se produce cuando las pandillas de ransomware subterráneas y nocturnas han valiente ataques de ransomware contra empresas en varios países e industrias, incluida Corea del Sur. En otro ataque analizado por Esentire, comprometió las credenciales de VPN de SSL SSL de MSP Sonicwall de terceros, sirvió como una vía de golpe original para Sinobi, un cambio de marca del ransomware Lynx. «Usando la cuenta comprometida, los actores de amenaza ejecutaron comandos para crear una nueva cuenta de administrador recinto, establecer su contraseña y agregarla al asociación de administradores de dominio», dijo Esentire. «Tanto la cuenta comprometida original como la cuenta recién creada se utilizaron después para el movimiento adjunto en toda la red».
  • Grupos de ransomware más activos – Akira, Cl0p, Qilin, Safepay y Ransomhub fueron los grupos de ransomware más activos en la primera centro de 2025, por punto de flash, lo que encontró que los ataques de ransomware aumentaron en un 179% en comparación con el medio año de 2024. El avance se produce en medio de cambios notables en el ecosistema de ransomware, donde los actores de amenaza prefieren cada vez más perjuicio sobre el secreto y han comenzado a incorporar LLM en sus herramientas. El paisaje asimismo ha seguido astillándose, con nuevas pandillas y renombrados proliferando a raíz de los derribos de la ley. MalwareBytes dijo que rastreó a 41 recién llegados entre julio de 2024 y junio de 2025, con más de 60 pandillas de ransomware totales que operan a la vez.
  • Los correos electrónicos de Microsoft para acelerar para combatir el spam -Microsoft dijo que comenzará a estrangular correos electrónicos a partir del 15 de octubre de 2025. El término se establecerá en 100 destinatarios externos por estructura por ventana de rodadura de 24 horas. A partir del 1 de diciembre, el coloso de la tecnología comenzará a implementar las restricciones entre los inquilinos, comenzando con inquilinos con menos de tres asientos y finalmente lograr a los inquilinos con más de 10,001 asientos para junio de 2026 «. A pesar de nuestros esfuerzos para minimizar el atropello, los spammers a menudo explotan a los inquilinos recién creados para cursar estallidos de spam de ‘.onmicrosoft.com’ las direcciones antiguamente de que podamos intervendir», dicho Microsoft. «Esto degrada la reputación de este dominio compartido, que afecta a todos los usuarios legítimos. Para avalar la confianza de la marca y la capacidad de entrega de correo electrónico, las organizaciones deben establecer y usar sus propios dominios personalizados para cursar un correo electrónico».
  • Sleepwalk, un ataque físico de canal adjunto para filtrar datos -Un asociación de académicos de la Universidad de Florida ha ideado un nuevo ataque de canal adjunto de hardware denominado Sleepwalk que explota el cambio de contexto y el consumo de energía de la CPU para filtrar datos confidenciales como claves criptográficas. «Introducimos una fuente de fuga de canal adjunto de potencia física que explota el pico de potencia observado durante un interruptor de contexto, provocado por la función de sueño incorporada del núcleo del sistema», dijeron los investigadores. «Observamos que este pico de potencia se correlaciona directamente con el consumo de energía durante el cambio de contexto y el consumo de energía residual del software ejecutado previamente. Notablemente, la persistencia de las firmas de energía residuales de las cargas de trabajo anteriores extiende el importancia de este canal adjunto más allá de la cuna de datos en los registros durante el cambio de contexto. A diferencia de los enfoques tradicionales que requieren analizar la potencia completa, aplicando la preparación externa de la cuna, o el síntesis de los datos, o el síntesis de los registros a diferencia de los enfoques tradicionales que requieren analizar la planta completa, aplicando la preparación externa, o la cuna de los datos, o el síntesis de los registros, a diferencia de los enfoques tradicionales que se requieren analizar la planta completa, aplicando la preparación externa, la preparación externa, o el síntesis de los datos, o el sinches. Los desencadenantes, esta técnica novedosa aprovecha solo la amplitud de un solo pico de potencia, simplificando significativamente el ataque «.
  • Sistemas de IA vulnerables a la inyección rápida a través del ataque de escalera de imágenes -En una forma novedosa de ataques de inyección rápidos dirigidos a chatbots de inteligencia industrial (IA), los atacantes pueden ocultar instrucciones maliciosas interiormente de las imágenes a gran escalera y hacer que las indicaciones se ejecuten cuando el agente de IA las desaparecido. El aviso del atacante es invisible para el ojo humano en la imagen de reincorporación resolución, pero aparece cuando la imagen está limitada por algoritmos de preprocesamiento. «Este ataque funciona porque los sistemas de IA a menudo reducen imágenes grandes antiguamente de enviarlas al maniquí: cuando se escalan, estas imágenes pueden revelar inyecciones rápidas que no son visibles a la resolución completa», dijo Trail of Bits. La compañía de seguridad cibernética ha valiente una aparejo de código franco emplazamiento Anamorpher para producir tales imágenes elaboradas.
  • Noticiero de lavado de cuentas de redes sociales de sitios de medios estatales chinos -Una red de 11 dominios y 16 cuentas de redes sociales complementarias en Facebook, Instagram, Mastodon, Threads y X ha sido enfrentado que lavan los artículos exclusivamente en inglés publicados originalmente por el medio de comunicación estatal chino CGTN. «Los activos seguramente usaron herramientas de IA para traducir y resumir artículos de CGTN, probablemente en un intento de disfrazar el origen del contenido», dijo Graphika. «Los activos de la red se diseminaron principalmente pro-china, contenido anti-oeste en inglés, francés, gachupin y vietnamita». Los hallazgos se produjeron cuando Estados Unidos le dijo a Dinamarca que se «calmara» por las acusaciones de operaciones encubiertas de influencia por parte de los ciudadanos estadounidenses en Groenlandia para sembrar la discordia entre Dinamarca y Groenlandia y promover la escisión de Groenlandia de Dinamarca a los Estados Unidos.
  • Prospección de familias secretas de aplicaciones VPN – Una nueva investigación realizada por la Universidad Estatal de Arizona y Citizen Lab descubrió que casi dos docenas de aplicaciones VPN en Google Play contienen debilidades de seguridad que afectan la privacidad de sus usuarios, exponiendo los datos transmitidos a los riesgos de descifrado. Un estudio posterior ha determinado que ocho aplicaciones VPN de conexión innovadora, brisa de otoño y clavo de limonada (Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master-Lite, Snap VPN, Androide VPN y Supernet VPN comparten los códigos, dependencias, dependencias de enchufación transmitidas e inesfatadas, y los métodos de enchufación inesperados, y los métodos de contraseña de hardos, y potenciales, potenciales, potenciales, dependientes, dependientes, dependientes, controles, y no saben a los métodos de enchufes inseguros, y se permiten los métodos de contraseña de hardos. atacantes para descifrar el tráfico de sus usuarios. Acumulativamente, estas aplicaciones tienen más de 380 millones de descargas en Google Play. Se descubrió que las tres compañías tenían lazos con Qihoo 360, una firma china de ciberseguridad que Estados Unidos sancionó en 2020.
  • Riesgos de seguridad en el ecosistema ESIM – Un nuevo estudio realizado por académicos de la Northeastern University ha enfrentado que muchos proveedores asociados con los datos de los usuarios de ESIMS en rutas a través de redes de telecomunicaciones extranjeras, incluida la infraestructura china, independientemente de la ubicación del heredero. «Muchos viajes esims enrutan el tráfico de usuarios a través de una infraestructura de terceros, a menudo ubicada en jurisdicciones extranjeras», dijeron los investigadores. «Esto puede exponer metadatos y contenido del heredero a redes fuera del país del heredero, lo que plantea preocupaciones sobre el control y la vigilancia territorial». Adicionalmente, el maniquí de aprovisionamiento digital crea nuevas oportunidades para el phishing y la falsificación. Los actores maliciosos pueden distribuir perfiles de ESIM falsos a través de códigos o sitios web QR fraudulentos, engañando a los usuarios para que instalaran configuraciones no autorizadas.
  • Comfyui Flaw explotado para entregar Pickai Backdoor – Los actores de amenaza han explotado vulnerabilidades en una plataforma de inteligencia industrial (AI) emplazamiento Comfyui para entregar una puerta trasera emplazamiento Pickai. «Pickai es una puerta trasera liviana escrita en C ++, diseñada para permitir la ejecución de comandos remotos y el golpe a la carcasa inversa», dijo XLab, y agregó que «incluye anti-famosos, falsificación de nombres de proceso y múltiples mecanismos de persistencia». Se han observado muestras de Pickai alojadas en el sitio oficial de Rubick.ai, una plataforma comercial con IA que sirve al sector de comercio electrónico en los Estados Unidos, India, Singapur y Oriente Medio. Las primeras versiones del malware se cargaron a Virustotal desde el 28 de febrero de 2025. La actividad ha comprometido casi 700 servidores infectados en todo el mundo, principalmente en Alemania, Estados Unidos y China.
  • Defecto en Lsquic Quic revelado -Los investigadores de seguridad cibernética han descubierto una vulnerabilidad denominada Quic-Leak (CVE-2025-54939) en la implementación de LSQUIC QUIC, lo que permite a los actores de amenaza de contrabandear paquetes malformados para agotar la memoria y cercar los servidores de Quic incluso antiguamente de que se establezca una conexión de conexión de conexión, por lo tanto, evitando los seguidos de los niveles de conexión de la conexión de Quic. El problema se ha solucionado en OpenLiTespeed 1.8.4 y Litespeed Web Server 6.3.4.
  • Sitios falsos que empujan las descargas de YouTube sirven proxyware – Los programas de proxyware se distribuyen a través de sitios de YouTube que permiten a los usuarios descargar videos. Los atacantes que anteriormente instalaron proxywares de DigitalPulse y HoneyGain asimismo están instalando Infatica Proxyware. Similar a los mineros de monedas, las ganancias de malware proxyware al utilizar los posibles del sistema, y ​​muchos sistemas en Corea del Sur se han convertido recientemente en el objetivo de estos ataques.
  • El senador estadounidense castiga el poder legal federal por negligencia – El senador estadounidense Ron Wyden acusó al poder legal federal de «negligencia e incompetencia» a posteriori de un truco flamante, según los informes, por los piratas informáticos con vínculos con el gobierno ruso, que expuso documentos judiciales confidenciales. La violación del sistema de presentación de casos electrónicos del poder legal salió a la luz por primera vez en un noticia de Politico hace tres semanas, que continuó diciendo que las vulnerabilidades explotadas en el hack fueron conocidas desde 2020. El New York Times, citando a personas familiarizadas con la intrusión, dijo que Rusia era «al menos parcialmente responsable» por el hack. «El enfoque coetáneo del poder legal federal a la tecnología de la información es una amenaza severa para nuestra seguridad franquista», escribió Wyden. «A los tribunales se les ha confiado la información más confidencial y confidencial de nuestra nación, incluidos documentos de seguridad franquista que podrían revelar fuentes y métodos a nuestros adversarios, y los documentos de investigación penales sellados que podrían permitir a los sospechosos huir de la equidad o atacar a los testigos».
  • La aplicación de la ley congela $ 50 millones en activos criptográficos vinculados a las estafas de cebo romántico -Varias compañías de criptomonedas, incluyendo Chainalysis, OKX, Binance y Tether, se han unido para congelar casi $ 50 millones robados a través de estafas de «cebo romántico» en colaboración con las autoridades con sede en APAC. «Una vez que se transfirieron los fondos, los estafadores enviaron ingresos a una billetera de consolidación que transfirió $ 46.9 millones en USDT (liado) a una colección de tres direcciones intermedias», dijo Chainalysis. «Los fondos se trasladaron a cinco billeteras diferentes». Los fondos fueron congelados por Tether en julio de 2024.
  • Corea del Sur extradita a la franquista china para ataques cibernéticos -Las autoridades surcoreanas han extraditado con éxito a un franquista chino de 34 primaveras sospechoso de orquestar una de las operaciones de piratería más sofisticadas dirigidas a personas de suspensión perfil e instituciones financieras. Se alega que ha robado 38 mil millones de cuentas financieras y cuentas de activos virtuales.
  • Antrópico y openAi se prueban la IA del otro – OpenAi ha pedido a las empresas de IA que prueben los sistemas de seguridad de sus rivales, ya que la compañía y los antrópicos realizaron evaluaciones de seguridad de los sistemas de IA de los demás para encarar riesgos como inyección rápida y envenenamiento por modelos. El avance se produjo cuando Anthrope reveló que un cibercriminal abusó de su aparejo de codificación de IA agente para automatizar una campaña de robo de datos y perjuicio a gran escalera, marcando una «nueva proceso» en cómo la IA está súper cargando cibercrimen. El chatbot luego analizó los documentos financieros pirateados de las compañías para ayudar a lograr a una cantidad realista de bitcoin para demandar a cambio de no filtrar el material robado. Igualmente escribió correos electrónicos de perjuicio sugeridos. «La operación demuestra una proceso preocupante en el delito cibernético asistido por AI, donde la IA sirve como un asesor técnico y un cirujano activo, lo que permite ataques que serían más difíciles y requieren mucho tiempo para que los actores individuales se ejecuten manualmente». Cuando primaveras de entrenamiento especializado una vez estremecieron la capacidad de los malos actores para alcanzar ataques a escalera, la nueva ola de delito cibernético asistido por AI podría sujetar aún más las barreras técnicas, permitiendo que incluso los novatos y los operadores no calificados realicen actividades complejas con facilidad. Por separado, Anthrope ha anunciado un cambio de política para capacitar a su chatbot Claude con datos de usuarios, dando a los usuarios existentes hasta el 28 de septiembre de 2025, para optar o optar por salir para continuar utilizando el servicio; Dice que permitirá a la compañía entregar «modelos de IA aún más capaces y avíos» y blindar las salvaguardas contra el uso dañino como las estafas y el atropello.
  • Servidores PLEX susceptibles a una nueva error -Plex ha abordado una vulnerabilidad de seguridad (CVE-2025-34158), derivada de la transferencia de posibles incorrecta entre las esferas, afectando las versiones de PLEX Media Server 1.41.7.x a 1.42.0.x. Se ha parcheado en las versiones 1.42.1.10060 o posteriores. Según los datos de Censys, hay 428,083 dispositivos que exponen la interfaz web PLEX Media Server, aunque no todos son necesariamente vulnerables.
  • Récipe falsa y sitios de norte cae malware – Se ha enfrentado que los sitios falsos disfrazados de los buscadores de la imagen, la fórmula y la norte educativa albergan un código sigiloso para emitir comandos sigilosos y arrojar malware en los sistemas de los usuarios que pueden robar información confidencial. Se evalúa que estos sitios alcanzan objetivos a través de campañas de malvertición.
LEER  Windows 0 días, exploits VPN, IA armada, antivirus secuestrado y más

🎥 seminarios web de ciberseguridad

  • Lo que cada líder de APPSEC debe asimilar sobre la seguridad del código a la abundancia (APPSEC flamante ya no se prostitución solo de detectar riesgos, se prostitución de asimilar cómo emergen y se extienden de código a abundancia. Sin visibilidad a través de ese delirio, los equipos enfrentan puntos ciegos, ruido y soluciones retrasadas. El contexto de código a abundancia cambia el engranaje, dando a los equipos de seguridad e ingeniería la claridad de asimilar más rápido, llevar a cabo antiguamente y proteger lo que más importa.
  • Pasos prácticos para prolongar a los agentes de IA a ileso de los ataques cibernéticos (agentes de IA están remodelando rápidamente los negocios, las decisiones automatizadoras, la racionalización de las operaciones y desbloquean nuevas oportunidades. Pero con la innovación viene el aventura. Únase a nuestro próximo seminario web con Michelle Agroskin de Auth0 para descubrir los desafíos de seguridad que los agentes de IA presentan y aprenden estrategias procesables para proteger su estructura. Descubra cómo mantenerse por delante de las amenazas mientras abraza con confianza el futuro de la innovación impulsada por la IA.
  • Desde huellas dactilares hasta trazas de código: cómo los expertos buscan a los agentes de Shadow AI – AI multiplicando en sus flujos de trabajo, nubes y procesos comerciales, a menudo sin aprobación. Estos «agentes de sombra» se mueven más rápido que la gobernanza, alimentados por identidades ocultas y despliegues de un solo clic. El resultado? Los equipos de seguridad quedan persiguiendo fantasmas. Únase a nuestro panel de expertos para descubrir dónde se esconde Shadow Ai, quién está detrás de él y cómo recuperar el control, sin desacelerar la innovación.
LEER  Mantener el ritmo con una superficie de ataque en expansión

🔧 Herramientas de ciberseguridad

  • PCAPXRAY – Investigar las capturas de paquetes puede ser gradual y difícil. PCAPXRAY acelera el proceso convirtiendo los archivos PCAP sin procesar en diagramas de red transparentes y visuales. Destaca los anfitriones, los flujos de tráfico, el uso de torres y la actividad maliciosa potencial: los investigadores y analistas de su vez ven rápidamente lo que está sucediendo interiormente de los datos sin cavar recorrido por recorrido.
  • KOPIA: es una aparejo de copia de seguridad y restauración de código franco que crea instantáneas cifradas de archivos y directorios seleccionados. En sitio de obtener imágenes de una máquina completa, le permite hacer una copia de seguridad de lo que más importa, ya sea para el almacenamiento recinto, las unidades de red o los proveedores de nubes como S3, Azure o Google Cloud. Con la deduplicación incorporada, la compresión y el secreto de extremo a extremo, Kopia ayuda a avalar que las copias de seguridad sean eficientes, seguras y bajo su control total.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Cómo cercar sus servidores MCP – Las herramientas de IA como GitHub Copilot se están volviendo más inteligentes todos los días. Con el Protocolo de contexto del maniquí (MCP), pueden conectarse a herramientas y servicios externos: hacer código, extraer datos o incluso musitar con sistemas internos. Eso es poderoso, pero asimismo es arriesgado: si un mal actor se cuela con un servidor MCP espurio o comprometido, su IA podría ser engañada en secretos con fugas, exponer credenciales o ejecutar comandos dañinos.

La decisión no es evitar MCP. Es para asegurarlo correctamente. Aquí hay una forma experiencia de hacerlo utilizando herramientas gratuitas.

1. Prueba antiguamente de encomendar: Antaño de encender cualquier servidor MCP, ejecute una auditoría.

  • Aparejo para probar: McPsafetyscanner
  • Lo que hace: escanea las definiciones de MCP, ejecuta ataques de prueba e informa si poco parece inseguro.

2. Envolver servidores con una red de seguridad: No exponga a los servidores directamente. Agregue una capa de destacamento.

  • Aparejo para probar: MCP Guardian (prototipo de código franco de la investigación).
  • Lo que hace: agrega autenticación, registra toda la actividad y bloquea las solicitudes sospechosas.

3. Prueba de estrés como un atacante: Simule las amenazas del mundo existente para ver cómo se mantiene su configuración.

  • Aparejo para probar: McPsecbench
  • Lo que hace: bichero diferentes patrones de ataque de MCP conocidos y mide la resiliencia.

4. Hacer cumplir las reglas como código: Agregue barandas para lo que AI puede y no puede hacer.

  • Herramientas para probar: Open Policy Agent (OPA) o Kyverno
  • Lo que hacen: constreñir políticas (por ejemplo, «solo lea de X API, nunca escriba») y las aplique automáticamente.

5. Vaya a la confianza cero en el golpe: Cada conexión debe ser verificada y limitada.

  • Use OAuth 2.1 para la autorización.
  • Agregue MTLS (TLS mutuo) para que tanto el cliente como el servidor demuestren quiénes son.
  • Envíe todos los registros a su SIEM (por ejemplo, elástico o Grafana Loki) para su monitoreo.

AI + MCP se está moviendo rápido. La recorrido entre la «automatización útil» y el «agujero de seguridad» es flaca. Al auditar, probar el estrés, hacer cumplir las reglas y el monitoreo, no solo está protegiendo contra los riesgos de hoy, sino que se está preparando para los de mañana.

Piénselo así: MCP le da a sus superpoderes de IA. Su trabajo es cerciorarse de que esos poderes no sean secuestrados.

Conclusión

El secreto de seguridad cuántica, el phishing impulsado por la IA, la identidad sin contraseñas, estas ya no son teorías distantes. Ya están dando forma al panorama de seguridad en silencio, debajo de los titulares del día a día.

La disciplina de obturación: los mayores choques a menudo llegan no como noticiario de última hora, sino como tendencias que crecen lentamente hasta que de repente no pueden ser ignoradas.

spot_img
Artículo anterior
Google está matando una característica definitoria para los teléfonos Android pronto, y hay una razón por la cual
Artículo siguiente
Encontré la forma más fácil de eliminarme de Internet, y es rápido
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado