Кибербезопасность
👉 от %username%
Подборка ресурсов по кибербезопасности
На русском 🇷🇺
Securitylab
последний пост 10 часов назад
Самая большая цифровая камера в истории начала снимать Вселенную
Самая большая цифровая камера в истории начала снимать Вселенную Самая большая цифровая камера в истории начала снимать Вселенную

Ученые надеются уточнить карту Млечного Пути, увидеть слабые галактики и найти новые подсказки о темной материи.

10 часов назад @ securitylab.ru
Чёрные дыры — не то, чем кажутся. 7 фактов, после которых придётся пересмотреть всё, что вы думали
Чёрные дыры — не то, чем кажутся. 7 фактов, после которых придётся пересмотреть всё, что вы думали

Никто никогда не видел чёрную дыру. Даже то оранжевое кольцо 2019 года — это не она

10 часов назад @ securitylab.ru
То, что отвергал Стив Джобс: Apple впервые сделает MacBook с сенсорным экраном
То, что отвергал Стив Джобс: Apple впервые сделает MacBook с сенсорным экраном То, что отвергал Стив Джобс: Apple впервые сделает MacBook с сенсорным экраном

Сенсорный MacBook Ultra может выйти уже в конце 2026 года.

11 часов назад @ securitylab.ru
Грифель карандаша и сверхпроводник будущего — оказалось, это один и тот же кусок углерода, просто другой толщины
Грифель карандаша и сверхпроводник будущего — оказалось, это один и тот же кусок углерода, просто другой толщины

В куске обычного графита физики нашли то, что должно появиться в технологиях через десятилетия.

12 часов назад @ securitylab.ru
Microsoft встроила Linux-контейнеры прямо в Windows: Docker больше не обязателен
Microsoft встроила Linux-контейнеры прямо в Windows: Docker больше не обязателен

Разработчики смогут запускать, собирать и отлаживать Linux-контейнеры без отдельной настройки сторонних инструментов.

12 часов назад @ securitylab.ru
Внутри термоядерного реактора плазма нагреется выше 100 млн°C. Китай испытал магнит, способный её удержать
Внутри термоядерного реактора плазма нагреется выше 100 млн°C. Китай испытал магнит, способный её удержать Внутри термоядерного реактора плазма нагреется выше 100 млн°C. Китай испытал магнит, способный её удержать

У них уже есть искусственное солнце EAST. Теперь настало время для следующего шага.

13 часов назад @ securitylab.ru
Flipper Zero запускает Busy Bar: одна кнопка блокирует дверь, гасит музыку и отключает соцсети
Flipper Zero запускает Busy Bar: одна кнопка блокирует дверь, гасит музыку и отключает соцсети

Flipper Zero начинает продажи настольного гаджета 14 июля.

13 часов назад @ securitylab.ru
Раньше на поиск одного сверхпроводника уходили годы. Теперь у нас есть способ находить их тысячами. И да, это снова про ИИ
Раньше на поиск одного сверхпроводника уходили годы. Теперь у нас есть способ находить их тысячами. И да, это снова про ИИ

Плетение корзин подсказало физикам, как выглядит сверхпроводимость нового типа.

14 часов назад @ securitylab.ru
От "раковой опухоли" до своего дистрибутива: Microsoft выпустила бесплатный Azure Linux 4.0
От "раковой опухоли" до своего дистрибутива: Microsoft выпустила бесплатный Azure Linux 4.0

Microsoft собрала свой Linux на основе Fedora.

14 часов назад @ securitylab.ru
27 лет у этого элемента было имя — но не было самого элемента. Гелий нашли на Солнце раньше, чем на Земле
27 лет у этого элемента было имя — но не было самого элемента. Гелий нашли на Солнце раньше, чем на Земле 27 лет у этого элемента было имя — но не было самого элемента. Гелий нашли на Солнце раньше, чем на Земле

Он заполняет воздушные шары по всему миру. Когда-то его не было даже в одной лаборатории планеты.

15 часов назад @ securitylab.ru
Поехал на курорт и встретил ФБР. Почему хакерам из Ирана лучше сидеть дома
Поехал на курорт и встретил ФБР. Почему хакерам из Ирана лучше сидеть дома

Опасного киберпреступника задержали спустя 8 лет после предъявления обвинений.

15 часов назад @ securitylab.ru
«Кажется, у нас жалоба». Как одно письмо «недовольного гостя» незаметно рушит защиту целой гостиницы
«Кажется, у нас жалоба». Как одно письмо «недовольного гостя» незаметно рушит защиту целой гостиницы

Сначала всё выглядит как обычное фото, но за привычной формой скрывается чужой сценарий.

16 часов назад @ securitylab.ru
Millenium RAT: вредоносное ПО по подписке, доступное любому желающему
Millenium RAT: вредоносное ПО по подписке, доступное любому желающему

Как троян за $50 захватил Windows-компьютеры по всему миру.

16 часов назад @ securitylab.ru
iPhone 18 Pro ещё даже не анонсирован — а его фотографии, детали и поставщики уже в даркнете
iPhone 18 Pro ещё даже не анонсирован — а его фотографии, детали и поставщики уже в даркнете iPhone 18 Pro ещё даже не анонсирован — а его фотографии, детали и поставщики уже в даркнете

200 тысяч файлов из архивов поставщика Apple оказались в сети. Внутри — будущий iPhone, Tesla и чипы Qualcomm.

17 часов назад @ securitylab.ru
До 25 лет тюрьмы: Задержаны хакеры, которые захватывали аккаунты на криптобиржах после перехвата телефонных номеров жертв
До 25 лет тюрьмы: Задержаны хакеры, которые захватывали аккаунты на криптобиржах после перехвата телефонных номеров жертв

Обычная SMS стоила инвесторам миллионы, а хакерам принесёт до 25 лет тюрьмы.

17 часов назад @ securitylab.ru
Anti-Malware Anti-Malware
последний пост 16 часов назад
Разрешите вас взломать: как BAS превращает пентест в управляемый процесс
Разрешите вас взломать: как BAS превращает пентест в управляемый процесс Разрешите вас взломать: как BAS превращает пентест в управляемый процесс

Реализовать такой подход можно как с участием эксперта, так и с применением автоматизированных решений.

Построение сценариев (что атаковать, в каком порядке, как развивать успех) осуществляется на основе жёстких правил (playbook), а не на основе обучения моделей на данных.

Разработчик прямо указывает, что продукт предназначен для тестирования безопасности в лабораторных условиях, а не для развёртывания в production-среде без должной изоляции.

Он не заменяет классический пентест, но делает его логическим продолжением, ведь ручные проверки дополняются постоянным контролем, а не заменяются им.

Машинное обучение и большие языковые модели уже помогают обрабатывать данные и формировать отчёты, но…

16 часов назад @ anti-malware.ru
2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам
2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам 2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам

В результате появляются обходные сценарии, и неудобная схема 2FA со временем начинает снижать не только продуктивность, но и реальный уровень безопасности.

Стоимость 2FA — это не только лицензииЗатраты на 2FA не ограничиваются покупкой лицензий.

Если процессы восстановления доступа не централизованы и не автоматизированы, ИТ-команда начинает буквально «тушить пожары» вместо развития инфраструктуры.

Как внедрять 2FA в крупной компании без остановки процессовОдна из ошибок при внедрении 2FA в крупной компании — попытка перевести всех пользователей на новые правила одновременно.

Поэтому при выборе 2FA важно не только закрыть базовые риски, но и выстроить систему, которую будет удобно поддержив…

21 час назад @ anti-malware.ru
Облачная инфраструктура для бизнеса: как выбрать и не промахнуться
Облачная инфраструктура для бизнеса: как выбрать и не промахнуться Облачная инфраструктура для бизнеса: как выбрать и не промахнуться

В этом случае имеет смысл протестировать нескольких провайдеров и сравнить не только стоимость услуг, но и производительность инфраструктуры на реальных задачах.

Инфраструктура должна поддерживать развитие бизнеса, а не становиться ограничением для дальнейшего роста.

Поэтому выбор инфраструктуры должен выполняться не для компании в целом, а для конкретных сервисов и сценариев их использования.

Их смысл в том, чтобы сгладить ошибки в расчётах, проектировании или прогнозировании нагрузки и не доводить их до критических последствий для бизнеса.

Соответствие масштабов бизнеса и провайдераИдея о том, что небольшим компаниям подходит небольшой провайдер, а крупным — крупный, не является универсал…

21 час назад @ anti-malware.ru
Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга
Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга

11 рублей за подписку стали приманкой, которая принесла мошенникам около 15 миллионов рублей.

«Ромашка Сервис» и архитектура обманаВ марте 2026 года в юрисдикции СНГ регистрируется организация с безобидным названием «Ромашка Сервис».

Теперь мы „Ромашка Сервис“.

Бесплатный доступ утрачен, но вы можете поддержать разработку, оформив подписку всего за 11 рублей в месяц».

Информация о том, как остановить списания, на сайте «Ромашка Сервис» отсутствовала.

1 day, 13 hours назад @ anti-malware.ru
Кража данных через ИИ-агента: как атакуют через письма, сайты и календари
Кража данных через ИИ-агента: как атакуют через письма, сайты и календари Кража данных через ИИ-агента: как атакуют через письма, сайты и календари

Системы предотвращения утечек данных (Data Leak Prevention, DLP), системы управления событиями и информацией безопасности (Security Information and Event Management, SIEM), антивирусы — видят обычный легитимный трафик и не поднимают тревогу.

Как защитить данныеПомечайте содержимое писем как недоверенный контент и не смешивайте его с системными инструкциями агента.

Он работает как универсальный переходник: один раз присоединили, и агент может обращаться к CRM, базам данных, файловым хранилищам, облачным сервисам.

Подмена после установки (Rug pull) — сервер сначала работает честно, набирает доверие, а затем подменяется, и агент продолжает отдавать ему данные.

Политики безопасности применяются…

4 days, 14 hours назад @ anti-malware.ru
САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела
САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела

Вы создаёте профили — например, «удалённый сотрудник», «бухгалтер», «подрядчик» — и для каждого из них настраиваете свою политику сбора данных, различную логику проверок и сценариев реагирования.

На этих ОС доступны те же механизмы контроля, что и на Windows, macOS.

Сегодня бизнес работает не только на ноутбуках и ПК, но и на телефонах, планшетах на Android и iOS.

Это нужно, чтобы закрыть требования к усиленной аутентификации для всех сотрудников и для доступа к критическим системам.

Мы не стоим на месте и стараемся заглядывать на шаг вперёд, чтобы САКУРА 3 оставалась современным, востребованным инструментом для безопасности.

4 days, 16 hours назад @ anti-malware.ru
Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках
Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках

Эксперты рассказали, как выстроить эффективный процесс управления конфигурациями и снизить риски.

По статистике, до 60 % всех программных инцидентов связаны именно с ошибками в конфигурации, а не с багами в коде или стандартными уязвимостями.

Светозар Яхонтов добавил практическую точку зрения, назвав самое короткое и ёмкое определение: конфигурация — это и есть ИТ-инфраструктура.

Во втором опросе зрители поделились мнением, кто получит больше пользы от внедрения процесса управления конфигурациями в их компании:Руководство/бизнес — 43 %.

Павел Попов: «Искусственный интеллект уже пришёл в Offensive Security и начинает не только помогать в поиске уязвимостей, но и участвовать в написании станд…

5 days, 13 hours назад @ anti-malware.ru
Обзор рынка систем защиты баз данных (Database Security)
Обзор рынка систем защиты баз данных (Database Security) Обзор рынка систем защиты баз данных (Database Security)

Анализируем рынок систем защиты баз данных и актуальные решения российских вендоров.

Что такое системы защиты баз данных и зачем они нужныРынок систем защиты баз данных (Database Security) активно развивается, отвечая на растущие угрозы кибербезопасности и нормативные требования.

Российский рынок систем защиты баз данныхРоссийский рынок защиты баз данных развивается под действием импортозамещения СУБД и ужесточения ответственности за утечки.

Ниже — обзор российских систем защиты баз данных.

«Спектр | DAM»«Спектр | DAM» — модуль мониторинга активности баз данных в составе платформы защиты данных «Спектр» компании «Сайберпик».

5 days, 17 hours назад @ anti-malware.ru
WAF Dallas Lock 3.1: новые возможности и преимущества
WAF Dallas Lock 3.1: новые возможности и преимущества WAF Dallas Lock 3.1: новые возможности и преимущества

Новые возможности WAF Dallas Lock 3.1В июне 2026 года компания «Конфидент» официально анонсировала выпуск версии 3.1 WAF Dallas Lock, в которую вошли доработки за последние полгода.

Теперь WAF Dallas Lock поддерживает сертификаты с ГОСТ-криптографией, выданные аккредитованными УЦ, включая портал «Госуслуги» и НУЦ Минцифры РФ.

Карты доступа — механизм, позволяющий ограничивать пользователям доступ к различным разделам настроек WAF Dallas Lock.

Сравнение версий 2.16 и 3.1 WAF Dallas LockДля удобства различия версий 2.16 и 3.1 WAF Dallas Lock представлены в таблице.

Сравнительные характеристики версий 2.16 и 3.1 WAF Dallas Lock№ Характеристика WAF Dallas Lock 2.16 WAF Dallas Lock 3.1 1.

6 days, 15 hours назад @ anti-malware.ru
Защита АСУ ТП: как промышленным предприятиям противостоять кибератакам
Защита АСУ ТП: как промышленным предприятиям противостоять кибератакам Защита АСУ ТП: как промышленным предприятиям противостоять кибератакам

Реагирование на инцидент: что можно и что нельзя делатьАнтон Кутепов: «Если ты во время инцидента пытаешься понять, что тебе сделать — ты уже проиграл.

Жизненный цикл АСУ ТП — в среднем 7 лет.

Но в ближайшие годы ИИ войдёт и в мониторинг: он будет не только анализировать инциденты, но и предусматривать риски и угрозы».

Денис Назаренко: «Требования бизнеса и обеспечения безопасности заставят команды ИТ, ИБ и АСУ ТП интегрироваться, что приведёт к качественному росту понимания процессов и выстраиванию проектов по защите АСУ ТП.

ВыводыЗащита АСУ ТП требует комплексного подхода, который начинается не с закупки оборудования, а с признания проблемы и выстраивания системной работы.

1 week назад @ anti-malware.ru
Обзор Astra Linux Server 1.8, защищённой российской серверной операционной системы
Обзор Astra Linux Server 1.8, защищённой российской серверной операционной системы Обзор Astra Linux Server 1.8, защищённой российской серверной операционной системы

Astra Linux Server — защищённая операционная система, одна из ключевых редакций Astra Linux Special Edition (запись в реестре отечественного ПО № 369 от 08.04.2016).

Для их устранения в Astra Linux Server 1.8 встроен комплекс средств защиты, направленных также на противодействие актуальным классам угроз, включая zero-day-атаки.

Профили в Astra Linux Server 1.8Уровни защищённостиУровень защищённости для каждого элемента информационной системы выбирается в зависимости от актуальных угроз безопасности.

Архитектурные особенности Astra Linux Server 1.8Astra Linux Server представляет собой классический Linux-дистрибутив.

Завершение миграции на Astra LinuxЛицензирование, техподдержка Astra Linux S…

1 week назад @ anti-malware.ru
Astra Server Core: зачем рынку серверная ОС с доменным управлением и PKI
Astra Server Core: зачем рынку серверная ОС с доменным управлением и PKI Astra Server Core: зачем рынку серверная ОС с доменным управлением и PKI

С другой стороны, AD была самодостаточной и не требовала установки сторонних утилит.

AD — основной инструмент управления пользователями (в том числе мобильными и удалёнными) и их группами в среде Windows.

Как и в других службах каталогов, здесь реализованы централизованные идентификация и аутентификация пользователей.

Он существенно ужесточает требования к системам идентификации и аутентификации пользователей и распространяется не только на госструктуры, компании с госучастием и подведомственные организации.

Быстрее и эффективнее реализовывать такие проекты совместно с вендорами и интеграторами, которые помогают подобрать решение под конкретные задачи и внедрить его.

1 week, 1 day назад @ anti-malware.ru
Low-Code в ИБ: как собирать процессы без разработки с нуля
Low-Code в ИБ: как собирать процессы без разработки с нуля Low-Code в ИБ: как собирать процессы без разработки с нуля

Суть в том, что вместо написания кода система работает через описание логики: нужно в понятном виде задать, что именно должно происходить и в какой последовательности.

Ева Беляева: «Но точно No-Code / Low-Code технологии в Security Vision позволяют создавать цифровые продукты без необходимости писать код с нуля, экономя месяцы разработки.

Как выглядит конструкторРассмотрим на примере, как работает конструктор и с чего начинается работа с данными, которые поступают в систему.

Обработка результатов в Security VisionТакой же подход применяется и в сценариях взаимодействия с конечными системами.

По итогам стажировки у специалистов формируется понимание того, как устроены продукты, как они разра…

1 week, 1 day назад @ anti-malware.ru
Промпт-инъекции и атаки на LLM: как защитить ИИ-модели и ИИ-агентов
Промпт-инъекции и атаки на LLM: как защитить ИИ-модели и ИИ-агентов Промпт-инъекции и атаки на LLM: как защитить ИИ-модели и ИИ-агентов

Теперь объектом взлома становятся не только серверы и базы данных, но и алгоритмы, которые принимают решения.

Model Inversion и Extraction (кража модели или восстановление данных из её памяти)Эти атаки направлены не на манипуляцию поведением модели, а на кражу самой модели или восстановление конфиденциальных данных из её памяти.

При грамотном подходе это ускоряет работу, при небрежном — уводит чувствительные данные туда, где бизнес их не видит и не контролирует.

Игнорирование Федерального закона № 152-ФЗ, отраслевых стандартов, требований к защите персональных данных и коммерческой тайны добавляет юридическое измерение к техническим и репутационным последствиям.

Необходимо разграничение пра…

1 week, 1 day назад @ anti-malware.ru
Социальная инженерия, фишинг и Android-банкеры: чему учат реальные инциденты
Социальная инженерия, фишинг и Android-банкеры: чему учат реальные инциденты Социальная инженерия, фишинг и Android-банкеры: чему учат реальные инциденты

Мы рассматриваем ИБ шире и не ограничиваемся выполнением рабочих задач.

Например, сам ресурс расположен на домене .com, а не на официальном российском адресе.

Поэтому человек после атаки несколько дней «не в себе» и не может толком вспомнить подробности произошедшего.

Для этого нужна понятная линия консультаций, простые правила остановки и выработанная привычка задавать вопросы ИБ превентивно, а не после получения ущерба.

Современная поверхность атаки проходит не только через инфраструктуру и сетевой периметр, но и через внимание, страх и доверие человека.

1 week, 4 days назад @ anti-malware.ru
Хабр: ИБ Хабр: ИБ
последний пост 8 часов назад
Обзор выставки «Ключ к доверию. Безопасность в эпоху высоких технологий»
Обзор выставки «Ключ к доверию. Безопасность в эпоху высоких технологий» Обзор выставки «Ключ к доверию. Безопасность в эпоху высоких технологий»

Великая депрессия в США и гиперинфляция в Германии привели к обрушению рынка.

В межвоенный период подобные технологии применялись и в неэтичных практиках.

Такие станции начали внедряться в США и Великобритании уже в 1950-х годах.Также на выставке объясняется принцип работы тонального набора.

Ефремов добавил, что схожие атаки теоретически возможны и в отношении современных карт.

Кстати, ведь выставкой всё не ограничивается, и всегда можно пойти в основную экспозицию музея криптографии, кстати, я готовлю обзор музея.

8 часов назад @ habr.com
Социальная инженерия: психология на грани фола
Социальная инженерия: психология на грани фола Социальная инженерия: психология на грани фола

Социальная инженерия — это набор психологических приемов, с помощью которых злоумышленник убеждает человека добровольно выполнить нужные ему действия.

Подобные атаки строятся не на технических знаниях, а на умении вести разговор и вызывать доверие.

Пока основная задача заключается в сборе информации, а не в эксплуатации обнаруженных уязвимостей.

Предварительная отработка сценариев помогает избежать ошибок, повысить эффективность действий и снизить вероятность того, что злоумышленник или специалист по тестированию будет замечен.

Такой анализ помогает понять, какие меры оказались недостаточными и что следует изменить, чтобы подобная ситуация не повторилась.

15 часов назад @ habr.com
Passkey без Apple, Google и облаков: делаем собственный аппаратный ключ за 4 евро
Passkey без Apple, Google и облаков: делаем собственный аппаратный ключ за 4 евро Passkey без Apple, Google и облаков: делаем собственный аппаратный ключ за 4 евро

И дело здесь не в том, что производитель пожадничал — в таких устройствах данные находятся в особых защищенных микросхемах — Secure Element (SE).

Сама же память создается не на современных техпроцессах, а на старых (90-350 нм вместо 3-5 нм).

Система видит, что ваш аппаратный ключ привязан еще и к другим, и вполне может расценить это, как попытку обойти ограничения.

Зажимаем кнопку BOOT и в этом состоянии втыкаем в USB-порт.

Для гиков это удобно, а вот для простых пользователей не особо, и как раз это лазейка для монетизации.

16 часов назад @ habr.com
Микрофронтенды. Стабильная интеграция нескольких SPA-приложений. Часть 2
Микрофронтенды. Стабильная интеграция нескольких SPA-приложений. Часть 2 Микрофронтенды. Стабильная интеграция нескольких SPA-приложений. Часть 2

Минус подхода — получается, что мы создаём низкоуровневый контракт, то есть начинаем строить какие-то связи ещё на этапе разработки.

Так что мы пользуемся средствами модульной федерации — шарингом библиотек.

Например, когда мы пишем widget registry, мы не можем взять какой-то публичный для всех метод.

Но тут, как и с синглтон-библиотеками, надо помнить про обратную совместимость и тщательно контролировать любые расхождения.

На мой взгляд, вся эта сложность оправдана, потому что это помогла нам преодолеть все архитектурные вызовы, которые перед нами стояли.

16 часов назад @ habr.com
Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса
Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса

По данным отчета, небольшие компании остаются мишенью как для операторов массовых вредоносных кампаний, так и для тех, кто использует подрядчика как точку входа в инфраструктуру более крупной организации.

Всего было обнаружено более 1100 уникальных образцов такого ПО — на 21% больше, чем в прошлом году.

Что еще произошлоЕще одна публикация экспертов «Лаборатории Касперского» разбирает уязвимость CVE-2024-2658 в ПО Schneider Electric Floating License Manager.

Свежее вредоносное ПО для MacOS, названное Gaslight, пытается вводить в заблуждение ИИ-ассистенты, задачей которых является анализ потенциально опасного кода.

Свежая научная работа показывает, что так называемый вайб-кодинг, или автомат…

16 часов назад @ habr.com
Агенты удаляют файлы, сливают данные и сами себя взламывают: как устроена безопасность ИИ‑систем в 2026 году
Агенты удаляют файлы, сливают данные и сами себя взламывают: как устроена безопасность ИИ‑систем в 2026 году Агенты удаляют файлы, сливают данные и сами себя взламывают: как устроена безопасность ИИ‑систем в 2026 году

Потому что такие кибератаки перестали быть экзотикой, а защита ИИ стала отдельная дисциплина с собственной таксономией, инструментарием и, к сожалению, реальными инцидентами.

Также развивается концепция Instruction Hierarchy — иерархии инструкций, когда модель на уровне архитектуры учится приоритизировать системные сообщения над пользовательскими.

Классическая схема: дополнительная модель-классификатор ставится на вход и выход основной модели, оценивая запросы и ответы на предмет опасного контента.

Скиллы и инструменты для агентов активно появляются в специализированных скилл-хабах — и, как и в случае с пакетными менеджерами, ничто не гарантирует их безопасность.

Эти атаки задокументированы…

17 часов назад @ habr.com
Роковая ошибка Германа Грефа: он не боится ИИ
Роковая ошибка Германа Грефа: он не боится ИИ Роковая ошибка Германа Грефа: он не боится ИИ

Об этом он в очередной раз говорил 19 июня в ходе состоявшегося в СберУниверситете первого форума «Больше чем менеджмент».

Немного ранее, 5 июня в блогерской студии от «VK Видео» на ПМЭФ–2026 он рассуждал об отношении к ИИ в обществе.

Отношение Германа Грефа к ИИ кажется чрезмерно оптимистичным, так как в настоящее время искусственный интеллект является предвзятым, часто делает ошибки, и не позволяет проверить ход своих рассуждений.

Таким образом, развитию ИИ в России мешают не только ошибки управленцев, но и то, что они совершенно не бояться делать их, и не стремятся не устранять потенциальные риски, а не замечать их.

Данная статья, как и упомянутые выше статьи из Продолжения Дневника писа…

17 часов назад @ habr.com
Социальная инженерия против подростков: почему «цифровое поколение» разводят чаще пенсионеров
Социальная инженерия против подростков: почему «цифровое поколение» разводят чаще пенсионеров Социальная инженерия против подростков: почему «цифровое поколение» разводят чаще пенсионеров

Поколение альфа кажутся технически грамотнее родителей: ещё бы, они с детства с гаджетами.

Вот только от мошенников это их не спасает, потому что те умеют бить по уязвимости детей к манипуляциям.

Всё ещё можно исправить: нужно просто перевести деньги с родительской карты проверенному человеку прямо сейчас.

Менее очевидная и ещё более опасная история — дропперство.

Выглядит безопасно: ты же не даёшь никому свои личные данные, деньги переводишь физлицу.

17 часов назад @ habr.com
Анонимность в интернете, OSINT и цифровой след: почему спрятаться нельзя, но можно усложнить поиск
Анонимность в интернете, OSINT и цифровой след: почему спрятаться нельзя, но можно усложнить поиск Анонимность в интернете, OSINT и цифровой след: почему спрятаться нельзя, но можно усложнить поиск

Но создавать новую машину стало почти невозможно: Зеленоград отстал, заводы в Минске оказались в другой стране, в Пензе тоже возникли проблемы.

В школе есть момент, где объясняют: если А, то Б; если Б, то С; значит, если А, то С. Это базовый логический вывод.

Человек хочет быть причастным и не проверяет реальную связь между шампунем и успехом.

Это не магия и не обязательно дорогая услуга.

Пожалуй, единственное, чему я завидую, – людям, которые могут почесать лопатку: у меня чешется, а я не дотягиваюсь.

18 часов назад @ habr.com
Актуальные киберугрозы веб-приложений и инфраструктуры разработки
Актуальные киберугрозы веб-приложений и инфраструктуры разработки Актуальные киберугрозы веб-приложений и инфраструктуры разработки

Категории жертв атак на веб-ресурсы (2025)Схожая картина наблюдается в сфере онлайн-сервисов, где специфика бизнеса изначально завязана на веб-интерфейсы: здесь на долю веб-приложений пришлось абсолютное большинство инцидентов — 79%.

Динамика изменения доли веб-ресурсов как объекта кибератак в разных отраслях (2022–2025)На этом фоне выделяется динамика атак на финансовый сектор.

Доля веб-сервисов в успешных атаках на банки и финансовые институты снизилась до 15%, показав падение на 7 процентных пунктов по сравнению с 2024 годом.

Искусственный интеллект уже хорошо справляется с поиском и верификацией распространенных веб-уязвимостей, таких как небезопасные прямые ссылки на объекты и внедрени…

18 часов назад @ habr.com
LLM/AI Firewall и Agent Runtime Security: как защитить корпоративных ИИ-агентов в 2026 году
LLM/AI Firewall и Agent Runtime Security: как защитить корпоративных ИИ-агентов в 2026 году LLM/AI Firewall и Agent Runtime Security: как защитить корпоративных ИИ-агентов в 2026 году

В этой статье разберём, почему так произошло, как эволюционировала защита ИИ систем и как с задачами справляется INFERA AI.Firewall, в котором уже реализованы ключевые элементы этой парадигмы.

Некоторые компании делают отдельные продукты, другие развивают функционал LLM/AI Firewall, добавляя runtime-слой, который контролирует агента не только на уровне текста, но и на уровне действий, идентичности и состояния.

Дополнительно, как и в случае с ограничением для сотрудников можно задать ограничения по частоте и общему количеству токенов, чтобы ограничить затраты на работу агента и противодействовать атакам на отказ в обслуживании и неконтролируемому расходованию ресурсов.

В-третьих, критически …

18 часов назад @ habr.com
Почему cron — самый опасный инструмент в Linux
Почему cron — самый опасный инструмент в Linux Почему cron — самый опасный инструмент в Linux

Однако в Red Hat-подобных системах сегодня чаще всего стоит cronie, а в Debian и Ubuntu используется Vixie cron 3.0pl1 с патчами.

Ошибки в cron не видныКогда cron запускает процесс, у него нет терминала и интерактивной shell-сессии.

Cron запускает задачу не в вашем окруженииВторая проблема состоит в том, что зачастую при тестировании команда работает, а из cron падает.

В связи с этим, перед добавлением задачи в cron, её лучше прогнать в пустом окружении.

В интерактивной сессии mysqldump, python, node, flock или logger могут находиться через ваш PATH, а в cron такого PATH уже не будет.

19 часов назад @ habr.com
После прочтения сжечь. Как устроен zero-knowledge сервис, где сервер не видит ключ
После прочтения сжечь. Как устроен zero-knowledge сервис, где сервер не видит ключ После прочтения сжечь. Как устроен zero-knowledge сервис, где сервер не видит ключ

Ключ добавляется в ссылку как URL-фрагмент: https://burnafterread.casablanque.com/d/AbCdEf#k=Главный вопрос который обычно возникает: а разве браузер не отправляет фрагмент на сервер?

Проверить это легко: открыть DevTools → Network, открыть любую ссылку с дропом и убедиться что в запросах нет фрагмента.

Почему ключ передаётся в URL fragment, а не через ECDH?

Потому что не было задачи безопасно договориться о ключе между двумя сторонами.

URL fragment ( #... ) идеально подходит для этой задачи, поскольку согласно RFC 9110 он никогда не включается в http-запрос и не попадает на сервер.

20 часов назад @ habr.com
Шесть недель с agentic AI против фрода в adversarial-системе
Шесть недель с agentic AI против фрода в adversarial-системе Шесть недель с agentic AI против фрода в adversarial-системе

И в системах с живым противником есть ещё одна неприятная деталь: рабочая защита становится сигналом для другой стороны.

Детали слегка обобщены и обезличены, потому что в антифроде лишняя конкретика быстро превращается в инструкцию для другой стороны.

События жили в Kafka, аналитика в ClickHouse, расследования в OpenSearch, всё это ехало на Kubernetes.

Он поменял операционку: быстрее разбор, меньше бесполезных ручных проверок, лучше связка сигналов из систем, которые раньше делали вид, что не знакомы.

Просто победа не стоит на месте, и в системах с живым противником любая рабочая защита очень быстро становится учебным материалом для следующей атаки.

21 час назад @ habr.com
AuthKeyDuplicatedError в Telegram: спасаем забаненный парсер через дамп tdata и спуфинг сессии
AuthKeyDuplicatedError в Telegram: спасаем забаненный парсер через дамп tdata и спуфинг сессии AuthKeyDuplicatedError в Telegram: спасаем забаненный парсер через дамп tdata и спуфинг сессии

Я случайно запустил один и тот же файл .session (Telethon) одновременно на старом и новом серверах.

В этой статье я покажу, как я вытаскивал парсер (Python 3.11, Telethon) из серого списка Telegram.

Под капотом проблемы: Для аккаунтов, попавших в серый список, Telegram отключает возможность получения кодов через старые слои API (API Layers).

Telegram Desktop (C++/Qt, с сайта): Хранит ключи в проприетарном бинарном формате в папке tdata.

Работа с Telegram API в 2026 году — это постоянная борьба с антифродом.

21 час назад @ habr.com
Хакер Хакер
последний пост 55 минут назад
Как писать с LLM. Колонка главреда
Как писать с LLM. Колонка главреда Как писать с LLM. Колонка главреда

Они дают отличный буст начина­ющим писате­лям, и исполь­зовать LLM в работе мож­но и нуж­но.

Так что если будешь писать сам, то намуча­ешь­ся, а если сге­нери­руешь весь текст, то вый­дет бес­полез­ная ерун­да.

Иног­да резуль­тат быва­ет полезен в качес­тве чер­новика, но здесь есть ловуш­ка: перепи­сать‑то LLM перепи­шет, но в сво­ем очень узна­ваемом сти­ле.

Если LLM не написа­ла «это не то, это — то» или «это не прос­то что‑то, это что‑то еще», зна­чит, сго­дит­ся.

Дос­таточ­но мно­го читать и иног­да общать­ся с LLM, и вот уже прек­расно отли­чаешь, где автор схал­турил.

55 минут назад @ xakep.ru
Через кошельки Qiwi за границу вывели 30 млрд рублей
Через кошельки Qiwi за границу вывели 30 млрд рублей Через кошельки Qiwi за границу вывели 30 млрд рублей

В 2022–2023 годах через них на подставных лиц зарегистрировали более 24 000 Qiwi-кошельков, не привязанных к банковским счетам.

По версии следствия, кошельки оформлялись на подставных лиц с использованием похищенных персональных данных.

Как считают в МВД, в результате работы этой схемы злоумышленники вывели из России за границу более 30 млрд рублей.

Также кошельки обслуживали нелегальные онлайн-казино, букмекерские конторы, использовались для наркоторговли и операций с криптовалютой, позволяя переводить средства в теневой сектор.

Сначала их владельцам запретили снимать наличные и пополнять баланс, затем Центробанк ограничил переводы на анонимные карты и в зарубежные магазины, за которыми не…

11 часов назад @ xakep.ru
Червь Miasma атаковал LeoPlatform и пакеты RStreams
Червь Miasma атаковал LeoPlatform и пакеты RStreams Червь Miasma атаковал LeoPlatform и пакеты RStreams

В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai-Hulud, Miasma и Hades.

Все началось с того, что злоумышленники взломали npm-аккаунт мейнтейнера LeoPlatform, после чего опубликовали вредоносные версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также скомпрометировали блокчейн-проект Verana.

Предположительно, хакеры использовали утекшие учетные данные и сумели получить токен npm.

Малварь похищает учетные данные AWS, Azure и Google Cloud, токены GitHub и npm, секреты Kubernetes, данные HashiCorp Vault и 1Password.

При запуске workflow с одним из скомпрометированных тегов вредонос выполнялся внутри раннера GitHub Actions и похищал GitHub OIDC и Pe…

13 часов назад @ xakep.ru
MEGANews. Cамые важные события в мире инфосека за июнь
MEGANews. Cамые важные события в мире инфосека за июнь MEGANews. Cамые важные события в мире инфосека за июнь

По­каза­тель­но, что в Рос­сии, в отли­чие от Запада, соб­люда­ются пра­вовые нор­мы.

У отдель­ных регис­тра­торов вре­донос­ными ока­зались более полови­ны новых доменов, а в некото­рых слу­чаях их доля дос­тигала 80%.

Тем не менее иссле­дова­тели наш­ли обходной путь: вынуди­ли про­цесс заг­ружать файл, который нель­зя исполнить (в час­тнос­ти, файл не в фор­мате ELF).

От­меча­ется, что в Nginx проб­лема устра­нена в вер­сии 1.29.8, где появил­ся новый параметр max_headers.

В 82% слу­чаев ата­кующие добива­лись вып­латы выкупа, а в 18% пытались раз­рушить инфраструк­туру цели.

15 часов назад @ xakep.ru
Операторы будут автоматически передавать данные в единую базу IMEI
Операторы будут автоматически передавать данные в единую базу IMEI Операторы будут автоматически передавать данные в единую базу IMEI

В Минцифры подготовили правила работы единой базы IMEI, которая появится в России в рамках второго пакета антифрод-мер.

Выяснилось, что передавать идентификаторы устройств в базу будут операторы связи и Федеральная таможенная служба.

Помимо прочего, документ предусматривает создание единой государственной базы IMEI, наполнять которую будут операторы связи и уполномоченные органы.

Операторы связи загрузят в базу данные обо всех устройствах, которые ранее регистрировались в их сетях.

Операторы располагают сведениями об IMEI и используют их в своей текущей работе по эксплуатации сетей связи», — подчеркивают в Минцифры и добавляют, что плата за добавление идентификатора в базу тоже не предусмот…

16 часов назад @ xakep.ru
У японских интернет-провайдеров утекли данные 14,22 млн абонентов
У японских интернет-провайдеров утекли данные 14,22 млн абонентов У японских интернет-провайдеров утекли данные 14,22 млн абонентов

В результате в руки злоумышленников могли попасть 14,22 млн email-адресов и паролей пользователей.

Специалисты KDDI сообщают, что обнаружили компрометацию своих систем 17 июня 2026 года, и после этого атакующих оперативно заблокировали.

Считается, что хакеры могли похитить 14,22 млн записей, содержащих email-адреса и пароли абонентов.

Эти данные могут принадлежать действующим и бывшим клиентам перечисленных провайдеров, а также неактивным учетным записям, которыми давно не пользуются.

Однако представители KDDI не уточняют, какими именно методами были защищены эти пароли, а какая доля паролей могла храниться открытым текстом.

18 часов назад @ xakep.ru
Linux-уязвимость DirtyClone помогает повысить права до уровня root
Linux-уязвимость DirtyClone помогает повысить права до уровня root Linux-уязвимость DirtyClone помогает повысить права до уровня root

Исследователи из компании JFrog обнаружили уязвимость DirtyClone в ядре Linux и уже опубликовали PoC-эксплоит для нее.

Баг позволяет локальному пользователю изменить содержимое страничного кеша через клонированный сетевой пакет, в итоге повысив свои привилегии до уровня root.

После потери флага ядро перестает учитывать, что фрагменты пакета ссылаются на страничный кеш, и разрешает сетевому стеку изменять эти страницы.

Во время дешифрования ядро записывает подготовленные атакующим байты непосредственно в страницы кеша, изменяя инструкции, отвечающие за проверку аутентификации в su.

Блокировка этих модулей отключит IPsec и AFS и сработает лишь в том случае, если соответствующая поддержка не в…

20 часов назад @ xakep.ru
В curl исправили уязвимость 25-летней давности
В curl исправили уязвимость 25-летней давности В curl исправили уязвимость 25-летней давности

Самой старой проблемой в этом релизе оказалась CVE-2026-8932, присутствовавшая в коде проекта более 25 лет.

Появившись еще в curl версии 7.7, выпущенной 22 марта 2001 года, уязвимость затрагивала все версии до 8.20.0 включительно.

Дело в том, что libcurl хранит открытые соединения в пуле, чтобы по возможности задействовать их при следующих запросах.

Подчеркивается, что уязвимость затрагивает приложения, в которые встроена libcurl, но не распространяется на консольную утилиту curl.

Аналитики Aisle отмечают, что все простые уязвимости в curl давно нашли и исправили.

1 day, 11 hours назад @ xakep.ru
Правоохранительные органы нарушили работу инфраструктуры малвари Amadey и StealC
Правоохранительные органы нарушили работу инфраструктуры малвари Amadey и StealC Правоохранительные органы нарушили работу инфраструктуры малвари Amadey и StealC

В рамках международной операции Endgame правоохранительные органы и специалисты ИБ-компаний нарушили работу инфраструктуры, которую использовали операторы загрузчика Amadey и инфостилера StealC.

Эксперты отключили сотни серверов и доменов, обнаружили 27 млн похищенных учетных данных и заблокировали криптовалютные активы преступников на десятки миллионов долларов США.

Вредоносы Amadey и StealC распространяются по модели MaaS (Malware-as-a-Service, «малварь-как-услуга»).

StealC, в свою очередь, похищает пароли, сессионные cookie, данные банковских карт и криптокошельков, историю браузера, файлы и информацию из различных приложений.

По данным аналитиков Microsoft, только за первые две недели м…

1 day, 13 hours назад @ xakep.ru
HTB WingData. Повышаем привилегии в Linux при распаковке архива
HTB WingData. Повышаем привилегии в Linux при распаковке архива HTB WingData. Повышаем привилегии в Linux при распаковке архива

Справка: сканирование портовСка­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке.

На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

Улуч­шить резуль­таты его работы ты можешь при помощи такого скрип­та:#!/ bin/ bash ports = $( nmap -p- --min-rate = 500 $1 | grep ^[ 0- 9] | cut -d '/ ' -f 1 | tr ' ' ', ' | sed s/, $/ / ) nmap -p $ports -A $1Он дей­ству­ет в два эта­па.

На пер­вом выпол­няет­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное, с исполь­зовани­ем встро­енных скрип­тов (опция -A ).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала.

1 day, 15 hours назад @ xakep.ru
OpenAI открыла ограниченный доступ к GPT-5.6
OpenAI открыла ограниченный доступ к GPT-5.6 OpenAI открыла ограниченный доступ к GPT-5.6

В конце прошлой недели компания OpenAI представила линейку моделей GPT-5.6, однако доступ к ней пока получит лишь небольшая группа доверенных партнеров.

В OpenAI утверждают, что GPT-5.6 Sol является самой мощной моделью компании в задачах, связанных с программированием, биологией и кибербезопасностью.

В ближайшие недели OpenAI рассчитывает расширить доступ к GPT-5.6 и договориться с правительством о более понятном процессе, применимом для будущих релизов.

Из-за распоряжения американских властей компания была вынуждена ограничить доступ к моделям Fable 5 и Mythos 5 всего через несколько дней после их запуска.

В настоящее время доступ к наиболее мощным моделям Anthropic имеют около 100 компан…

1 day, 16 hours назад @ xakep.ru
Хакеров, которые взломали Klue, атаковали другие хакеры
Хакеров, которые взломали Klue, атаковали другие хакеры Хакеров, которые взломали Klue, атаковали другие хакеры

Получив доступ к системам Klue, злоумышленники внедрили вредоносный код, похитили OAuth-токены клиентов и создали новые.

При этом в СМИ не раз отмечали, что не все клиенты Klue пострадали от утечки данных.

Ее участники утверждают, что взломали Icarus и получили доступ к серверу, где хранились данные, украденные у клиентов Klue.

В свою очередь участники Icarus уверяют, что в руки «конкурентов» попали только образцы данных нескольких организаций, а не полный дамп.

Вместо этого в компании посоветовали пострадавшим запросить у вымогателей случайную выборку данных, чтобы проверить, действительно ли те располагают заявленной информацией.

1 day, 18 hours назад @ xakep.ru
Polymarket взломали. Пользователи потеряли 3 млн долларов США
Polymarket взломали. Пользователи потеряли 3 млн долларов США Polymarket взломали. Пользователи потеряли 3 млн долларов США

Представители Polymarket обещают полностью возместить потери пользователям.

Основанная в 2020 году компания оценивается в 9 млрд долларов США и обрабатывает сделки на миллиарды долларов.

Как сообщили представители компании, злоумышленники скомпрометировали неназванного стороннего поставщика и внедрили вредоносный JavaScript в зависимость, которую использовал фронтенд сайта Polymarket.

В настоящее время представители Polymarket связываются со всеми пострадавшими и обещают полностью возместить все украденные средства.

По оценке блокчейн-аналитиков из компании PeckShield, злоумышленники похитили около 3 млн долларов США в токенах pUSD — обеспеченной USDC валюте, которая используется на Polymar…

1 day, 20 hours назад @ xakep.ru
Ежеквартальный «Хакер»: собери печатную подшивку 2026 года
Ежеквартальный «Хакер»: собери печатную подшивку 2026 года Ежеквартальный «Хакер»: собери печатную подшивку 2026 года

Первый и второй ежеквартальные номера «Хакера» за 2026 год уже отпечатаны и хранятся на нашем складе, а недавно мы открыли ранние предзаказы на третий выпуск.

Самое время начать собирать бумажную подшивку «Хакера» за год или пополнить свою коллекцию свежим журналом.

#2: уже на складеВторой ежеквартальный выпуск недавно покинул типографию, и первые экземпляры уже добрались до читателей.

#1: первый ежеквартальный «Хакер»Именно с этого журнала началось возвращение «Хакера» к регулярному печатному формату.

Один заказ — и к концу года у тебя будет полная бумажная подшивка «Хакера» за 2026 год.

4 days, 10 hours назад @ xakep.ru
Популярный блокировщик рекламы для Chrome может выполнять произвольный код
Популярный блокировщик рекламы для Chrome может выполнять произвольный код Популярный блокировщик рекламы для Chrome может выполнять произвольный код

Специалисты компании Island обнаружили, что популярное браузерное расширение Adblock for YouTube может выполнять произвольный JavaScript-код на любых сайтах.

При этом аддон насчитывает более 10 млн установок и имеет отметку «Featured» в Chrome Web Store.

Чтобы активировать его, достаточно изменить конфигурацию на сервере, а повторная проверка в Chrome Web Store и обновление расширения не потребуются.

Отмечается, что Adblock for YouTube появилось в Chrome Web Store еще в 2014 году, а спустя четыре года расширение сменило владельца.

Также в Island подчеркивают, что связали расширение с тремя другими блокировщиками рекламы — Adblock for Chrome, Adblock for You и AdBlock Suite.

4 days, 11 hours назад @ xakep.ru
In English 🇺🇸
The Hacker News The Hacker News
последний пост 11 часов назад
Microsoft Warns Poisoned MCP Tool Descriptions Can Make AI Agents Leak Data
Microsoft Warns Poisoned MCP Tool Descriptions Can Make AI Agents Leak Data Microsoft Warns Poisoned MCP Tool Descriptions Can Make AI Agents Leak Data

New Microsoft research shows how attackers can hijack AI agents that act on a user's behalf, using nothing more than a poisoned tool description to make the agent quietly hand over company data to an outsider.

Against a reader, an attack changes the output.

How the attack worksEvery MCP tool ships with a description: a few lines of plain text that tell the agent what the tool does and when to use it.

MCP picks up description changes on the fly.

The MCPTox benchmark, released in August 2025, ran poisoned tool descriptions against 45 real MCP servers and 20 leading AI models.

11 часов назад @ thehackernews.com
RustDuck Botnet Rebuilds in Rust to Hijack Routers and Servers for DDoS
RustDuck Botnet Rebuilds in Rust to Hijack Routers and Servers for DDoS RustDuck Botnet Rebuilds in Rust to Hijack Routers and Servers for DDoS

The end goal is a distributed denial-of-service (DDoS) attack: flooding a target with junk traffic from the infected machines until it buckles.

RustDuck encrypts its traffic with modern ciphers: ChaCha20-Poly1305 for the handshake, AES-GCM once it is taking commands.

This fits a bigger patternRustDuck is not the first botnet to reach for Rust.

]204, sits in the same small block of addresses as the server behind a separate ADB-targeting DDoS botnet reported in spring 2026.

RustDuck is a small botnet wearing the engineering of a serious one.

11 часов назад @ thehackernews.com
Langflow RCE Exploited to Deploy Monero Miner on Exposed AI App Endpoints
Langflow RCE Exploited to Deploy Monero Miner on Exposed AI App Endpoints Langflow RCE Exploited to Deploy Monero Miner on Exposed AI App Endpoints

Threat actors are continuing to exploit a critical Langflow vulnerability as part of fresh attacks designed to deliver a Monero cryptocurrency miner.

It can also propagate to other systems through reused SSH keys, effectively turning an exposed Langflow instance into a pathway for broader compromise.

]io to obtain the host's public IP address and location, allowing the threat actors to make operational decisions on the fly.

The second reason behind obtaining this information is geo-fencing, as it gives the threat actors a way to exclude victims in certain regions.

A Langflow vulnerability gives commodity cryptominer operators a new front door into systems running AI application infrastructu…

13 часов назад @ thehackernews.com
Silent Swap Crypto Clipper Uses Fake Google Notes Extension to Replace Wallet Addresses
Silent Swap Crypto Clipper Uses Fake Google Notes Extension to Replace Wallet Addresses Silent Swap Crypto Clipper Uses Fake Google Notes Extension to Replace Wallet Addresses

Cybersecurity researchers have flagged an active browser extension campaign that is designed to steal cryptocurrency by stealthily replacing wallet addresses when unsuspecting users initiate a transaction.

"It sends the intercepted wallet address to the attacker backend and uses the response to dynamically substitute the original address," McAfee said.

"If the backend request fails, the function falls back to a predefined hard-coded wallet address, ensuring uninterrupted malicious activity."

For every wallet address matching patterns associated with Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple, and Dash, it's mapped to a unique attacker-controlled address on the server-side.

"Under the hoo…

13 часов назад @ thehackernews.com
GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks
GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks

New research from Adversa AI, which is named the bypass GuardFall, found it works against ten of the eleven popular open-source coding and computer-use agents the firm tested.

These agents run shell commands with your full account access.

The flaw is that they check the command as plain text, while bash rewrites that text before it actually runs.

Do not let agents run on pull requests from forks, the easy path from an attacker's file to your secrets.

Attacks like AutoJack and Agentjacking turned poisoned content into commands that an agent runs with its owner's privileges.

14 часов назад @ thehackernews.com
282 iOS AI Apps Leak API Keys and Open AI Proxy Access in Network Traffic Study
282 iOS AI Apps Leak API Keys and Open AI Proxy Access in Network Traffic Study 282 iOS AI Apps Leak API Keys and Open AI Proxy Access in Network Traffic Study

Researchers tested 444 AI chatbot apps for iPhone and found that 282 of them, nearly two-thirds, exposed paid AI access through their network traffic.

No jailbreaking, no cracking the app open.

All 282 fell into one of three groups:Plaintext keys (54 apps): the key is sent in the open, readable from a single captured request.

Stolen AI keys feed a practice the industry calls LLMjacking, where attackers run other people's keys to get free model access.

The token apps were often the worst: one popular app, with over 100,000 ratings, set its access token to expire in the year 2125, a hundred-year pass.

15 часов назад @ thehackernews.com
What the Numbers Say About FIFA 2026 Cyber Risk
What the Numbers Say About FIFA 2026 Cyber Risk What the Numbers Say About FIFA 2026 Cyber Risk

The FIFA World Cup 2026 opened on June 11.

Check Point Exposure Management published the FIFA World Cup 2026 Cyber Threat Report this month, covering financial services, transportation, hospitality, and gambling.

1 in 3 FIFA Partners Can't Block Email ImpersonationPre-tournament research by Proofpoint found that more than one-third of official FIFA World Cup 2026 partners lack sufficient DMARC enforcement to prevent domain spoofing.

Check Point Exposure Management also identified active Russian-language Telegram channels operating as fake tipster services, routing followers through referral links to generate affiliate commissions on fraudulent deposits.

Read the full FIFA World Cup 2026 Cyb…

17 часов назад @ thehackernews.com
Attackers Exploit SimpleHelp CVE-2026-48558 to Deploy TaskWeaver and Djinn Stealer
Attackers Exploit SimpleHelp CVE-2026-48558 to Deploy TaskWeaver and Djinn Stealer Attackers Exploit SimpleHelp CVE-2026-48558 to Deploy TaskWeaver and Djinn Stealer

An unknown threat actor has been observed exploiting a recently disclosed maximum-severity security flaw in SimpleHelp to deliver two previously unreported malware families, TaskWeaver and Djinn Stealer.

"The observed second stage payload, Djinn Stealer, targets Windows, macOS, and Linux systems."

Djinn Stealer is designed to harvest credentials associated with cloud platforms, source control, package registries, infrastructure tooling, AI development assistants, browsers, SSH, and cryptocurrency wallets.

"Even when the SimpleHelp server is configured to enforce MFA for technicians, this issue allows the attacker to bypass this mechanism because on first login, technicians can self-register…

17 часов назад @ thehackernews.com
AirDrop and Quick Share Flaws Let Nearby Attackers Trigger Crashes and Bypass Checks
AirDrop and Quick Share Flaws Let Nearby Attackers Trigger Crashes and Bypass Checks AirDrop and Quick Share Flaws Let Nearby Attackers Trigger Crashes and Bypass Checks

Two researchers have found six security flaws in AirDrop and Quick Share, the wireless features that beam files between nearby devices with no cables or shared network.

The same research found Quick Share flaws that bypass Samsung's session checks and trigger a potentially exploitable crash in Google's Windows app.

Two of the three are more than AirDrop bugs, because they live in shared Apple frameworks.

The Quick Share bugs, and a fix that brokeOn Android, two flaws in Samsung's Quick Share let an attacker skip past the handshake that is supposed to lock down a session.

The researchers tested these on a Galaxy S23 Ultra and noted that other Android makers' versions of Quick Share need sepa…

19 часов назад @ thehackernews.com
New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials
New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials

Convince an AI browser that it is playing a game, and it can hand over your login details.

That is the finding behind BioShocking, a technique from security firm LayerX that tricked six AI browsers and assistants into copying a user's credentials and sending them to an attacker.

An AI browser is one that can act for you, not just read pages.

To shut the attack down, LayerX wants AI browsers to ask before reading from logged-in accounts.

The common thread across these findings is that handing an AI agent the keys to your signed-in accounts turns a jailbreak from a party trick into real access.

20 часов назад @ thehackernews.com
Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth
Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth

A critical vulnerability in Progress Kemp LoadMaster can let an unauthenticated attacker execute arbitrary commands as root on the appliance by sending a crafted request to its API.

Progress published its advisory on June 4 and says it has not received any reports of exploitation.

What the Flaw DoesLoadMaster is an application delivery controller and load balancer used by enterprises to manage traffic across servers.

Affected Versions and FixThe flaw affects LoadMaster GA v7.2.63.1 and older, and LTSF v7.2.54.17 and older, when the API is enabled.

In November 2024, CISA added a previous LoadMaster command injection flaw (CVE-2024-1212, CVSS 10.0) to its Known Exploited Vulnerabilities catal…

21 час назад @ thehackernews.com
Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs
Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs

- A memory corruption issue that could result in an unexpected process crash when processing maliciously crafted web content.

CVE-2026-43716 - An unspecified issue that could result in an unexpected Safari crash when processing maliciously crafted web content.

- An unspecified issue that could result in an unexpected Safari crash when processing maliciously crafted web content.

CVE-2026-43745 - An out-of-bounds write issue that could result in an unexpected Safari crash when processing maliciously crafted web content.

- An out-of-bounds write issue that could result in an unexpected Safari crash when processing maliciously crafted web content.

21 час назад @ thehackernews.com
Oracle E-Business Suite Flaw CVE-2026-46817 Actively Exploited in the Wild
Oracle E-Business Suite Flaw CVE-2026-46817 Actively Exploited in the Wild Oracle E-Business Suite Flaw CVE-2026-46817 Actively Exploited in the Wild

A critical security flaw impacting Oracle E-Business Suite has come under active exploitation in the wild, according to Defused Cyber.

The vulnerability, tracked as CVE-2026-46817 (CVSS score: 9.8), refers to an improper privilege management and authentication flaw in Oracle Payments that could be abused to take over susceptible instances.

Patches for the flaw were shipped by Oracle as part of its Critical Security Patch Update last month.

That said, there are currently no details available on how the security flaw is being exploited, who is behind them, and if it's part of a broader opportunistic or targeted campaign aimed at unpatched systems.

Earlier this month, the company addressed a c…

23 часа назад @ thehackernews.com
Malicious Perplexity Chrome Extension Intercepted Searches and Address Bar Input
Malicious Perplexity Chrome Extension Intercepted Searches and Address Bar Input Malicious Perplexity Chrome Extension Intercepted Searches and Address Bar Input

Microsoft has found a malicious Chrome extension that posed as the AI search engine Perplexity and quietly logged what people searched for.

The extension was called "Search for perplexity ai" (ID flkebkiofojicogddingbdmcmkpbplcd) and used a look-alike domain, perplexity-ai[.

Once installed, the extension sets itself as the browser's default search engine.

A rule then bounced you to a real search engine (Perplexity, Google, or Bing), so the results looked normal.

If you installed "Search for perplexity ai," remove it and check that your default search engine has not been changed.

1 day, 10 hours назад @ thehackernews.com
WhatsApp is Finally Getting Usernames to Help Keep Phone Numbers Private
WhatsApp is Finally Getting Usernames to Help Keep Phone Numbers Private WhatsApp is Finally Getting Usernames to Help Keep Phone Numbers Private

The optional feature is designed to help users connect with someone on the service through usernames, as opposed to directly sharing their phone numbers.

"You choose your own, and it doesn't have to match your handle on any other app," the Meta-owned messaging app said in a statement shared with The Hacker News ahead of publication.

The major benefit of this change is that once it's enabled, other accounts can no longer view or access a user's phone number.

"We'll be rolling out usernames gradually over the coming months and will notify you in WhatsApp when they're available in your country," WhatsApp said.

The development comes more than two years after Signal announced a username feature …

1 day, 12 hours назад @ thehackernews.com
threatpost threatpost
последний пост None
DarkReading
последний пост None
WeLiveSecurity
последний пост 1 day, 20 hours назад
Inside the inbox: Why cybercriminals want to break into your email account
Inside the inbox: Why cybercriminals want to break into your email account Inside the inbox: Why cybercriminals want to break into your email account

With access to your email account, they can reset your passwords across multiple other accounts – perhaps intercepting one-time passcodes sent by your bank, social media, cloud storage or other online provider.

That could lay the groundwork for a convincing phishing email designed to impersonate a trusted organization you interact with.

A phishing attack on your corporate email account is often the first stage in a bigger data breach, extortion/ransomware or espionage attack.

They’re also using more sophisticated tools to improve the success rates of email phishing campaigns.

In this instance the scammers reportedly hijacked the email account of a high-level executive, before impersonating …

1 day, 20 hours назад @ welivesecurity.com
SMB cyber readiness: the road to resilience starts here
SMB cyber readiness: the road to resilience starts here SMB cyber readiness: the road to resilience starts here

For these businesses, cyber resilience should be the direction of travel – that is, the ability to continue operating and recover even during a serious incident.

Cyber readiness is about putting in place the processes and controls to prevent, detect and respond to threats.

So, should confidence in cyber resilience posture be so high, especially if organizations are still getting hit multiple times?

The truth is that there’s no end state for cyber readiness or resilience.

If it’s serious about improving the cyber readiness of small businesses, the vendor community should step up.

4 days, 20 hours назад @ welivesecurity.com
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances

Key points of this blogpost: Throughout 2025, Gamaredon exclusively targeted governmental and military institutions in Ukraine.

Continued data exfiltration and a new allianceThroughout 2025, Gamaredon stayed highly active and remained focused solely on Ukraine.

Notably, we uncovered that in early 2025, Gamaredon collaborated with Turla, another Russia-aligned threat actor also linked to the FSB; we documented our findings in our blogpost Gamaredon X Turla collab.

Figure 1 shows a chart of unique samples of HTA downloaders delivered per month in Gamaredon spearphishing campaigns.

Compared to 2024, we also saw a shift in how Gamaredon used these dead drops.

5 days, 20 hours назад @ welivesecurity.com
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
ESET takes part in Operation Endgame to disrupt Amadey and Stealc ESET takes part in Operation Endgame to disrupt Amadey and Stealc

Key points of this blogpost: ESET took part in the coordinated, global Operation Endgame to disrupt Amadey and Stealc.

Our automated systems have been dissecting Amadey and Stealc samples and identifying the fields most relevant for large-scale tracking.

The largest Amadey botnet clusterOne cluster stands out as the largest, and it contributed nearly 34% of all processed Amadey samples.

Stealc affiliate clustering based on ESET telemetryConclusionFor global disruption operations such as Operation Endgame against Amadey and Stealc, long-term automated tracking of malware is necessary.

2026‑04‑09 Stealc C&C server.

6 days, 16 hours назад @ welivesecurity.com
Killing me gently: Inside Gentlemen’s EDR killer framework
Killing me gently: Inside Gentlemen’s EDR killer framework Killing me gently: Inside Gentlemen’s EDR killer framework

The group distinguishes itself through a mature, operator-maintained set of endpoint detection and response (EDR) killers, i.e., tools for disrupting security software.

In this blogpost, we share our findings on Gentlemen’s suite of EDR killers gained through extensive research and corroborated by the recent leak.

Third‑party EDR killers (HexKiller, ThrottleBlood, and HavocKiller) are operationally integrated.

Rather than relying on affiliates to source their own EDR killers, Gentlemen operators actively develop and maintain a portfolio of EDR killers for affiliates.

It allows the Gentlemen operators to integrate abused drivers into their toolset very soon after an EDR killer PoC is disclos…

1 week, 5 days назад @ welivesecurity.com
Protecting legacy OT systems against modern cyberthreats
Protecting legacy OT systems against modern cyberthreats Protecting legacy OT systems against modern cyberthreats

Of course, connecting production systems to enterprise networks delivers tangible benefits, but the security implications – that systems once safe were suddenly no longer so – arrived more quietly.

Start by mapping which systems in an environment are connected and have no security coverage, where IT and OT networks intersect, which segments are unmonitored, and which production systems have fallen outside any vendor support agreement.

Meanwhile, off-the-peg security tools often don’t efficiently meet the enterprise requirements in legacy OT systems that run on older hardware and outdated operating system versions.

The production systems running that version continue to operate for years, ac…

1 week, 6 days назад @ welivesecurity.com
FishMonger’s arsenal upgraded: SprySOCKS for Windows
FishMonger’s arsenal upgraded: SprySOCKS for Windows FishMonger’s arsenal upgraded: SprySOCKS for Windows

Key points of this blogpost: We discovered two previously undocumented Windows variants of FishMonger’s SprySOCKS backdoor.

Technical analysisIn this section, we provide a technical analysis of these new, Windows variants of FishMonger’s SprySOCKS backdoor.

Figure 3. klelam00007.bat setting up persistence for the SprySOCKS backdoor (newlines added for readability)Figure 4 depicts the execution chain of the SprySOCKS WIN_DRV variant.

It contained the SprySOCKS backdoor and the SprySOCKS loader.

6490B8E4AADE25A3EE2D A9A47F312DB2122470BC X1B5206BDC1 743DD.dat Win64/SprySOCKS.A Encrypted container of the encrypted WIN_DRV variant of SprySOCKS backdoor, encrypted SprySOCKS RawWNPF and SprySOCKS …

2 weeks назад @ welivesecurity.com
EvilTokens: A phishing attack that doesn’t steal your password
EvilTokens: A phishing attack that doesn’t steal your password EvilTokens: A phishing attack that doesn’t steal your password

Instead, attackers get the victim to complete a legitimate authentication process – including two-factor authentication (2FA) – on a real Microsoft login page.

What makes EvilTokens dangerousThe OAuth device code flow was designed for devices that may be awkward to sign into directly, such as smart TVs or printers.

No document, invoice, email, or another platform should ask for a device code without a clear reason.

A real Microsoft page doesn’t automatically make a request safe.

Sometimes the attacker could ask them to enter a real code on a real page – but for the wrong device.

2 weeks, 1 day назад @ welivesecurity.com
OceanLotus: From external espionage to domestic targeting
OceanLotus: From external espionage to domestic targeting OceanLotus: From external espionage to domestic targeting

During this period, the Vietnam-aligned OceanLotus adopted a more selective approach to external operations while placing increasing emphasis on domestic espionage.

We identified two distinct campaigns involving the SPECTRALVIPER backdoor: a supply-chain attack targeting stock investors in Vietnam and a prolonged espionage operation against a Vietnamese infrastructure and transport construction company.

The domain resolved to the genuine IP address of the FireAnt update server, suggesting a supply-chain compromise scenario.

LTD 2025‑09‑20 SPECTRALVIPER C&C server.

]com IRT‑CHOOPALLC‑AP 2025‑09‑20 SPECTRALVIPER C&C server.

2 weeks, 5 days назад @ welivesecurity.com
SMB cyber-readiness: What makes or breaks it
SMB cyber-readiness: What makes or breaks it SMB cyber-readiness: What makes or breaks it

But that realization alone clearly doesn’t prepare them to withstand an attack.

Have the repeat victims come to view their brushes with cyber-incidents as proof of “what doesn’t kill me makes me stronger”?

For all the talk around AI, automation and attacker sophistication, many SMB breaches still begin with a familiar opening.

A total of 71% of SMBs globally now carry cyber insurance, rising to 84% in North America, with adoption climbing sharply among repeat victims.

While “when, not if” has never been more true, that alone doesn’t prepare a business for adversity.

2 weeks, 6 days назад @ welivesecurity.com
Cybercriminals: the 'auditors' you never hired
Cybercriminals: the 'auditors' you never hired Cybercriminals: the 'auditors' you never hired

There’s a phrase that is peddled out by governments and companies alike when a catastrophe of any type – including a cybersecurity breach – occurs: “Lessons have been learnt”.

The 130% increase in significant incidents between 2024 and 2025 severely challenges this assertion and points to lessons not being learnt, at a macro level.

In fact, this reluctance to look could also be normalcy bias quietly doing its work.

That is why this metaphor matters – cybercriminals discover the gap between what an organisation believes about its security and what the reality is.

We must accept that normalcy bias exists and act upon it.

3 weeks назад @ welivesecurity.com
Lessons for life: Why children’s data is a long-term identity risk
Lessons for life: Why children’s data is a long-term identity risk Lessons for life: Why children’s data is a long-term identity risk

Our kids are exposed to many of the same identity, privacy, and data security risks as their parents.

Why do people want my kids’ data?

But when they do finally flag fraud, the impact on your child’s credit history can be severe.

Apply for a credit freeze for your child’s identity with all three major credit bureaus.

Keeping your child’s identity safe should not be about restricting their digital world.

3 weeks, 6 days назад @ welivesecurity.com
This month in security with Tony Anscombe – May 2026 edition
This month in security with Tony Anscombe – May 2026 edition This month in security with Tony Anscombe – May 2026 edition

Here's some of what caught Tony’s attention in May 2026:Poland’s Internal Security Agency (ABW) has released information about cyber-intrusions into ICS (industrial control systems) at five water treatment facilities in the country in 2024 and 2025.

The two main attack vectors – weak passwords and systems exposed directly to the internet – were the same as those used in attacks against the Polish energy sector that leveraged DynoWiper described by ESET researchers here.

What are some key mitigation steps against attacks targeting OT systems?

How do scams crypto ATMs work and how to stay safe?

Learn this and more in Tony's video and be sure to check out the April 2026 edition of Tony's month…

1 month назад @ welivesecurity.com
ESET APT Activity Report Q4 2025–Q1 2026
ESET APT Activity Report Q4 2025–Q1 2026 ESET APT Activity Report Q4 2025–Q1 2026

ESET APT Activity Report Q4 2025–Q1 2026 summarizes notable activities of selected advanced persistent threat (APT) groups documented by ESET researchers from October 2025 through March 2026.

During the monitored time frame, China-aligned threat actors remained highly active worldwide, conducting espionage campaigns shaped in part by geopolitical developments affecting Beijing’s economic and security interests.

The war in Iran that began in late February 2026 was the defining event for Iran-aligned activity during this period.

Russia-aligned threat actors continued to focus overwhelmingly on Ukraine and entities connected to the country’s defense efforts.

Intelligence shared here is based m…

1 month назад @ welivesecurity.com
What to consider before asking an AI chatbot for health advice
What to consider before asking an AI chatbot for health advice What to consider before asking an AI chatbot for health advice

Alongside a number of freely available AI chatbots, major technology companies have moved into consumer-facing health AI with the launches of services such as Copilot Health, ChatGPT Health, and Amazon’s HealthAI that models help users interpret their medical records and ask questions about their symptoms, lab results and treatment options.

Misuse of AI chatbots in general is now the number one health technology hazard out there, according to one US patient safety organization.

Your health data is not like a stolen credit card that can be frozen while the details are replaced and reissued.

Even so, people should be cautious: health data is unusually sensitive, and anonymization doesn’t alwa…

1 month назад @ welivesecurity.com
Naked Security Naked Security
последний пост None
Help Net Security Help Net Security
последний пост 55 минут назад
Getting boards to fund ERM means speaking their currency
Getting boards to fund ERM means speaking their currency Getting boards to fund ERM means speaking their currency

In this Help Net Security video, Greg Young, VP Cybersecurity and Corporate Development at TrendAI, explains how to build Enterprise Risk Management that a board will pay for.

The talk covers how to learn what your board values, whether cost savings, compliance, resilience, or growth, and how to speak in that currency.

Young describes turning ERM into a decision system that ties risk to revenue, capital allocation, and concentration.

He explains the metrics boards grasp, such as third-party blast radius and dwell time, and stresses honesty about data freshness and confidence.

The goal is one combined view of risk that represents the whole business.

55 минут назад @ helpnetsecurity.com
Proton’s pitch for Lumo 2.0: Frontier AI without the data grab
Proton’s pitch for Lumo 2.0: Frontier AI without the data grab Proton’s pitch for Lumo 2.0: Frontier AI without the data grab

Proton has unveiled Lumo 2.0, a major upgrade to its zero-access encrypted AI assistant.

Built on a new architecture, the release brings the assistant closer to frontier AI models with new AI models, multimodal capabilities, Memory, improved web search, and enterprise features.

“Lumo 2.0 is our biggest leap in capability yet.

Lumo 2.0 Max provides stronger reasoning, broader contextual understanding, and more precise outputs, making it better suited for complex or demanding tasks.

The company says conversations are protected with zero-access encryption, are never logged or used to train AI models, and remain on the company’s European infrastructure.

6 часов назад @ helpnetsecurity.com
Aikido Security acquires Root to expand backported fixes for open source vulnerabilities
Aikido Security acquires Root to expand backported fixes for open source vulnerabilities Aikido Security acquires Root to expand backported fixes for open source vulnerabilities

Open source is the foundation of almost every application in the world, and it has become the primary entry point for attackers.

Organizations face two converging threats: attackers hide malware inside the open source packages that applications depend on, and vulnerabilities sit unpatched in production for years.

“Open source needs patching, and it needs it fast.

To back the mission with action, Aikido is announcing backported fixes for critical, actively exploited open source vulnerabilities to the community across supported ecosystems.

This is a choice between walled gardens and real support for open source.

14 часов назад @ helpnetsecurity.com
Oracle E-Business Suite Payments flaw under attack (CVE-2026-46817)
Oracle E-Business Suite Payments flaw under attack (CVE-2026-46817) Oracle E-Business Suite Payments flaw under attack (CVE-2026-46817)

Exploitation attempts targeting a critical vulnerability (CVE-2026-46817) in Oracle Payments, the payment-processing module within Oracle’s E-Business Suite (EBS), have been spotted over the weekend, threat intelligence company Defused warned on Monday.

Advice for organizationsOracle Payments is the payment-processing engine built into Oracle’s E-Business Suite, centralizing how the company’s finance applications send and receive payments through banks and card networks.

CVE-2026-46817 affects the File Transmission component of Oracle Payments, and is caused by improper privilege management, improper authentication, and missing authentication for a critical function.

It can be exploited rem…

14 часов назад @ helpnetsecurity.com
Cequence Platform 9.0 uses AI to simplify API security and compliance
Cequence Platform 9.0 uses AI to simplify API security and compliance Cequence Platform 9.0 uses AI to simplify API security and compliance

Cequence Security has announced general availability of Cequence Platform 9.0, an AI-native release that changes how users interact with API security tools.

Cequence Platform 9.0 exposes the entire Cequence platform through an open MCP architecture so any agent can operate it directly, whether through our built-in AI Assistant, or a customer’s own agent.

Agent capabilities in Platform 9.0 include:Drive valuable actions from simple conversation: use plain-English to easily and quickly drive results.

Compliance-ready risk rules and compliance packagesCompliance is the most common forcing function for an API security purchase, and the most common place programs stall.

API security engine impro…

14 часов назад @ helpnetsecurity.com
Jamf enables AI Governance and shadow AI detection on Mac
Jamf enables AI Governance and shadow AI detection on Mac Jamf enables AI Governance and shadow AI detection on Mac

Jamf has announced general availability of AI Governance, a new capability within Jamf for Mac that enables IT and security teams to discover actively-used AI tools, enforce policy controls, and generate audit-ready reporting.

AI Governance provides comprehensive visibility into which AI applications are in use, along with detailed insights into how they behave on the endpoint.

AI access policy controls let IT define sanctioned tools, deploy access policy at scale, and scope different postures to different teams.

Having this critical capability built into the same device management platform we already use, really simplifies AI governance for our team.”Beyond essential visibility and control…

15 часов назад @ helpnetsecurity.com
Digi International’s DANI automates network diagnostics and device management
Digi International’s DANI automates network diagnostics and device management Digi International’s DANI automates network diagnostics and device management

Digi International has announced the launch of DANI, the Digi Artificial Network Intelligence agent, a purpose-built AI network operations agent natively embedded in a networking device management platform, Digi Remote Manager (DRM).

Unlike third-party AI tools layered onto generic platforms, DANI operates from within the same system that manages the devices themselves.

This native integration, built on Model Context Protocol (MCP), gives DANI direct access to real-time device telemetry, cellular signal data, firmware state and configuration history.

This truly reduces the cost and complexity to deploy, manage and support new networks,” said Tony Puopolo, President, Digi Managed Solutions.

15 часов назад @ helpnetsecurity.com
OpenMatter Network brings verifiable trust to AI governance
OpenMatter Network brings verifiable trust to AI governance OpenMatter Network brings verifiable trust to AI governance

OpenMatter Network has announced the launch of its cryptographically verifiable platform for secure collaboration and AI governance, built on a simple premise: Don’t Trust Data.

Enterprises must be able to collaborate, compute and deploy AI systems across environments they do not fully control.

OpenMatter Network was created to address this challenge through mathematical proof and cryptographic verification rather than assumption-based trust models.

Positioned as the Verifiable Trust Layer for Secure Collaboration and AI Agents, OpenMatter Network enables organizations to securely collaborate, execute sensitive workloads and deploy AI systems across environments that cannot be inherently tr…

15 часов назад @ helpnetsecurity.com
SimpleHelp vulnerability exploited to deliver mighty Djinn Stealer (CVE-2026-48558)
SimpleHelp vulnerability exploited to deliver mighty Djinn Stealer (CVE-2026-48558) SimpleHelp vulnerability exploited to deliver mighty Djinn Stealer (CVE-2026-48558)

Attackers are exploiting CVE-2026-48558, a recently patched authentication bypass vulnerability in SimpleHelp RMM, to drop the novel Djinn Stealer malware on victim computers.

CVE-2026-48558 exploitedSimpleHelp is a remote monitoring and management (RMM) tool popular with managed services providers (MSPs) and organizations’ internal IT help desks.

On June 29, researchers with BlacPoint Cyber’s Adversary Pursuit Group sounded the alarm: attackers have been using CVE-2026-48558 to bypass SimpleHelp OIDC authentication on an internet-facing SimpleHelp server.

This provided a trusted execution path and allowed activity to inherit the appearance of an authorized support session,” researchers Nev…

18 часов назад @ helpnetsecurity.com
Kali Linux 2026.2 trims VM boot times, refreshes its desktops
Kali Linux 2026.2 trims VM boot times, refreshes its desktops Kali Linux 2026.2 trims VM boot times, refreshes its desktops

Penetration testers who run Kali Linux inside virtual machines boot their systems faster after the 2026.2 release.

New desktop versionsEvery other Kali release brings a major desktop update, and this cycle covers GNOME and KDE Plasma.

More consistent service helper scriptsMany Kali tools depend on a background service, and their helper scripts now behave the same way across packages.

The xrdp and xorgxrdp packages move to the v0.10 series, and xrdp users need a reboot after the upgrade.

People who run Kali in Hyper-V with Enhanced Session Mode count as xrdp users.

20 часов назад @ helpnetsecurity.com
OpenClaw for iOS: The viral open-source AI agent comes to iPhone and iPad
OpenClaw for iOS: The viral open-source AI agent comes to iPhone and iPad OpenClaw for iOS: The viral open-source AI agent comes to iPhone and iPad

OpenClaw, a self-hosted personal AI assistant that connects to existing chat apps, is now available on iPhone, iPad and Apple Watch.

The release brings chat, real-time voice conversations, approvals, device capabilities, and private automations to iOS.

Connecting OpenClaw to iPhoneThe app pairs with an OpenClaw Gateway, enabling users to communicate with their AI assistant through text or voice, approve requested actions, and securely access iPhone features.

Running on the user’s own devices, OpenClaw supports content sharing and automations that can use iPhone capabilities with the user’s permission.

Once connected, users can continue conversations from their iPhone, including real-time vo…

21 час назад @ helpnetsecurity.com
AirDrop and Quick Share vulnerabilities affect protocols on five billion devices as fixes begin
AirDrop and Quick Share vulnerabilities affect protocols on five billion devices as fixes begin AirDrop and Quick Share vulnerabilities affect protocols on five billion devices as fixes begin

Google and Samsung call theirs Quick Share.

Arash Ale Ebrahim and Nils Ole Tippenhauer reverse engineered the application-layer protocols, built a custom fuzzer for AirDrop, and ran targeted analysis on Quick Share.

Quick Share answers nearby devices by default once it is visible.

The Quick Share work used a Samsung Galaxy S23 Ultra and Google’s Windows client.

Bypasses and a use-after-free in Quick ShareThe Quick Share findings move from crashes to protocol logic.

22 часа назад @ helpnetsecurity.com
Product showcase: Scam calls, phishing, and data breaches? Meet AVG Mobile Security
Product showcase: Scam calls, phishing, and data breaches? Meet AVG Mobile Security Product showcase: Scam calls, phishing, and data breaches? Meet AVG Mobile Security

AVG Mobile Security for iOS helps protect users against online threats with features including Web Guard, VPN, Scam Guardian Pro, Hack Alerts, and Photo Vault.

The scan found that Web Guard was disabled and recommended enabling it.

Features overviewWeb Guard helps protect users while browsing by blocking dangerous websites before they load.

Enabling Web Guard requires installing a VPN profile because the feature filters web traffic through a secure connection.

After creating the vault, users can add photos that are stored securely inside the encrypted vault.

23 часа назад @ helpnetsecurity.com
Vulnerability reports are arriving faster than GitHub can review them
Vulnerability reports are arriving faster than GitHub can review them Vulnerability reports are arriving faster than GitHub can review them

The GitHub Advisory Database, which feeds automated security alerts to millions of projects, has reached a point where some new advisories take weeks to publish.

Private vulnerability reports climbed from a few hundred a week in January to more than 3,000 a week through most of May.

Review times stretched first to about a week, then to several weeks for a meaningful share of reports.

“Not every security advisory requires the same level of effort.

The climb since then tracks a wider move toward open vulnerability disclosure, and GitHub plans to keep scaling its review pipeline to match.

23 часа назад @ helpnetsecurity.com
Hottest cybersecurity open-source tools of the month: June 2026
Hottest cybersecurity open-source tools of the month: June 2026 Hottest cybersecurity open-source tools of the month: June 2026

OWASP Agent Memory Guard: Stop AI agents from being weaponized through their own memoryAI agents keep memory across sessions.

Praxen: Open-source AI agent behavior verificationPraxen is an open-source tool with a simple job: it checks whether an AI agent does what it claims to do.

DarkMoon: Open-source AI pentesting platformPenetration testing has long run on expert time, with specialists spending days probing a network or web application by hand.

A growing set of projects now hands the work to AI agents that plan and execute on their own.

Must read:Subscribe to the Help Net Security ad-free monthly newsletter to stay informed on the essential open-source cybersecurity tools.

23 часа назад @ helpnetsecurity.com
IT Security Guru IT Security Guru
последний пост None
SecurityTrails
последний пост None
Блоги 👨‍💻
Бизнес без опасности Бизнес без опасности
последний пост None
Жизнь 80 на 20 Жизнь 80 на 20
последний пост None
ZLONOV ZLONOV
последний пост None
Блог Артема Агеева Блог Артема Агеева
последний пост None
Киберпиздец Киберпиздец
последний пост None
Schneier on Security Schneier on Security
последний пост 16 часов назад
The Realities of AI Video Surveillance
The Realities of AI Video Surveillance The Realities of AI Video Surveillance

The Realities of AI Video SurveillanceThe Financial Times has a good article on how AI is changing the capabilities of video surveillance, with information from both Israel/Iran and Russia.

I wrote about this sort of thing a few years ago, how AI enables mass spying in the way that computers and networks enabled mass surveillance.

The interesting development in the article is that AI allows people to ask natural language questions about video footage to AIs—and AIs can answer them.

In contrast with older tools restricted to a few dozen preset searches, these new tools allow an almost unlimited range of enquiries by enabling language-based searches on video.

“This is the holy grail of survei…

16 часов назад @ schneier.com
Factoring RSA Keys with Many Zeros
Factoring RSA Keys with Many Zeros Factoring RSA Keys with Many Zeros

Interesting research on a new class of weak RSA keys: keys with lots of zeros.

The badkeys project is an open-source service that checks public keys for known vulnerabilities.

Pattern 2 appears on SSH hosts running the CompleteFTP software from EnterpriseDT.

The underlying vulnerability affects RSA keys generated using versions 10.0.0­12.0.0 (Dec 2016­Mar 2019) and DSA keys generated with v10.0.0­23.0.4 (Dec 2016­Dec 2023).

More implementations may include the same bugs, and so it’s worth tailoring cryptanalytic algorithms for this particular type of failure.

1 day, 12 hours назад @ schneier.com
Robot Police Officers
Robot Police Officers Robot Police Officers

We’ve taken one small step towards robot police officers: a drone capable of disarming a suspect:In a June 22 video posted on the Sacramento County Sheriff’s Office’s Instagram page, an officer wearing goggles can be seen operating a drone to retrieve a knife from an armed suspect hiding inside a cluttered house.

“After not responding to negotiators, a drone was deployed inside the residence,” the post says.

“Drone pilots located the suspect hiding in a corner of a garage” and then used a high-powered magnet attached to the drone to grab the knife out of the suspect’s hand.

In the video ­ which is soundtracked by the “Mission: Impossible” theme song—the intercepted knife can be seen spinnin…

1 day, 18 hours назад @ schneier.com
The Chinese Control the Majority of Argentina’s Squid Fleet
The Chinese Control the Majority of Argentina’s Squid Fleet The Chinese Control the Majority of Argentina’s Squid Fleet

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Contact Info

4 days, 7 hours назад @ schneier.com
Meta Is Testing Facial Recognition for Police and Military
Meta Is Testing Facial Recognition for Police and Military Meta Is Testing Facial Recognition for Police and Military

Meta Is Testing Facial Recognition for Police and MilitaryWe know that ICE wants to deploy eyeglasses with facial recognition that can identify people in real time.

Turns out Meta is prototyping the feature with a Pentagon supplier.

(Alternate news story.)

Posted on June 26, 2026 at 12:40 PM • 0 Comments

4 days, 12 hours назад @ schneier.com
One Million Passports Leaked Online
One Million Passports Leaked Online One Million Passports Leaked Online

One Million Passports Leaked OnlineA database of almost a million passports from around the world was leaked online.

Note what happened.

A high-value credential—a passport—was used in an ancillary low-value authentication system: ID verification for cannabis dispensaries.

And it’s the low-value system that got hacked, putting the high-value credential at risk.

Posted on June 26, 2026 at 7:03 AM • 2 Comments

4 days, 17 hours назад @ schneier.com
AI and Liability
AI and Liability AI and Liability

Words are words, and the phone company does not know—nor is it liable for—the words you choose to speak.

Imagine a restaurant review site that provides AI summaries, or a site summarizing laws and government procedures.

AI agents are agents of the person or organization that deploys them—and should be treated by the law as such.

If a company hired human writers to write its summaries, that company would be liable for inaccuracies in those summaries.

Visa and OpenAI recently announced a partnership to build personal AI agents to, among other things, make purchases on our behalf.

5 days, 11 hours назад @ schneier.com
Interesting Paper Exploring Prompt Injection
Interesting Paper Exploring Prompt Injection Interesting Paper Exploring Prompt Injection

This is a fascinating explotation of how LLMs fall for prompt injection attacks.

Their conclusion:Role tags were a formatting trick that became the security architecture and the cognitive scaffolding of modern LLMs.

We’ve shown that this architecture doesn’t survive into the model’s actual representations, and that such role confusion is linked to prompt injection.

Unless LLMs achieve genuine role perception, we think injection defense will remain a perpetual whack-a-mole game.

And the continuous nature of role boundaries opens the threat of injections designed to subtly shift LLM states through seemingly innocuous text, legally and at scale.

5 days, 17 hours назад @ schneier.com
Embedding Forbidden Text in Spyware to Discourage AI Analysis
Embedding Forbidden Text in Spyware to Discourage AI Analysis Embedding Forbidden Text in Spyware to Discourage AI Analysis

At least one malware developer is adding text about nuclear and biological weapons to their spyware, in an effort to stop automatic AI analysis.

Details:The _index.js payload begins with a large JavaScript block comment containing fake system instructions and policy-triggering content.

The real malware begins after the comment with a try{eval(…)} wrapper around a large character-code array and a ROT-style substitution function.

In weak pipelines, this can cause refusal behavior, prompt confusion, context pollution, or premature classification before the scanner reaches the actual malware.

YARA rules, entropy checks, AST parsing, string extraction, deobfuscation, and behavioral rules still w…

6 days, 17 hours назад @ schneier.com
Anthropic’s Fable 5 Model Jailbroken Within Days
Anthropic’s Fable 5 Model Jailbroken Within Days Anthropic’s Fable 5 Model Jailbroken Within Days

Anthropic’s Fable 5 Model Jailbroken Within DaysFable 5 is the supposed safe version of Anthropic’s Mythos Preview, with guardrails to ensure that it can’t be used to create cyberattacks.

Well, that restriction was bypassed within days.

Posted on June 23, 2026 at 7:03 AM • 4 Comments

1 week назад @ schneier.com
Professional Athletes and Wearables
Professional Athletes and Wearables Professional Athletes and Wearables

Wearables present serious privacy issues for “Average Joe” consumers, who are entrusting tech companies to safely store and protect their biometric data.

Imagine the stakes for a professional athlete, whose entire livelihood could be affected by a single biometric data point.

The coach has access to the player’s wearable data, and checks to see when they went to sleep, as well as what their heart rate looked like during the night.

What if wearable data reveals that a player isn’t as speedy as they were before, and a team uses that data against the player during contract negotiations?

What if a wearable reveals a player is favoring their leg, or is at greater risk of injury?

1 week, 1 day назад @ schneier.com
Friday Squid Blogging: Victims of Unregulated Squid Fishing
Friday Squid Blogging: Victims of Unregulated Squid Fishing Friday Squid Blogging: Victims of Unregulated Squid Fishing

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

1 week, 4 days назад @ schneier.com
Anthropic’s Fable and the State of AI
Anthropic’s Fable and the State of AI Anthropic’s Fable and the State of AI

Anthropic’s Fable and the State of AIOn June 9th, Anthropic released its Fable generative AI model.

Fable is the constrained version of Mythos, the AI model Anthropic announced in April.

Fable is just another incremental improvement in the years-long climb of AI capabilities.

But just as important as the AI model is the “harness.” This is typically not AI.

To an AI model, constraints are just things to get around and not general truisms about the world.

1 week, 4 days назад @ schneier.com
Embedding Forbidden Text in Spyware to Discourage AI Analysis
Embedding Forbidden Text in Spyware to Discourage AI Analysis Embedding Forbidden Text in Spyware to Discourage AI Analysis

At least one malware developer is adding text about nuclear and biological weapons to their spyware, in an effort to stop automatic AI analysis.

Details:The _index.js payload begins with a large JavaScript block comment containing fake system instructions and policy-triggering content.

The real malware begins after the comment with a try{eval(…)} wrapper around a large character-code array and a ROT-style substitution function.

In weak pipelines, this can cause refusal behavior, prompt confusion, context pollution, or premature classification before the scanner reaches the actual malware.

YARA rules, entropy checks, AST parsing, string extraction, deobfuscation, and behavioral rules still w…

1 week, 5 days назад @ schneier.com
AI Use by the US Government
AI Use by the US Government AI Use by the US Government

The office of management and budget (OMB) disclosed a staggering 3,611 active or planned use cases for AI across the federal government.

The Department of Energy is testing the use of AI to control nuclear reactors, targeting a way to autonomously respond to potential nuclear safety incidents.

In some cases, like the HHS system, the AI might be enforcing alignment to a policy prescription that opponents abhor.

The use of predictive methods and statistics to assign prisoner security classifications goes back decades, even if such systems are often biased and ineffective.

What matters are the details of how the AI system is used, and here the inventory is severely lacking.

1 week, 6 days назад @ schneier.com
Krebs On Security
последний пост 1 week назад
Scattered Spider Hackers Plead Guilty on Day 1 of Trial
Scattered Spider Hackers Plead Guilty on Day 1 of Trial Scattered Spider Hackers Plead Guilty on Day 1 of Trial

The duo were key members of a prolific cybercrime group known as Scattered Spider, and their guilty pleas came on the first day of what was expected to be a six-week trial.

In April 2026, 24-year-old British national and Scattered Spider member Tyler “Tylerb” Buchanan pleaded guilty to wire fraud conspiracy and aggravated identity theft for participating in the group’s SMS phishing spree in the summer of 2022.

The government said Buchanan, Jubair and others used the credentials harvested in that phishing campaign to steal at least $8 million in cryptocurrency from victims throughout the United States.

The U.S. Department of Justice says three alleged Scattered Spider defendants indicted alo…

1 week назад @ krebsonsecurity.com
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm ‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

This week, researchers from multiple security firms concluded that the Popa botnet is linked to NetNut, a “residential proxy” provider operated by the publicly-traded Israeli firm Alarum Technologies Ltd [NASDAQ: ALAR].

Qurium said that immediately after that disruption, several dozen new domains were registered to serve as controllers for the Popa botnet, but that one of those control domains was not new: ninjatech[.]io.

Jérôme Meyer, a security researcher at Nokia Deepfield, said the total population of devices participating in the Popa botnet may be far higher than Lumen’s estimates.

“Over 90% of our pharmaceutical and food & beverage customers have queried residential proxy indicators.

1 week, 5 days назад @ krebsonsecurity.com
Who Runs the Ransomware Group ‘The Gentlemen?’
Who Runs the Ransomware Group ‘The Gentlemen?’ Who Runs the Ransomware Group ‘The Gentlemen?’

This post examines clues pointing to a real life identity for the administrator of The Gentlemen ransomware group.

Experts at the security firm Check Point Software have been closely covering exploits of The Gentlemen, a so-called “ransomware-as-a-service” (RaaS) offering that pays affiliates handsomely to help spread the group’s malware.

According to Check Point, the group targets Internet-facing devices (VPNs, firewalls) as their entry point, and once inside moves quickly to encrypt entire networks within hours.

Check Point says the administrator and primary operator of the ransomware group uses the nickname Zeta88 on the Russian-language cybercrime forums, and that this individual was pr…

2 weeks, 6 days назад @ krebsonsecurity.com
A Record-Breaking Patch Tuesday for June 2026
A Record-Breaking Patch Tuesday for June 2026 A Record-Breaking Patch Tuesday for June 2026

Microsoft today released software updates to plug nearly 200 security holes across its Windows operating systems and supported software, a record number of fixes for the company’s monthly Patch Tuesday cycle.

“Some surveys put AI usage among security professionals generally at 90%, so it’s unsurprising that this volume of patches may be the norm,” Narang said.

Microsoft received heavily blowback on social media last month after it said in a blog post that it was considering taking legal action against the security researcher.

While 200 vulnerabilities may be a record for Patch Tuesday, the actual number of security flaws Microsoft addressed this month is far higher, said Rapid7’s Adam Barne…

3 weeks назад @ krebsonsecurity.com
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts

On May 31, word began to spread on several Telegram instant message channels that Meta’s AI bot would happily add an email address to an existing account as part of the bot’s standard password reset flow.

Meta has not responded to requests for comment on the video’s claims, but the company reportedly did acknowledge the dormant Instagram account for the Obama White House was briefly compromised.

Meta’s solution was to deploy a conversational AI layer to handle common recovery workflows: relinking a lost email address, triggering a password reset, verifying account ownership.

Just like human customer support employees can be social engineered into providing unauthorized access to someone’s a…

4 weeks, 1 day назад @ krebsonsecurity.com
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

But as KrebsOnSecurity observed in September 2025, those sanctions failed to target Stark’s remaining connection to the Internet — an Internet service provider based in the Netherlands called MIRhosting.

MIRhosting is operated by Andrey Nesterenko, a 39-year-old Russian native who runs the business out of the Netherlands.

And as our September 2025 report showed, WorkTitans was controlled by Nesterenko and a 57-year-old from Amsterdam named Youssef Zinad.

On top of that, WorkTitans was getting connectivity to the larger Internet solely through MIRhosting, where Zinad had worked previously.

“The transition to the.hosting was not intended to evade sanctions,” Nesterenko wrote.

1 month назад @ krebsonsecurity.com
Lawmakers Demand Answers as CISA Tries to Contain Data Leak
Lawmakers Demand Answers as CISA Tries to Contain Data Leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak

The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials.

Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos.

CISA acknowledged the leak but has not responded to questions about the duration of the data exposure.

TruffleHog does this by monitoring a live feed that GitHub publishes which includes a record of all commits and changes to public code repositories.

In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, …

1 month, 1 week назад @ krebsonsecurity.com
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

A criminal complaint unsealed today in an Alaska district court charges Jacob Butler, a.k.a.

“Dort,” of Ottawa, Canada with operating the Kimwolf DDoS botnet.

“KimWolf was tied to DDoS attacks which were measured at nearly 30 Terabits per second, a record in recorded DDoS attack volume,” the Justice Department statement reads.

Synthient was among many technology companies thanked by the Justice Department today, and Synthient’s founder Ben Brundage told KrebsOnSecurity he’s relieved Butler is in custody.

The DOJ said at least one of those services collaborated with Butler’s Kimwolf botnet.

1 month, 1 week назад @ krebsonsecurity.com
CISA Admin Leaked AWS GovCloud Keys on Github
CISA Admin Leaked AWS GovCloud Keys on Github CISA Admin Leaked AWS GovCloud Keys on Github

Until this past weekend, a contractor for the Cybersecurity & Infrastructure Security Agency (CISA) maintained a public GitHub repository that exposed credentials to several highly privileged AWS GovCloud accounts and a large number of internal CISA systems.

Another file exposed in their public GitHub repository — “AWS-Workspace-Firefox-Passwords.csv” — listed plaintext usernames and passwords for dozens of internal CISA systems.

“The available Git metadata alone does not prove which endpoint or device was used.”Caturegli said he validated that the exposed credentials could authenticate to three AWS GovCloud accounts at a high privilege level.

CISA has not responded to questions about the p…

1 month, 1 week назад @ krebsonsecurity.com
Patch Tuesday, May 2026 Edition
Patch Tuesday, May 2026 Edition Patch Tuesday, May 2026 Edition

Artificial intelligence platforms may be just as susceptible to social engineering as human beings, but they are proving remarkably good at finding security vulnerabilities in human-made computer code.

May’s Patch Tuesday is a welcome respite from April, which saw Microsoft fix a near-record 167 security flaws.

But at the end of April, Oracle announced it was switching to a monthly update cycle for critical security issues.

Chrome automagically downloads available security updates, but installing them requires fully restarting the browser.

For a more granular look at the Microsoft updates released today, checkout this inventory by the SANS Internet Storm Center.

1 month, 2 weeks назад @ krebsonsecurity.com
Canvas Breach Disrupts Schools & Colleges Nationwide
Canvas Breach Disrupts Schools & Colleges Nationwide Canvas Breach Disrupts Schools & Colleges Nationwide

The stated deadline for payment was initially set at May 6, but it was later pushed back to May 12.

The May 6 update stated that Canvas was fully operational, and that Instructure was not seeing any ongoing unauthorized activity on their platform.

Instructure responded by pulling Canvas offline and replacing the portal with the message, “Canvas is currently undergoing scheduled maintenance.

Data extortion groups like ShinyHunters will typically only remove victims from their leak sites after receiving an extortion payment or after a victim agrees to negotiate.

Last month, ShinyHunters relieved the home security giant ADT of personal information on 5.5 million customers.

1 month, 3 weeks назад @ krebsonsecurity.com
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

For the past several years, security experts have tracked a series of massive DDoS attacks originating from Brazil and solely targeting Brazilian ISPs.

The company originated from protecting game servers against DDoS attacks and evolved into an ISP-focused DDoS mitigation provider.

But so-called “DNS reflection” attacks rely on DNS servers that are (mis)configured to accept queries from anywhere on the Web.

“We received and notified many Tier 1 upstreams regarding very very large DDoS attacks against small ISPs,” Nascimento said.

Nascimento flatly denied being involved in DDoS attacks against Brazilian operators to generate business for his company’s services.

2 months назад @ krebsonsecurity.com
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty ‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty

A 24-year-old British national and senior member of the cybercrime group “Scattered Spider” has pleaded guilty to wire fraud conspiracy and aggravated identity theft.

FBI investigators tied Buchanan to the 2022 SMS phishing attacks after discovering the same username and email address was used to register numerous phishing domains seen in the campaign.

That same year, U.K. investigators found a device at Buchanan’s Scotland residence that included data stolen from SMS phishing victims and seed phrases from cryptocurrency theft victims.

Buchanan is the second known Scattered Spider member to plead guilty.

Two other alleged Scattered Spider members will soon be tried in the United Kingdom.

2 months, 1 week назад @ krebsonsecurity.com
Patch Tuesday, April 2026 Edition
Patch Tuesday, April 2026 Edition Patch Tuesday, April 2026 Edition

“This CVE can enable phishing attacks, unauthorized data manipulation, or social engineering campaigns that lead to further compromise,” Walters said.

Satnam Narang, senior staff research engineer at Tenable, said April marks the second-biggest Patch Tuesday ever for Microsoft.

Narang also said there are indications that a zero-day flaw Adobe patched in an emergency update on April 11 — CVE-2026-34621 — has seen active exploitation since at least November 2025.

Adam Barnett, lead software engineer at Rapid7, called the patch total from Microsoft today “a new record in that category” because it includes nearly 60 browser vulnerabilities.

For example, a Google Chrome update released earlier t…

2 months, 2 weeks назад @ krebsonsecurity.com
Russia Hacked Routers to Steal Microsoft Office Tokens
Russia Hacked Routers to Steal Microsoft Office Tokens Russia Hacked Routers to Steal Microsoft Office Tokens

Hackers linked to Russia’s military intelligence units are using known flaws in older Internet routers to mass harvest authentication tokens from Microsoft Office users, security experts warned today.

The spying campaign allowed state-backed Russian hackers to quietly siphon authentication tokens from users on more than 18,000 networks without deploying any malicious software or code.

Instead, they used known vulnerabilities to modify the Domain Name System (DNS) settings of the routers to include DNS servers controlled by the hackers.

English said the routers attacked by Forest Blizzard were reconfigured to use DNS servers that pointed to a handful of virtual private servers controlled by …

2 months, 3 weeks назад @ krebsonsecurity.com
Graham Cluley Graham Cluley
последний пост 7 часов назад
Scammers race to cash in on Venezuelan earthquake disaster
Scammers race to cash in on Venezuelan earthquake disaster Scammers race to cash in on Venezuelan earthquake disaster

When a devastating earthquake struck north central Venezuela last week, rescue teams were not the only ones who mobilised fast.

Researchers at threat intelligence firm WhoisXML API say that they uncovered 212 newly-registered domains referencing the earthquake, all of which had been filed within five days of the disaster.

Even years after a natural disaster scammers can still exploit human misery.

And that's because exploitation of a major news event - whether it be a natural disaster of otherwise - can be a successful lure for criminals to deploy when defrauding the unwary out of their savings.

And when a natural disaster creates an urgent need for response, it is all the easier for cyberc…

7 часов назад @ bitdefender.com
USB drives carrying China-linked malware infected Japanese military networks for nearly a year
USB drives carrying China-linked malware infected Japanese military networks for nearly a year USB drives carrying China-linked malware infected Japanese military networks for nearly a year

Leaked internal documents have revealed that for nearly a year Japan's Ground Self-Defense Force (JGSDF) used counterfeit USB flash drives infected with malware on computers connected to sensitive military networks.

The USB drives have been linked to Chinese hacking operations, according to an investigation by Nikkei Asia.

Subsequent investigations found that six out of eight USB drives tested contained the same malicious code.

The infected USB drives had been attached to over 50 computers, with nearly half of those systems used to handle classified data, including information about the movement of troops.

The counterfeit drives, priced 30 to 50 percent below authentic brands, were traced t…

18 часов назад @ bitdefender.com
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup

Smashing Security, Episode 473: How a Hacker Could Have Rickrolled the Entire World.

You think, oh, hang on, they're going to ask me for a password or they're going to ask me for something like that.

Yeah, we'll take that money from under your bed and store it in a safety deposit box that you don't know where it is.

We saw a huge number of CVEs last year and with Mythos and the Frontier models, we think that's going to continue to spike.

So the blast radius of these IT service providers is really, really big.

6 days, 5 hours назад @ grahamcluley.com
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones

Somebody had broken into Brazil's national Civil Defence alert system and used it to send fake "Extreme Alert" notifications - the most severe category, normally reserved for warnings of imminent natural disasters - to mobile phones across at least five states, including São Paulo, Rio de Janeiro, and the Federal District.

In a statement posted on social media, Brazil's National Civil Defence confirmed that it had pulled the alert platform offline at 1:30am following the compromise.

National Secretary of Protection and Civil Defence Wolnei Wolff confirmed that the attackers managed to regain access after an initial attempt to block them from accessing the system.

Emergency alert systems wor…

1 week назад @ bitdefender.com
Apple’s Hide My Email tweak leaves privacy fans fuming
Apple’s Hide My Email tweak leaves privacy fans fuming Apple’s Hide My Email tweak leaves privacy fans fuming

Hide My Email is a privacy feature that lets users create unique, random email addresses that forward messages to your real inbox.

That means you can sign-up for websites, newsletters, and apps without exposing your personal email address.

The problem is, however, that one of the reasons that Hide My Email worked so well was because its aliases were indistinguishable from regular iCloud email addresses.

All any website or app that wants to block anonymous sign-ups now has to do is to reject any email address ending in "@private.icloud.com".

For now, if you already have existing Hide My Email addresses in use, they should continue to work without any changes on your part.

1 week, 4 days назад @ bitdefender.com
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse

Someone is pretending to be your bank, your government, or your local planning office. And according to the FTC, they're making billions doing it. Read more in my article on the Fortra blog.

1 week, 4 days назад @ fortra.com
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed

Which is the connection between your AI agent and Sentry.

And when your AI agent reads data back from one of those services, it treats it as trusted and authoritative.

And so the AI agent does what agents are supposed to do.

But if an attacker can plant text somewhere that your AI agent will read, it's possible that your AI agent will act upon it, and that may not be good.

And then whenever AI wants to access something, AI has to give a reason — why do I want that?

1 week, 6 days назад @ grahamcluley.com
Maine forced to take down data breach portal after fake notices filed with authorities
Maine forced to take down data breach portal after fake notices filed with authorities Maine forced to take down data breach portal after fake notices filed with authorities

The US state of Maine has taken its public data breach notification portal offline after someone submitted fraudulent breach disclosures impersonating two well-known technology companies.

As Bleeping Computer reported last week, fraudulent data breach disclosures were submitted to Maine's official breach portal and publicly posted before their legitimacy could be verified, prompting the named companies to deny the claims.

However, somewhat more convincing was a fake breach notice that targeted the multiplayer social virtual reality platform VRChat.

It appears that the abuse of the system was possible because the Maine data breach reporting system lacked a proper verification mechanism.

Anyo…

2 weeks, 1 day назад @ bitdefender.com
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details

According to media reports, a security blunder carelessly leaked the passport details of every player in Argentina's World Cup squad ahead of Tuesday's warm-up friendly against Iceland.

But why are passport numbers on a World Cup team sheet at all?

Under FIFA regulations, teams must provide passport numbers around an hour before a match kicks off.

So the passport numbers belong in the information handed to the referee.

Before releasing any document containing sensitive data, verify that the data has actually gone - not just covered up.

2 weeks, 4 days назад @ bitdefender.com
Silent Ransom Group: what you need to know
Silent Ransom Group: what you need to know

Most extortion gangs hide behind a keyboard. Silent Ransom Group will phone your staff pretending to be IT support - and if that fails, send someone to your office in person to plug in a USB stick. Read more in my article on the Fortra blog.

2 weeks, 5 days назад @ fortra.com
Smashing Security podcast #471: This AI worm just rewrote its own rules
Smashing Security podcast #471: This AI worm just rewrote its own rules Smashing Security podcast #471: This AI worm just rewrote its own rules

Yeah, I've decided I should actually know something about technology after about 15 years of covering it.

This week I'm talking about helpful AI, maybe too helpful AI, which is the Meta AI, which seems to have been giving anyone who asked nicely anyone else's password.

And continuing the AI theme, I'm going to be talking about an AI worm that appears to think for itself.

I think I'm not going to cry with offense if you say that.

You're going to spend the money and you've got the money to spend.

2 weeks, 6 days назад @ grahamcluley.com
Why schools remain one of cybercriminals’ favourite targets
Why schools remain one of cybercriminals’ favourite targets Why schools remain one of cybercriminals’ favourite targets

Evanston Township High School (ETHS), located approximately 14 miles north of Chicago, says it was hit by a ransomware attack on Sunday, June 7 2026.

No ransomware group has claimed responsibility for the attack against ETHS, and it is not known if any personal data has been exfiltrated by cybercriminals.

The sad truth is that schools are attractive targets to cybercriminals.

And, as is demonstrated by the closure of ETHS, schools often rely upon networked systems for everything from the platforms used to teach pupils to providing physical access controls.

Meanwhile, schools don't just face serious threats from organised criminal gangs but also from within their own walls.

2 weeks, 6 days назад @ bitdefender.com
Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5
Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5 Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5

If you've ever received an out-of-the-blue message via LinkedIn from a recruiter offering some well-paid consultancy work, intelligence agencies have a message for you: be very careful.

According to the bulletin, entitled "Safeguarding Our Secrets", Chinese intelligence officers - or third parties acting on their behalf - are posing as employees of private consultancies, think tanks, and HR firms.

According to the intelligence agencies, targets do not need security clearances to be of use to Chinese spies.

Western agencies warn that just submitting a CV containing your employer history, specialist knowledge, and details of professional contacts has am intelligence value.

The Five Eyes intel…

3 weeks, 4 days назад @ bitdefender.com
Meta’s own AI chatbot to blame for Instagram accounts being stolen in seconds
Meta’s own AI chatbot to blame for Instagram accounts being stolen in seconds

Hackers have been hijacking Instagram accounts at scale by exploiting Meta's AI support chatbot. And, as if that weren't bad enough, the technique required no technical skill whatsoever. Read more in my article on the Fortra blog.

3 weeks, 5 days назад @ fortra.com
Smashing Security podcast #470: This AI security flaw might be impossible to fix
Smashing Security podcast #470: This AI security flaw might be impossible to fix Smashing Security podcast #470: This AI security flaw might be impossible to fix

This AI security flaw might be impossible to fix with Graham Cluley and special guest Tanya Janca.

Yeah, I've done some work with them in the past and they're actually sponsoring this episode of the podcast.

Turns out some quiet little permission that crept wider over 3 years, a policy exception that nobody had reviewed, the kind of thing that's invisible until it isn't.

I don't know if that was also exposed on the WebBucket, but yeah, it's additional information though, isn't it?

And I used to work at the Canadian Revenue Agency, so I know they're not following the policy because I wrote it.

3 weeks, 6 days назад @ grahamcluley.com
Компании 🏢
Блог Касперского Блог Касперского
последний пост 19 часов назад
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского

Следующий абзац снова вгоняет вас в панику: «К сожалению, при проверке мы обнаружили, что ваши платежные данные могли быть скомпрометированы».

Для разбирательства напишите нам, иначе мы возбудим уголовное дело и разошлем информацию о вас в СМИ» — и далее по списку.

Но если с вами общаются чересчур эмоционально и вы чувствуете, что на вас давят, то вероятность, что вы общаетесь с мошенником, близится к 99,9%.

→ немедленно смените пароль на этом сервисе и на всех других, где использовали такой же.

Если с вашей карты успели снять или перевести деньги, узнайте, как оспорить транзакцию.

19 часов назад @ kaspersky.ru
Как сегодня злоумышленники атакуют компании | Блог Касперского
Как сегодня злоумышленники атакуют компании | Блог Касперского Как сегодня злоумышленники атакуют компании | Блог Касперского

Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.

Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.

Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись.

Почему это произошлоБыли допущены две классические ошибки:Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным.

Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функционально…

2 days назад @ kaspersky.ru
250 000 мисконфигураций в GitHub Actions | Блог Касперского
250 000 мисконфигураций в GitHub Actions | Блог Касперского 250 000 мисконфигураций в GitHub Actions | Блог Касперского

В частности, опасность может скрываться в GitHub Actions, сценариях автоматизации, позволяющих создавать пайплайны непрерывной интеграции и доставки (CI/CD).

Ошибки и мисконфигурации в них периодически используются злоумышленниками в реальных атаках.

Да, она тоже началась с компрометации мейнтейнера популярного проекта, но распространяемый в ходе этой кампании зловред похищал секреты, именно используя недочет в GitHub Actions.

Как оставаться в безопасностиМисконфигурации в GitHub Actions потенциально могут превратить пайплайны разработки в инструменты злоумышленников, позволяющие скомпрометировать среду разработки или атаковать инфраструктуру компании.

С его помощью наше решение может выявл…

4 days, 17 hours назад @ kaspersky.ru
Чек-лист для выбора EPP-решения | Блог Касперского
Чек-лист для выбора EPP-решения | Блог Касперского Чек-лист для выбора EPP-решения | Блог Касперского

Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек.

Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании.

Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором.

Для перехода от EPP к EDR или MDR ключевым условием является единое решение, умеющее одновременно выполнять функции и EPP-, и EDR/MDR-агента, а также единая консоль управления.

В Kaspersky Security для бизнеса реализованы передовые защитные технологии, включая машинное обучение, поведенческий анализ, защиту …

5 days, 15 hours назад @ kaspersky.ru
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского

Как защитить свой аккаунт в TelegramЧто делать, чтобы защитить свой аккаунт в Telegram от подобных схем угона?

Если вы подозреваете, что стали жертвой подобного стилера или других махинаций злоумышленников, как можно скорее завершите все сессии в Telegram: Настройки → Устройства → Активные сессии → Завершить другие сеансы.

Почему так — мы подробно рассказывали в материале Что делать, если взломали аккаунт в Telegram, перечислив в нем все способы восстановления доступа к своей учетной записи.

Во-первых, необходимо установить облачный пароль для Telegram в разделе Настройки → Конфиденциальность → Облачный пароль.

Наш менеджер паролей кроссплатформенный, поэтому войти в Telegram с использовани…

1 week назад @ kaspersky.ru
Как Hola Browser распространял криптомайнер Monero | Блог Касперского
Как Hola Browser распространял криптомайнер Monero | Блог Касперского Как Hola Browser распространял криптомайнер Monero | Блог Касперского

Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero.

Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application.

}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero.

Как злоумышленники использовали Hola Browser для майнинга MoneroКриптомайнеры — это программы, которые используют вычислительные возможности компьютера для добычи криптовалюты.

Как мы уже сказали выше, в случае заражения Hola Browser на устройства жертв загружался криптомайнер для добычи криптовалюты Monero.

1 week, 1 day назад @ kaspersky.ru
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского

Ставка на проигрышВо время чемпионата мира предсказания результатов матчей и «ставки на спорт» становятся особенно популярны — чем активно пользуются злоумышленники.

Это еще и рекордные продажи коллекционной атрибутики — наклеек, шарфиков, формы сборных, официальных мячей турнира и так далее.

На скриншоте выше злоумышленники предлагают заплатить 67 евро за коллекцию наклеек, но на маркетплейсах такой же набор обойдется как минимум вдвое дороже, а на официальном сайте Panini — втрое.

Конечно, товар вы не получите и потеряете не только деньги, но и реквизиты банковской карты.

Установите Kaspersky Premium — приложение убережет вас от зловредов, фишинга, спама, переходов на вредоносные и поддел…

1 week, 5 days назад @ kaspersky.ru
Ключевые проблемы создания автономного SOC и их решения
Ключевые проблемы создания автономного SOC и их решения Ключевые проблемы создания автономного SOC и их решения

Фундаментальные проблемы автономного SOC: за пределами ИИХотя использование ИИ для анализа данных и принятия решений в SOC звучит как логичная и относительно несложная в реализации идея, попытка ее внедрить ставит и обостряет проблемы, с которыми организации столкнулись при внедрении SIEM, XDR и SOAR:Качество исходных данных.

Даже когда роль ИИ сводится к предварительному сбору данных и рекомендациям, аналитики зачастую не доверяют данным и тратят время на их повторный сбор и анализ.

В SOC и ИБ в целом всегда есть плохо документированная информация: бизнес-контекст, коллективные знания и другие данные, которые помогают верно оценивать оповещения и инциденты.

Проблемы ИИ, критичные для SOCКр…

2 weeks, 1 day назад @ kaspersky.ru
Атака FROST: слежка за пользователем при помощи SSD
Атака FROST: слежка за пользователем при помощи SSD Атака FROST: слежка за пользователем при помощи SSD

Хотя она и изолирована, но записываются эти данные в итоге на тот же SSD, с которым также работают прочие программы и веб-сайты.

Оказалось, что если вредоносная страница постоянно обращается к SSD, по задержкам при доступе к данным можно определить, что еще происходит на ПК.

Допустим, на SSD имеется достаточно большой файл, наполненный случайными данными.

Комбинация всех особенностей атаки объясняет ее название: FROST расшифровывается как Fingerprinting Remotely using OPFS-based SSD Timing, то есть удаленное наблюдение над SSD с использованием технологии OPFS.

Впрочем, суть атаки FROST не в передаче данных, а в слежке за активностью пользователя.

2 weeks, 6 days назад @ kaspersky.ru
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского

Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal.

Рассказываем, как не стать жертвой нового трояна — и как безопасно и максимально анонимно смотреть пикантный контент с аниме-девочками (или без).

В другой ситуации это, наверное, сложно было бы назвать неприятной характеристикой, но Argamal, к сожалению, троян не из «скорострелов».

Через три дня компьютер подключается к GitHub, скачивает зашифрованный файл, расшифровывает его и превращает в рабочий модуль трояна.

Именно поэтому мы рекомендуем хранить пароли не в текстовых файлах, а в зашифрованном контейнере менеджера паролей.

3 weeks назад @ kaspersky.ru
Как отключить ИИ-системы в компании и заблокировать доступ к ним
Как отключить ИИ-системы в компании и заблокировать доступ к ним Как отключить ИИ-системы в компании и заблокировать доступ к ним

Как выявить и ограничить использование Claude и Claude CodeДетектирование: анализ на NGFW или веб-фильтре трафика к claude.ai, anthropic.com, *.anthropic.com, api.anthropic.com.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов Anthropic, с помощью политик браузера заблокировать различные расширения, дающие доступ к Claude.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов DeepS…

3 weeks, 1 day назад @ kaspersky.ru
XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского
XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского

У Павла Дурова и его «приватного» мессенджера появился новый конкурент, и это — барабанная дробь — Илон Маск и его сервис XChat.

Все описанные выше сложности с PIN-кодом в XChat, на самом деле, имеют под собой своеобразное основание.

Напомним, что, в отличие от WhatsApp и Signal, разработчики XChat решили хранить приватные ключи пользователей на своих серверах.

Так что в итоге с XChat?

И, конечно, хранить его, как и любые другие пароли, следует не в заметках, а в надежном менеджере паролей.

3 weeks, 4 days назад @ kaspersky.ru
Руководство по отключению Copilot, Gemini, Apple Intelligence | Блог Касперского
Руководство по отключению Copilot, Gemini, Apple Intelligence | Блог Касперского Руководство по отключению Copilot, Gemini, Apple Intelligence | Блог Касперского

Отключение при помощи политик: в Admin Center пройти в раздел Settings → Integrated Apps, найти Copilot в списке Available Apps, выбрать Block.

Как отключить панель Copilot в EdgeДетектирование: на уровне NGFW или других сетевых журналов искать обращение к ресурсам copilot.microsoft.com, bing.com/chat, edgeservices.bing.com.

Блокировка с помощью политик: в панели управления: Apps → Additional Google services → Gemini app: OFF.

Блокировка с помощью политик: в корпоративных политиках Chrome необходимо установить: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (отключено), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.

Как отключить Apple Intel…

3 weeks, 5 days назад @ kaspersky.ru
Исследование безопасности Wi-Fi в Мексике | Блог Касперского
Исследование безопасности Wi-Fi в Мексике | Блог Касперского Исследование безопасности Wi-Fi в Мексике | Блог Касперского

Мы исследовали более 84 500 общественных точек доступа Wi-Fi в Мехико, Гвадалахаре и Монтеррее — и нам есть что вам рассказать об их безопасности.

Что и как мы исследовалиПройтись пешком по Мексике в поисках публичных Wi-Fi-точек было бы сложновато, хотя ради аналогичного исследования безопасности Wi-Fi в Париже мы именно так и поступили (кстати, ознакомиться с его результатами можно в материале Безопасен ли парижский Wi-Fi?).

Выяснилось, что WPS включен почти у половины (47%) точек доступа в Мехико, у 43% — в Гвадалахаре и 41% — в Монтеррее.

Поэтому наиболее безопасным вариантом станет использование сотовой связи для доступа в Интернет — и никакой Wi-Fi не понадобится.

О том, как это сдела…

4 weeks назад @ kaspersky.ru
Паттерны современных вредоносных кампаний | Блог Касперского
Паттерны современных вредоносных кампаний | Блог Касперского Паттерны современных вредоносных кампаний | Блог Касперского

Конкретные примеры современных вредоносных кампанийНесмотря на эти изменения, наши эксперты продолжают активно отслеживать новые вредоносные кампании и реагировать на современные угрозы.

Наши технологии зарегистрировали более тысячи вредоносных писем почти идентичной структуры, разосланных организациям из госсектора, строительной и промышленной отраслей, что прямо указывает на автоматизацию проводимых атак.

Примечательно, что в качестве резервного командного сервера загрузчик обращается к Solana Name Service, децентрализованному блокчейн-реестру, что существенно затрудняет блокировку инфраструктуры.

Обе группы активно применяют PowerShell-нагрузки и нацелены на российский госсектор, что ука…

1 month назад @ kaspersky.ru
Блог Group-IB
последний пост None
Cisco Security Blog Cisco Security Blog
последний пост 1 week назад
Uplevelling Black Hat Threat Hunters
Uplevelling Black Hat Threat Hunters Uplevelling Black Hat Threat Hunters

More telemetry means better visibility – but also more data for threat hunters to sift through.

Then came an important decision: Focus on what matters for detection of threats at Black Hat.

Enriching with Network Context and reducing noiseA file submitted via HTTP doesn’t exist in isolation – it has network context.

It was about:Surfacing high-risk submissions automaticallyProviding network context for faster triageHelping threat hunters dismiss noise fasterThis workflow is far from perfect.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

1 week назад @ blogs.cisco.com
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate

If you’ve ever troubleshot a complex workflow run, you know the drill: click into actions, expand inputs and outputs, scan logs, backtrack, repeat.

We’ve just released Workflow Run Summaries in Cisco XDR Automate: an on-demand, AI-generated summary that explains what happened during a workflow execution, where things went wrong, and why that matters, without forcing you to manually inspect every step.

What the feature doesWith a single click on “Generate Run Summary”, Cisco XDR Automate analyzes a completed workflow run and produces a concise, human-readable explanation of its execution.

Why this matters, especially for Agentic AIAs XDR Automate Workflows are increasingly triggered by Agent…

1 week, 6 days назад @ blogs.cisco.com
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength

It is the hardest attack category in email security — for any vendor, any product, any architecture.

This balance — 98% threat detection alongside zero hard false positives — is what the 94% Total Accuracy Rating reflects.

What Independent Validation Means for Your Security StrategyEvery email security vendor publishes detection rates.

Read the full report for more insight into ETD’s comprehensive email security capabilities.

All performance data sourced from the SE Labs Advanced Security Test Report — Email (Protection), Cisco Secure Email Threat Defense, May 2026 (v1.0).

2 weeks назад @ blogs.cisco.com
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia

Caption: MCP integrations exposed to the local AI workflow for SOC investigation contextAt this stage, the system was already useful.

Caption: OpenClaw using the local Ollama model backend instead of an external model providerThe distinction is important.

I installed DefenseClaw alongside the OpenClaw environment, to add inspection and audit visibility around the agentic AI workflow.

Sending DefenseClaw events into Splunk made the AI workflow feel more operational and less experimental.

At Black Hat Asia, this became a practical way to explore what private AI for SOC workflows could look like.

2 weeks, 1 day назад @ blogs.cisco.com
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026 Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026

Cisco has been a long-standing partner in securing Black Hat conferences worldwide, providing the critical network infrastructure that ensures safe connectivity for all attendees.

At Black Hat Asia 2026, we continued this tradition while introducing significant enhancements to our security capabilities through innovative integrations.

Resource ConnectorCisco Secure Access Resource Connector was deployed to provide secure remote access to critical systems.

Resource Connector solves this problem by creating secure path to the target, which is accessible from public URL generated by Secure Access platform.

Check out the other blogs from our team at Black Hat Asia 2026.

2 weeks, 1 day назад @ blogs.cisco.com
The Essence of Black Hat – Collaboration with Partners
The Essence of Black Hat – Collaboration with Partners The Essence of Black Hat – Collaboration with Partners

As is tradition at every Black Hat conference, Day 1 winds down with a quick reality check – what’s done, what’s broken, and what absolutely needs to go live by tomorrow.

Corelight traffic and detections were already flowing into Cisco XDR using OCSF-based ingestion built at Black Hat Europe 2025.

That’s the lesson Black Hat reinforces every time:Progress accelerates when you ask the right person the right question.

Check out the other blogs from our team at Black Hat Asia 2026.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

2 weeks, 1 day назад @ blogs.cisco.com
Black Hat Asia 2026: A Decade in Singapore
Black Hat Asia 2026: A Decade in Singapore Black Hat Asia 2026: A Decade in Singapore

Cisco celebrates our 10th year building and safeguarding the network for Black Hat Asia in Singapore.

We work with other official providers to bring the hardware, software and engineers to build and secure the Black Hat Asia network: Arista, Corelight, Jamf, MyRepublic and Palo Alto Networks.

Since 2017, Cisco has protected the Black Hat Asia network, beginning with automated malware analysis using Threat Grid.

Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat AsiaUplevelling Black Hat Threat HuntersCisco Secure Access with MCP Infrastructure at Black Hat Asia 2026The Essence of Black Hat – Collaboration with PartnersBlack Hat A…

2 weeks, 1 day назад @ blogs.cisco.com
Black Hat Asia 2026: Threat Hunters’ Corner
Black Hat Asia 2026: Threat Hunters’ Corner Black Hat Asia 2026: Threat Hunters’ Corner

One of the first things we notice walking into the Black Hat NOC/SOC to help setup was that no one cared about who you worked for.

That goal being to discover and protect Black Hat from attacks both internally and externally.

High Score, Low Threat: A 60-Second Triage StoryThe new agentic capabilities in Cisco XDR were enabled in our Black Hat tenant – and they didn’t disappoint.

Check out the other blogs from our team at Black Hat Asia 2026.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

2 weeks, 1 day назад @ blogs.cisco.com
Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia
Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia

The Black Hat server owners confirmed the Apache version was fully patched, ensuring no impact to Black Hat assets.

Cisco XDR correlated events and enriched them with Talos and other third-party threat intelligence feeds, confirming the issue and assigning priority.

An attendee was seen accessing a custom application hosted in their home country from the Black Hat network.

AI Reasoning AnalysisDrilled deeper into the AI reasoning behind the Cisco XDR storyboard findings.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

2 weeks, 1 day назад @ blogs.cisco.com
Security in the Post-Mythos Era
Security in the Post-Mythos Era Security in the Post-Mythos Era

It was designed to be useful whether you had a team of 500 security analysts or a single IT person wearing multiple hats.

The new mathBefore Mythos and other frontier large language models (LLMs), the vulnerability lifecycle had a rhythm that most security teams had internalized.

It also means you need incident response capability for when prevention fails.

When everything has been tested and still was not enough, emergency incident response is the capability that gets you from compromised to recovered.

Because they operate at a layer of the security stack that is independent of how fast vulnerabilities are discovered.

3 weeks назад @ blogs.cisco.com
Cisco SASE with Meraki: Get in the Fast Lane to SASE
Cisco SASE with Meraki: Get in the Fast Lane to SASE Cisco SASE with Meraki: Get in the Fast Lane to SASE

That is why I am excited to share that Cisco SASE with Meraki is now generally available.

You keep the Meraki experience you know, then connect it to Cisco Secure Access for cloud-delivered Security Service Edge (SSE) protection.

What We BuiltCisco SASE with Meraki connects Meraki SD-WAN sites to Cisco Secure Access, Cisco’s cloud-delivered SSE solution.

With Cisco SASE with Meraki, Meraki AutoVPN can automatically establish secure primary and backup tunnels between enrolled MX sites and Cisco Secure Access.

Cisco SASE with Meraki gives Meraki customers a fast, secure, and resilient approach to bring SD-WAN traffic into Cisco Secure Access.

3 weeks назад @ blogs.cisco.com
Extending Zero Trust Across the Agentic AI Workflow
Extending Zero Trust Across the Agentic AI Workflow Extending Zero Trust Across the Agentic AI Workflow

This is the shift from access control to action control.

To move from access control to action control, Agent Gateway will help answer five questions before a request is allowed to proceed:Who is the agent?

With Agent Gateway, Cisco extends these capabilities into the agentic workflow.

Duo will identify the agent process itself using Duo identity, extending naturally from user MFA to agent and non-human identities.

Duo will identify the agent process itself using Duo identity, extending naturally from user MFA to agent and non-human identities.

3 weeks, 6 days назад @ blogs.cisco.com
Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery
Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery

Why we are changing our cadenceThe fundamental scale of vulnerability discovery has shifted.

Seven days before each release, PSIRT will publish the list of technologies and platforms included in that drop.

Cisco PSIRT will provide ‘bundled’ CVEs (Common Vulnerability Exposures) tied to CWE categories (Common Weakness Enumerations).

If a finding is being addressed in a scheduled release, upgrading should negate the need to implement corner-case mitigations that do not scale.

The Cisco PSIRT is the gold standard for vulnerability disclosure and will drive this revolution – with significantly expanded tooling and cadence built for the new rate of discovery.

4 weeks назад @ blogs.cisco.com
Quantum Resilience Needs a Common Language. Here’s Where to Start.
Quantum Resilience Needs a Common Language. Here’s Where to Start. Quantum Resilience Needs a Common Language. Here’s Where to Start.

The National Institute of Standards and Technology (NIST) finalized its first PQC standards in 2024.

Cisco’s Quantum Resilience FrameworkCisco has developed a framework to articulate multiple levels of quantum resilience – each representing distinct capabilities designed to respond to new and emerging threats to confidential communication and product integrity.

It gives organizations a foundation as they progress toward more complete levels of quantum resilience.

Level 3 extends quantum resilience into identity and attestation.

Together, these levels give customers a practical way to evaluate quantum resilience.

4 weeks назад @ blogs.cisco.com
Security at Cisco Live: Going Shields Up for the Agentic Era
Security at Cisco Live: Going Shields Up for the Agentic Era Security at Cisco Live: Going Shields Up for the Agentic Era

Secure agents as digital workersThe second imperative is to secure the agents now entering the enterprise.

At Cisco Live, we are taking the next step by making DefenseClaw enterprise-ready and integrating it into Cisco Secure Client.

Context provided by the network is what allows security teams to understand behavior, enforce trust, and respond with confidence across domains.

That is how Cisco is helping customers become more resilient—and helping security teams protect, detect and respond with confidence in the agentic era.

Ask a question and stay connected with Cisco Security on social media.

4 weeks назад @ blogs.cisco.com
Microsoft Security Microsoft Security
последний пост 9 часов назад
Accelerating the quantum-safe timeline
Accelerating the quantum-safe timeline Accelerating the quantum-safe timeline

The quantum-safe timeline has changedFor years, planning for post-quantum cryptography (PQC) was framed as a future problem: important, inevitable, but distant.

At Microsoft, we are acting on this shift by bringing our quantum-safe timeline forward so organizations can begin the transition earlier and with greater confidence.

Accelerating our timelineIn response to these shifts, we are accelerating the Microsoft Quantum Safe Program (QSP) timeline with the goal of transitioning critical products and services to PQC by 2029.

We will continue to share technical guidance and operational best practices to help organizations adopt quantum-safe cryptography with confidence as they move from plann…

9 часов назад @ microsoft.com
​​What’s new in Microsoft Security: June 2026
​​What’s new in Microsoft Security: June 2026 ​​What’s new in Microsoft Security: June 2026

Prioritize risk with unified identity risk scoreA new unified identity risk score combines signals from across Microsoft Security into a single, explainable measure of an identity’s risk.

Prioritize identity risk and enforce protection in real time with the new unified identity risk score.

Organizations can use the new security tools and capabilities announced at Microsoft Build 2026 to innovate faster and scale AI adoption without sacrificing security.

In the Loop posts are your reliable source of what’s new across Microsoft Security and what it means for your security strategy.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybers…

12 часов назад @ microsoft.com
Securing AI agents: When AI tools move from reading to acting
Securing AI agents: When AI tools move from reading to acting Securing AI agents: When AI tools move from reading to acting

AI Application Series 1: Security considerations when adopting AI tools examined how AI adoption expands the enterprise attack surface.

AI Application Series 2: Detecting and analyzing prompt abuse in AI tools showed how indirect prompt injection can bias the output of a passive AI summarizer.

AI agents can plan multi-step tasks, decide which tools to invoke, and execute actions on behalf of the user.

This post focuses on one of its fastest-moving categories: tool misuse and agentic supply chain risk exploited through poisoned MCP tool metadata.

The tool name and user-facing summary remain unchanged, but the MCP tool description is silently modified.

12 часов назад @ microsoft.com
Chromium extension uses AI‑related branding to redirect browser search
Chromium extension uses AI‑related branding to redirect browser search Chromium extension uses AI‑related branding to redirect browser search

Extension overviewThe extension we analyzed has the following attributes:Attribute Value Extension name Search for perplexity ai Extension ID flkebkiofojicogddingbdmcmkpbplcd Manifest version MV3 Version 2.2 Observed purpose Browser search override and redirect logic Referenced brand Perplexity AI Suspicious domain perplexity-ai[.

The runtime workflow we’ve observed demonstrates browser search redirection behavior:User enters search query into the Omnibox.

Monitor unauthorized changes to browser search settings, unusual extension permissions, and outbound traffic to intermediary or non-standard domains associated with search activity.

Learn moreFor the latest security research from the Micr…

1 day, 12 hours назад @ microsoft.com
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access

]info Domain C2 domain recstrace[.

]info Domain C2 domain heliosup[.

]info Domain C2 domain fairyspells[.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories and insights from the Microsoft Threat Intelligence community about the ever-evolving threat landscape, listen to the Microsoft Threat Intelligence podcast.

5 days, 6 hours назад @ microsoft.com
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms

Microsoft’s recognition as a Leader in The Forrester Wave™: Endpoint Management Platforms, Q2 2026 report reflects that shift—and the role Microsoft Intune plays in helping organizations manage what’s next.

Figure 1: Forrester Wave showing Microsoft in a Leader position for both strength of offering and strategyWhy Microsoft Intune is a leader in endpoint managementThe Forrester Wave™ Endpoint Management Platforms, Q2 2026 report includes eight endpoint management platform providers, assessed across current offering, strategy, and customer feedback.

Full details are in our announcement blog: Microsoft 365 adds advanced Microsoft Intune solutions at scale.

Bookmark the Microsoft Intune blog …

5 days, 12 hours назад @ microsoft.com
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms

Organizations now require platforms that can:Correlate posture, runtime, identity, and data signals.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud-Native Application Protection Platforms (CNAPP) to see how leading vendors are evaluated—and how the category is shifting toward unified cloud risk operations platforms.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across the application lifecycle can help reduce cloud risk.

Bookmark the Microsoft Security blog to keep up with our expert coverage on security matters.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news an…

6 days, 10 hours назад @ microsoft.com
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them

Indicators of compromiseIndicator Type Description 8f32456359f209a63adfd24b94235e1727382ac7f7bb7f2bcaf754e721925b64 SHA-256 StealC 0215f734867bd71c57ff5c524d8cc670be5b4f1861b2c390cf46d18784a53624 SHA-256 StealC 2a0f053855da59b3b56812e580d7baeba59fc9493694722aa9e3f121ee3363f1 SHA-256 StealC 977b33a9b481cf714946b7d386865cd5d284312aa5ecfa0546c197b1003e1bde SHA-256 StealC b7d1f172ff3feafe65d47fd1cbe0cc249316371ae0e1cbe3a7c741c738b3353d SHA-256 Amadey 5.87 9383572a30ae5b76fadd0700fbd7a1aa7b05d0b6c8f9cdaef9b30a3e1f65d57d SHA-256 Amadey 5.86 5f5b25b2e35d404034d0d60975cf1ffbc6f141761ec3f4f15d6f7c6213a056f6 SHA-256 Amadey 5.80 98e504cc7125b79eda5491f40b998605a05f4cd968b961aab4cce7beb074fefe SHA-256 …

6 days, 16 hours назад @ microsoft.com
Guarding AI memory
Guarding AI memory Guarding AI memory

AI memory transforms an AI system from a stateless tool into a learning collaborator.

What AI memory is (and why it matters)AI systems use memory to retain and recall information across interactions.

Since AI memory attacks happen outside of their original context, defenses are often lower and forensics are harder.

Building safe AI memory is one of the most consequential challenges in AI.

Our AI memory strategy is guided by design principles for building safe memory systems.

1 week, 1 day назад @ microsoft.com
One intrusion, two cyberattackers: Uncovering parallel threat activity
One intrusion, two cyberattackers: Uncovering parallel threat activity One intrusion, two cyberattackers: Uncovering parallel threat activity

Once inside, the threat actor shifted focus to persistence and control.

As DART correlated activity across the environment, investigators uncovered signs of a second, unrelated threat actor operating in parallel.

DART moved quickly to contain the active intrusion involving multiple threat actors and stabilize the environment, activating a structured response playbook focused on limiting threat actor impact and restoring control.

Continuous coordination with the customer, including daily briefings, ensured that containment actions were timely, aligned, and effective in reducing further threat actor movement.

Today’s modern cyberattacks can quickly evolve beyond a single incident-blending tac…

1 week, 1 day назад @ microsoft.com
AutoJack: How a single page can RCE the host running your AI agent
AutoJack: How a single page can RCE the host running your AI agent AutoJack: How a single page can RCE the host running your AI agent

It does not block JavaScript that is rendered by a headless browser owned by an AutoGen agent on the same machine.

This work informs guidance for developers and detections for defenders across Microsoft Defender, Microsoft Defender for Cloud, Microsoft Entra and Microsoft 365.

Customers using Microsoft Defender, Microsoft Defender for Cloud, and Microsoft Entra can use these controls to detect, contain, and investigate related activity.

This work informs guidance for developers and detections for defenders across Microsoft Defender, Microsoft Defender for Cloud, Microsoft Entra and Microsoft 365.

Customers using Microsoft Defender, Microsoft Defender for Cloud, and Microsoft Entra can use t…

1 week, 5 days назад @ microsoft.com
New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI
New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI

This year, Microsoft commissioned Forrester Consulting to conduct a Total Economic Impact™ (TEI) study for our AI-first, end-to-end security platform.

What end-to-end security deliversBased on in-depth interviews with a survey of 362 customers and 11 security decision-makers using Microsoft Security solutions, the Forrester study revealed the impact of consolidating with Microsoft Security.

Security for AI – New solutions like Microsoft Agent 365 with foundations of Microsoft Security, extend identity, governance, and control to AI agents, so customers can adopt them with confidence.

AI for Security – Microsoft Security Copilot, together with Microsoft Defender, Entra and Purview provides A…

1 week, 5 days назад @ microsoft.com
From package to postinstall payload: Inside the Mastra npm supply chain compromise
From package to postinstall payload: Inside the Mastra npm supply chain compromise From package to postinstall payload: Inside the Mastra npm supply chain compromise

Microsoft Threat Intelligence observed a large-scale npm supply chain attack affecting 140+ packages across the mastra and @mastra scopes on the npm registry.

Microsoft Defender Antivirus, Microsoft Defender for Endpoint, and Microsoft Defender XDR provide detections and hunting coverage for suspicious Node.js execution, malicious package behavior, reflective code loading, persistence activity and command-and-control communication.

The easy-day-js dependency was not present in any prior versions of mastra npm packages.

Microsoft Defender XDR detectionsMicrosoft Defender XDR customers can refer to the list of applicable detections below.

Advanced huntingThe following KQL queries can be used …

1 week, 6 days назад @ microsoft.com
Crypto Clipper uses Tor and worm-like propagation for persistence and control
Crypto Clipper uses Tor and worm-like propagation for persistence and control Crypto Clipper uses Tor and worm-like propagation for persistence and control

Clipper malware relies on stealing clipboard data and parsing it for valuable assets.

Additionally, Microsoft Defender Antivirus detects this crypto clipper as Trojan: Win32/CryptoBandits.A.

A file named “cfile” is created on the infected system as an output for payload hosted on the C2 domain.

Private Key extractionThe crypto clipper also detects cryptocurrency keys for both Ethereum and Bitcoin WIF.

Initial AccessT1091 Replication Through Removable MediaExecutionT1059 Command and Scripting Interpreter | EVAL-driven remote code execution from server taskingDiscoveryT1057 Process Discovery | Task Manager check used as an anti-analysis gatePersistenceT1053.005 Scheduled Task/Job | Scheduled …

1 week, 6 days назад @ microsoft.com
Crypto Clipper uses Tor and worm-like propagation for persistence and control
Crypto Clipper uses Tor and worm-like propagation for persistence and control Crypto Clipper uses Tor and worm-like propagation for persistence and control

Clipper malware relies on stealing clipboard data and parsing it for valuable assets.

Additionally, Microsoft Defender Antivirus detects this crypto clipper as Trojan: Win32/CryptoBandits.A.

A file named “cfile” is created on the infected system as an output for payload hosted on the C2 domain.

Private Key extractionThe crypto clipper also detects cryptocurrency keys for both Ethereum and Bitcoin WIF.

Initial AccessT1091 Replication Through Removable MediaExecutionT1059 Command and Scripting Interpreter | EVAL-driven remote code execution from server taskingDiscoveryT1057 Process Discovery | Task Manager check used as an anti-analysis gatePersistenceT1053.005 Scheduled Task/Job | Scheduled …

1 week, 6 days назад @ microsoft.com
Google Online Security Blog Google Online Security Blog
последний пост 2 months, 1 week назад
AI threats in the wild: The current state of prompt injections on the web
AI threats in the wild: The current state of prompt injections on the web AI threats in the wild: The current state of prompt injections on the web

Here, threat actors may simply seed prompt injections on websites in hope of corrupting AI systems that browse them.

Early experiments revealed a significant volume of "benign" prompt injection text, which illustrates the complexity of distinguishing between functional threats and harmless content.

Many prompt injections were found in research papers, educational blog posts, or security articles discussing this very topic.

(Source: GitHub/swisskyrepo)When searching for prompt injections naively, the majority of detections are benign content – false positives in our case.

Malicious: ExfiltrationWe were able to observe a small number of prompt injections that aim at theft of data.

2 months, 1 week назад @ security.googleblog.com
Bringing Rust to the Pixel Baseband
Bringing Rust to the Pixel Baseband Bringing Rust to the Pixel Baseband

Recognizing the risks associated within the complex modem firmware, Pixel 9 shipped with mitigations against a range of memory-safety vulnerabilities.

Following our previous discussion on "Deploying Rust in Existing Firmware Codebases", this post shares a concrete application: integrating a memory-safe Rust DNS(Domain Name System) parser into the modem firmware.

Hook-up Rust to modem firmwareBefore building the Rust DNS library, we defined several Rust unit tests to cover basic arithmetic, dynamic allocations, and FFI to verify the integration of Rust with the existing modem firmware code base.

Pixel modem firmware already has a well-tested and specialized global memory allocation system to…

2 months, 3 weeks назад @ security.googleblog.com
Protecting Cookies with Device Bound Session Credentials
Protecting Cookies with Device Bound Session Credentials Protecting Cookies with Device Bound Session Credentials

This project represents a significant step forward in our ongoing efforts to combat session theft, which remains a prevalent threat in the modern security landscape.

Session theft typically occurs when a user inadvertently downloads malware onto their device.

Once active, the malware can silently extract existing session cookies from the browser or wait for the user to log in to new accounts, before exfiltrating these tokens to an attacker-controlled server.

How DBSC WorksDBSC protects against session theft by cryptographically binding authentication sessions to a specific device.

The issuance of new short-lived session cookies is contingent upon Chrome proving possession of the correspondi…

2 months, 3 weeks назад @ security.googleblog.com
Google Workspace’s continuous approach to mitigating indirect prompt injections
Google Workspace’s continuous approach to mitigating indirect prompt injections Google Workspace’s continuous approach to mitigating indirect prompt injections

Staying ahead of the latest indirect prompt injection attacks is critical to our mission of securing Workspace with Gemini.

In our previous blog “Mitigating prompt injection attacks with a layered defense strategy”, we reviewed the layered architecture of our IPI defenses.

Synthetic data generationAfter we discover, curate, and catalog new attacks, we use Simula to generate synthetic data expanding these new attacks.

We partition the synthetic data described above into separate training and validation sets to ensure performance is evaluated against held-out examples.

This process leverages the newly generated synthetic attack data described on this blog, to create a robust, end-to-end evalu…

2 months, 4 weeks назад @ security.googleblog.com
VRP 2025 Year in Review
VRP 2025 Year in Review VRP 2025 Year in Review

2025 marked a special year in the history of vulnerability rewards and bug bounty programs at Google: our 15th anniversary 🎉🎉🎉!

Coming back to 2025 specifically, our VRP once again confirmed the ongoing value of engaging with the external security research community to make Google and its products safer.

Vulnerability Reward Program 2025 in NumbersWant to learn more about who’s reporting to the VRP?

Tip: Want to be informed of new developments and events around our Vulnerability Reward Program?

Follow the Google VRP channel on X to stay in the loop and be sure to check out the Security Engineering blog, which covers topics ranging from VRP updates to security practices and vulnerability des…

3 months назад @ security.googleblog.com
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android

To stay ahead of the curve, the technology industry must undertake a proactive, multi-year migration to Post-Quantum Cryptography (PQC).

To bring these critical protections to the wider developer community with minimal friction, the transition will be supported through Play App Signing.

Play App Signing leverages Google Cloud KMS, which helps ensure industry-leading compliance standards, to secure signing keys.

Empower Developers : The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and application.

: The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and …

3 months, 1 week назад @ security.googleblog.com
Cultivating a robust and efficient quantum-safe HTTPS
Cultivating a robust and efficient quantum-safe HTTPS Cultivating a robust and efficient quantum-safe HTTPS

Today we're announcing a new program in Chrome to make HTTPS certificates secure against quantum computers.

Instead, Chrome, in collaboration with other partners, is developing an evolution of HTTPS certificates based on Merkle Tree Certificates (MTCs), currently in development in the PLANTS working group.

Since MTC technology shares significant architectural similarities with CT, these operators are uniquely qualified to ensure MTCs are able to get off the ground quickly and successfully.

The Chrome Quantum-resistant Root Program will operate alongside our existing Chrome Root Program to ensure a risk-managed transition that maintains the highest levels of security for all users.

First, we…

4 months назад @ security.googleblog.com
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection

For Majik, Scam Detection was the intervention he needed: “The warning is what made me pause and avoid a bad situation”.

As scammers evolve their tactics and create more convincing and personalized threats, we’re using the best of Google AI to stay one step ahead.

Expanding Scam Detection for Calls to Samsung DevicesTo help protect you during phone calls, Scam Detection alerts you if a caller uses speech patterns commonly associated with fraud.

Scam Detection for phone calls on Google Pixel devices is available in the U.S., Australia, Canada, India, Ireland, and the UK.

Powered by Gemini’s on-device model, Scam Detection provides intelligent protection against scam calls while ensuring that…

4 months назад @ security.googleblog.com
Keeping Google Play & Android app ecosystems safe in 2025
Keeping Google Play & Android app ecosystems safe in 2025 Keeping Google Play & Android app ecosystems safe in 2025

Upgrading Google Play’s AI-powered, multi-layered user protectionsWe’ve seen a clear impact from these safety efforts on Google Play.

As Android’s built-in defense against malware and unwanted software, Google Play Protect now scans over 350 billion Android apps daily.

This proactive protection constantly checks both Play apps and those from other sources to ensure they are not potentially harmful.

Looking aheadOur top priority remains making Google Play and Android the most trusted app ecosystems for everyone.

Thank you for being part of the Google Play and Android community as we work together to build a safer app ecosystem.

4 months, 1 week назад @ security.googleblog.com
New Android Theft Protection Feature Updates: Smarter, Stronger
New Android Theft Protection Feature Updates: Smarter, Stronger New Android Theft Protection Feature Updates: Smarter, Stronger

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

5 months назад @ security.googleblog.com
HTTPS certificate industry phasing out less secure domain validation methods
HTTPS certificate industry phasing out less secure domain validation methods HTTPS certificate industry phasing out less secure domain validation methods

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

6 months, 3 weeks назад @ security.googleblog.com
Further Hardening Android GPUs
Further Hardening Android GPUs Further Hardening Android GPUs

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

6 months, 3 weeks назад @ security.googleblog.com
Architecting Security for Agentic Capabilities in Chrome
Architecting Security for Agentic Capabilities in Chrome Architecting Security for Agentic Capabilities in Chrome

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

6 months, 3 weeks назад @ security.googleblog.com
Android expands pilot for in-call scam protection for financial apps
Android expands pilot for in-call scam protection for financial apps Android expands pilot for in-call scam protection for financial apps

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

6 months, 4 weeks назад @ security.googleblog.com
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

7 months, 1 week назад @ security.googleblog.com