Независимый разработчик вскрыл уязвимость Bluetooth, которую невозможно закрыть настройками.

Виртуальный образ стал разменной монетой на чёрном рынке.

Эмбрион творит настоящие чудеса в утробе.

Разбираемся, как рекламные хитрости ломают логику цифровых систем.

«Лаборатория Касперского» нашла вирус, который вшивают в прошивку Android.

Оказывается, природа заложила в 50% человечества генетическую мину.

Как Linux Mint стал жертвой собственного успеха.

2 гигаватта с орбиты убьют атомную эру?

Операторам разрешили не отвечать перед клиентами за отключение интернета.

Доказано, что оледенение началось из-за движения гигантских масс в недрах планеты.

Рубцы исчезают, нервы растут на глазах.

Популярный инструмент наконец превратился в бронированный сейф.

Криптографы обнаружили критические уязвимости в популярных менеджерах паролей.

Oracle пообещала не бросать свои главные open-source проекты.

Евросоюз готовит стратегию по снижению технологической зависимости от компаний из США.

Но парадокс заключается в том, что почти у половины из этих компаний SOC неэффективен, и причина даже не в инструментах, которые они используют, а в фундаменте.

Начинать построение SOC нужно с понимания того, какой набор функций мы хотим видеть в перспективе 3–5 лет.

В первом опросе зрители поделились, что они считают базовым минимумом для SOC в 2026 (мультивыбор):Мониторинг и анализ событий — 93 %.

Какую выбрать архитектуру для SOC в 2026 году?

Её главное преимущество в том, что при правильном внедрении она спустя некоторое время даёт очень низкий уровень шума в SOC, что крайне ценно».

В итоге все продукты Adobe и других зарубежных вендоров профессионального ПО, в частности, Corel, оказались среди «трофейного ПО».

Эта актуальная задача стоит перед многими компаниями и учреждениями, у которых значительная часть деятельности происходит в онлайн-пространстве, в том числе на маркетплейсах и в социальных сетях.

Поддерживается модель CMYK и в целом управление цветов на системном уровне, что является дополнительной гарантией того, что изображение на экране и на бумаге не будет отличаться.

Как и в ФотоМОНТАЖе, в ФотоМАСТЕРе есть большое количество автоматизированных инструментов, позволяющих устранить основные дефекты изображения нажатием буквально одной кнопки.

И в целом подходы…

Агента могут использовать как промежуточное звено для атак на цепочку поставок через интеграции с партнёрскими системами и внешними API.

Платформенный риск и эффект масштабаОколо 58 % компаний заявляют, что активно используют ИИ для обнаружения угроз, но часто они не проводят инвентаризацию, не отслеживают жизненный цикл и не применяют принципы минимальных привилегий.

В результате были раскрыты около 1,5 млн токенов аутентификации, в том числе десятки тысяч аккаунтов, использовавшиеся для доступа к корпоративным системам крупнейших компаний.

Как справиться с новой угрозойОтвет на рост инсайдерских рисков, связанных с ИИ-агентами, кроется в ином подходе к безопасности.

ИИ-агенты должны рассм…

Профессии в сфере ИБ, в которые сейчас стоит идти, обсуждались в эфире AM Live.

Чтобы помочь начинающему ИБ-специалисту найти свой путь, «Лаборатория Касперского» в декабре 2025 года запустила новый проект «Карта профессий в ИБ».

Пользователю портала предлагается оценить свои знания в ИБ и получить собственную траекторию обучения.

Прежде всего, это курсы повышения квалификации специалистов по ИБ и программы дополнительного профессионального образования, которые позволяют получить новую и востребованную специализацию.

В условиях, когда всё переходит в цифру, а компании активно меняют иностранное ПО на российское, специалисты по ИБ будут нужны как никогда.

ВведениеКибербезопасность в России стремительно трансформируется из сугубо технической задачи в зону жёсткого правового и финансового риска для бизнеса.

Однако в 2026 году в силу вступает серия правок в статью 274.1 УК РФ, которая создаёт двухуровневую систему ответственности за киберинцеденты.

Уже в 2026 году в ходе проверок 700 объектов КИИ регуляторами ФСТЭК доля компаний с ненадлежащей системой защиты составила 64 %.

Работа с персоналом: заменить разовые инструктажи на постоянные программы осведомлённости с ежеквартальным тестированием на фишинг, чётко прописать зоны персональной ответственности за ИБ в должностных инструкциях.

Выводы2026 год знаменует завершение формирования в России ж…

Современный ransomware действует иначе: тихо, нативно и в тесной связке с легитимным поведением операционной системы.

Накопленные знания о принципах работы ransomware в сочетании с обратной связью от заказчиков позволили команде RedCheck перенести этот опыт на платформу Linux и предложить комплексный подход, основанный на традиционных инструментах администрирования Linux.

Эти механизмы вводят уровень изоляции, который не зависит ни от намерений администратора, ни от корректности настройки прав в файловой системе.

Бинарные файлы в /bin, /sbin и /usr/bin должны быть защищены от изменения не-root процессами, а каталог /boot — от любых операций записи.

ВыводыРазработанные командой RedCheck hard…

Так, системы компании в 2025 году ежедневно обнаруживали около полумиллиона новых образцов вредоносного кода против 342 тысяч в 2019 году.

Среди них Дмитрий Галов особо выделелил Triada, количество заражений которым выросло в 4,5 раза за год, а также LunaSpy, который в 2025 году только появился.

Однако были и фундаментальные различия между атаками 10–15-летней давности и в 2025 году.

Впрочем, и в 1950-х, и в 1980-х, когда наблюдалось разочарование в ИИ, разрыв между ожиданиями и результатом был очень большим.

ВыводыВ целом в 2026 году стоит ожидать развития тенденций, заложенных в 2025 году, особенно в его второй половине.

Система работает, но практической ценности для SOC не даёт.

Это увеличивает время присутствия злоумышленника в инфраструктуре, масштабирует последствия инцидента и фактически превращает SIEM в дорогостоящий архив логов.

В итоге инцидент обнаружили не средства SIEM, а сторонний исследователь, заметивший украденные данные в GitHub.

Чем опасна эта ошибкаИспользование OOTB‑правил без адаптации снижает операционную эффективность SOC и повышает риск пропуска целевых атак.

Отсутствие интеграции SIEM с системами реагирования (SOAR)Нередко SIEM остаётся «пассивной» системой.

И для VPN, и для почты — 9 %.

Владимир Иванов: «Фишинг работает не на всех способах защиты, но там, где работает, он наиболее популярен».

Злоумышленнику можно не атаковать MFA в лоб, а проникнуть в сеть через уязвимости и, перехватив токен, захватить весь домен организации».

Дмитрий Грудинин рассказал, что в корпоративной среде СМС не рекомендуется по нескольким причинам: это дорого, ненадёжно и не работает универсально.

Ключевой тренд — переход к интеллектуальным и контекстно-зависимым системам, которые анализируют не только что предъявляет пользователь, но и как он это делает, в каких условиях и с какими рисками.

Исследователи выявили десятки расширений для Google Chrome, которые маскируются под приложения для блокировки рекламы и других функций, но на деле подменяют ссылки, воруют данные пользователей и токены ChatGPT.

ВведениеБраузер Google Chrome остаётся самым популярным на рынке, на него приходится более 70 % пользователей и на десктопах, и на смартфонах.

Но, как отмечают исследователи, основная функциональность приложения скрыта: оно автоматически подменяет ссылки в интернет-магазинах и получает доступ к данным.

Описание функциональности расширения в магазине Google Chrome Web Store.

Расширения с такой логикой легко масштабируются, злоумышленники могут применить один и тот же механизм к разным…

Основные угрозы для контейнерной инфраструктуры и методы защитыИспользование контейнеризации создаёт особые риски для информационной безопасности и требует применения специализированных средств защиты.

Обзор отечественных средств защиты контейнеризацииДля защиты контейнерных сред можно использовать специализированные решения, платформы управления, средства виртуализации или возможности некоторых ОС.

CrossTech Container SecurityВ 2025 году компания Crosstech Solutions Group представила рынку специализированный продукт для защиты контейнерных инфраструктур — CrossTech Container Security (CTCS).

Kaspersky Container SecurityПлатформа Kaspersky Container Security (KCS) создана для безопасности D…

Развитие регулирования КИИ и ГосСОПКАМодернизация нормативной базы в области безопасности КИИ и госсистемы обнаружения компьютерных атак стала центральным вектором изменений 2025 года.

В результате внесённых изменений в 187-ФЗ закреплены обязанности субъектов КИИ по переходу на доверенные программно-аппаратные комплексы в соответствии с ПП-1912, а также ориентация на использование отечественного ПО.

Также в Правилах категорирования в явном виде закреплены обязанности субъекта КИИ по учёту утверждённых отраслевых особенностей категорирования объектов КИИ.

Одновременно положения формируют предпосылки для пересмотра подходов к регулированию самописного ПО — ПО, разработанного для собственных н…

Российские системы виртуализации в 2026 году вышли на новый уровень, превратившись из инструментов импортозамещения в полноценные конкурентные решения.

По его мнению, виртуализация — это общий термин, который включает в себя частные и гибридные облака, платформы виртуализации и гиперконвергентные системы, где каждый ищет свою нишу.

Он подчеркнул необходимость взаимодействия как с ИТ-специалистами, так и с отделом безопасности.

Основным драйвером станет запрос на целостные экосистемы, а не на отдельные точечные решения».

Внимание рынка сместится с самой виртуализации на новые технологические горизонты — будь то расширение её возможностей или создание принципиально новых решений.

Роль ИИ в аналитике безопасности, будущее SOAR, эволюция SIEM и NDR, перспективы рынка коммерческих SOC в России на фоне импортозамещения.

Что такое классический SOC и почему он переживает кризисЦентр мониторинга безопасности (SOC) долгое время был основой корпоративных систем защиты.

Мировой рост внедрения ИИ в индустрию информационной безопасности с 2017 по 2030 годЭволюция инструментальной экосистемы: SIEM, NDR, EDRРеализация подхода Post-SOC требует фундаментальной перестройки всего технологического стека безопасности.

Это формирует уникальные сценарии развития как для вендоров, так и для компаний-заказчиков.

ВыводыТрансформация классических центров мониторинга безопасности в интегриров…

Как такое стало возможноBitLocker — технология полного шифрования диска, встроенная в Windows уже почти двадцать лет.

Microsoft и другие технологические компании, как правило, противятся требованиям создавать универсальные бэкдоры для правоохранителей.

Когда ключ на руках, путь следующий: Параметры → Система → Активация → Обновить версию Windows → Изменить ключ продукта — и ввести ключ Pro.

Если вы входили через учётную запись Microsoft, диск, скорее всего, уже зашифрован, а ключ уже хранится на серверах Microsoft.

Расшифровываем диск (если ключ уже в облаке)Если вы уже создали резервную копию своего ключа в Microsoft, первым шагом будет расшифровка дискаЕсли устройство уже зашифровано, пер…

Разбираем недавние новые находки в исходном коде клиента!

А что в этом плохого-то?

Функционал этот позволял со стороны клиента убеждаться в полноценности и безопасности проходящий сообщений, даже если ключи безопасности утекли.

В нашем телеграм мы пишем о блокировках в РоссииОтключения секретных чатовИсследователи также обнаружили, что в клиенте есть новая функция-обработчик, позволяющая проверять и принимать «секретные чаты».

Как вы уже догадались, при помощи флажка с сервера, с вашего клиента в любой момент могут отключить эту возможность (или сэмулировать, будто бы чат - и правда секретный (?))

Kubernetes из коробки умеет работать с OIDC (OpenID Connect), и это, пожалуй, самый адекватный способ интегрировать его с внешним Identity Provider.

Для первых лет экосистемы этого хватало, но по мере того как Kubernetes начал использоваться как shared-платформа для десятков и сотен инженеров, эти подходы начали трещать по швам.

Не как очередная фича, а как попытка честно признать: управление пользователями — это не задача кластера.

Пользователь добавляется в группу в Keycloak, получает токен с нужным groups claim, и Kubernetes автоматически применяет соответствующие правила доступа.

Kubernetes не знает про роли KeycloakВ предыдущем разделе мы создавали группы в Keycloak, потому что Kuberne…

Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий.

Веб-приложение выглядело максимально безобидно — как форма обратной связи, предназначенная, судя по всему, для приема пользовательских обращений.

Дальнейший анализ запросов показал, что данные, вероятно, проходят через механизм сериализации на стороне сервера.

По отдельности каждый из этих факторов мог и не привести к катастрофе, но в цепочке они превратились в полноценный путь компрометации системы.

Сетевые инженеры, системные администраторы и специалисты по безопасности узнают, как создать и усовершенствовать программы кибербезопасности.

«Defensive Security: лучшие практики обеспечения безопасности инфраструктур» —обязательное чтение для всех, кто стремится построить прочный фундамент безопасности.

Ли Бразерстон инженер, создатель службы безопасности компании OpsHelm.

Уильям Ф. Рейор III опытный исследователь угроз и директор по безопасности компании Modus Create.

Ознакомиться с оглавлениемПолистать отрывокПриобрести книгу «Defensive Security: лучшие практики обеспечения безопасности инфраструктур.

Давайте начистоту: утечка персональных данных — не гипотетическая угроза, а суровая реальность.

Разбираем, что считается инцидентом, кому и в какие сроки отправлять уведомления и что делать, чтобы минимизировать ущерб.

Кроме того, правила, о которых мы говорим, не распространяются на предотвращенные попытки хищения данных, когда утечки фактически не произошло.

Однозначно инцидентами являются несанкционированный доступ к персональным данным (например, взлом базы данных) и нарушение процесса их обработки (например, отправка данных не тому адресату).

Тщательно документируйте все изменения и обновления в локальных актах, процедурах обработки данных и настройках информационных систем.

«Вакансии» от имени несуществующей компании публиковались на LinkedIn и в профильных сообществах на Reddit.

Там были выложены варианты кода на Python и JavaScript.

Реальной целью атакующих было выполнение вредоносного кода на компьютере жертвы.

В отчете также подробно рассматривается фишинг учетных данных для доступа к государственным цифровым сервисам в разных странах.

Некорректная обработка файлов с таким форматированием может приводить к запуску произвольных файлов без дополнительных проверок и предупреждений.

«ИБ как побочный шум»Портрет компании и контекстКомпания маленькая или быстрорастущая, но ещё живёт логикой «главное — успеть сделать продукт/сервис и заработать».

«Живём, пока не прилетело»Портрет компании и контекстЭто уже не совсем маленький стартап, но и не «большая корпорация».

Руководство живёт логикой: «Мы же не банк, кому мы нужны?», «Главное, чтобы всё работало и не было штрафов».

Один человек тянет и документы, и согласование доступов, и участие в проектах, и общение с подрядчиками, и расследование инцидентов.

Нужны базовые требования по ИБ в договорах, проверка минимального соответствия и понятные правила доступа к вашим системам и данным.

В целом настройка модуля займёт не более 30-ти минут, если ранее до этого производилась первоначальная настройка UserGate.

Шаги будут следующие:Перейти в раздел Настройки -> Веб-портал (вкладка UserGate), нажать на гиперссылку, содержащую URL для подключения к веб-порталу.

Поставить галочку напротив параметра Включено, а далее изменить Имя хоста, Порт, Профиль аутентификации, и прочие имеющиеся в меню параметры на валидные для вашей организации и развёртывания.

При использовании Веб-портала UserGate - URL-адрес (а соответственно и origin) опубликованного ресурса изменяется, что может отобразиться на функциональности множества веб-приложений, где применяется данный механизм защиты.

Из-за тог…

Разберём, как устроен этот механизм, где именно возникает уязвимость и почему проблема лежит не в конкретной реализации, а в самой логике агентных систем.

Что произошлоИсследователи в области кибербезопасности зафиксировали случай заражения инфостилером, который успешно получил конфигурации OpenClaw (ранее Clawdbot и Moltbot) у жертвы.

Это интернет‑форум, похожий на Reddit, предназначенный исключительно для ИИ-агентов, в основном работающих на OpenClaw.

Кроме того, анализ, опубликованный командой STRIKE Threat Intelligence компании SecurityScorecard, выявил сотни тысяч открытых экземпляров OpenClaw, что, вероятно, подвергает пользователей рискам удалённого выполнения кода (RCE).

Подводя ито…

Будем использовать опции sC для скриптов по умолчанию, sV для определения версий служб и oA для вывода результата в файл.

nmap -p80 -sC -sV -oA nmap/fluxcapacitor fluxcapacitor.htbNmap отвечает нам, что на порту 80 находится веб-сервер OpenResty версии 1.13.6.1.

Включаем перехват в burp suite и через браузер отправляем запрос, ловим запрос в burp suite, отправляем в повторитель и через вкладку Repeater отсылаем запрос.

sudo -lИз вывода команды видно, что через sudo мы модем запускать скрипт .monit по пути /home/themiddle/ Давайте посмотрим этот скрипт.

Видео-прохождение можно посмотреть на рутубе:https://rutube.ru/video/f7db6bfce6a809468479fafc3c234a6c/Ответы на вопросы:How many TCP ports a…

Любому SOC нужны не просто какие-то люди, а профессионалы в борьбе с киберугрозами, то есть люди, имеющие необходимые знания и, что не менее важно, — реальный опыт отражения кибератак.

На первый взгляд может показаться, что и в кибербезопасности можно из выпускника вуза с определенным багажом знаний за несколько лет работы стать действительно опытным профессионалом.

Платформы с задачами на тему ИБ (например, онлайн-полигон для красных Standoff Hackbase или платформа Hack The Box).

Но наем внешней команды — это затратное дело, а собственная команда пентестеров тем более большинству компаний не по карману.

Сейчас на полигоне более 70 заданий, что подходит как для небольших, так и для крупных …

Если интересно проанализировать недостатки инструмента inotify с позиции решения ИБ-задачи контроля целостности (именно самого инструмента в его первозданном виде), то добро пожаловать под кат!

И wasuh, и OSSEC «под капотом» используют механизм inotify (и не только его).

ВыводыИтак, мы рассмотрели недостатки инструмента inotify, которые классифицировали по двум признакам:при работе с файламипри работе с директориями.

test.txt MODIFY test.txt MODIFY test.txt MODIFY test.txt MOVE_SELF test.txt MOVE_SELF test.txt DELETE_SELFПример использования inotifywatchinotifywatch -v -e modify -e moved_to -e moved_from -e move -e move_self -e delete_self test.txt Establishing watches... Total of 1 watches…

— Налог на воздух: Сверху начисляется НДС 20% (чего нет в кредитах), так как это оформлено как «Услуга».

10 января 2026 года мама заказала на Wildberries (привет вам Wildberries & Russ и вам @wildberries_tech, ну и вам @WILDBERRIES) БАДы и по мелочи и выбрала оплату при получении.

Если ООО «Престо» — это мой агент, который оплатил товар за меня, то магазин (WB) должен был получить деньги сразу.

Есть ООО «Престо» — торговая лавка без лицензии, которая выдает займы под 85% и плюет на самозапреты.

Аргумент: Организация без лицензии (ООО «Престо») выдает кредиты, маскируя их под поручение, и не передает данные в БКИ, обходя государственный запрет.

С момента выхода предыдущей версии списка в 2021 году ландшафт угроз существенно изменился, и в 2025 году OWASP представил его обновлённую редакцию: OWASP Top 10:2025.

Они также возникают, например, и на уровне логики авторизации.

Категория Insecure Design впервые появилась в OWASP Top 10 в 2021 году под номером A04 и в 2025 году переместилась на позицию A06.

A10 Mishandling of Exceptional ConditionsНу и на десерт ещё одна абсолютно новая категория в OWASP Top 10 версии 2025 года.

Это отражение того, как меняется сама природа атак: от классических инъекций к компрометации цепочек поставок, от ошибок кода к провалам в проектировании, от молчаливых логов к опасному игнорированию сбоев.

В конце прошлого года аналитики «Лаборатории Касперского» зафиксировали новую кампанию проукраинской группировки Head Mare.

Исследователи пишут, что этот переход показывает, что Head Mare все плотнее использует подход Living-off-the-Land (LOTL), когда вредоносные действия выполняются через штатные средства Windows.

Вектор первоначального доступа остался прежним: Head Mare продолжает эксплуатировать старую уязвимость BDU:2025-10114 в TrueConf Server.

Кроме того, Head Mare переписала на PowerShell и другой свой инструмент — PhantomProxyLite.

Помимо PowerShell-бэкдоров Head Mare расширила вспомогательный инструментарий для постэксплуатации.

warning Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та.

— А это есть, дер­жи содер­жимое...Те­перь у тебя в руках кре­ды от базы дан­ных и про­чее, что лежало в забытом фай­лике.

По сути, про­цесс боль­ше похож на под­бор паролей по сло­варю, чем на реаль­ный фаз­зинг, но, раз уж такое наз­вание при­жилось, будем исполь­зовать его.

В этой пап­ке лежит все необ­ходимое для сбо­ра дан­ных о веб‑при­ложе­нии: сло­вари для DNS-фаз­зинга, боль­шие спис­ки имен фай­лов и папок, перечис­ления API и спе­цифи­чес­кие име­на для раз­ных CMS.

Ус­танови оба набора на свою машину и покопай­ся в пап­ках, …

Малварь проникает на устройства через брутфорс SSH, после чего использует скомпрометированные системы для поиска новых целей, то есть распространяется подобно червю.

Для этого SSHStalker использует написанный на Go бинарник, который маскируется под популярную утилиту nmap.

Далее SSHStalker подгружает архивы GS и bootbou с разными вариантами ботов для оркестрации и управления последовательностью выполнения команд.

Эти баги используются для повышения привилегий после того, как брутфорс предоставил малвари доступ к учетной записи с низкими правами.

Также в составе SSHStalker были замечены инструменты для майнинга, включая высокопроизводительный Ethereum-майнер PhoenixMiner.

Как сообщают «Известия» и опрошенные изданием специалисты, покупатели б/у техники все чаще находят на устройствах вредоносное ПО, которое может превращать гаджеты в инструмент для DDoS-атак.

Первый — злоумышленники скупают партии дешевых устройств и сами устанавливают на них прошивки с бэкдором, а затем продают.

Второй — малварь устанавливают еще на заводах и она присутствует на устройствах прямо «из коробки» (особенно это касается бюджетных Android-девайсов).

«Ботнеты приносят злоумышленникам доли копеек на одно устройство и рентабельны только в случае захвата десятков и сотен тысяч устройств, — говорит Оганесян.

Эта малварь была найдена в Android-прис­тавках и стри­мин­говых устрой­ствах,…

Эксперты компании Koi Security сообщили, что около 500 000 пользователей «Вконтакте» стали жертвами атаки через вредоносные расширения для браузера Chrome.

То есть кампанию VK Styles обнаруживали и ранее, но после этого злоумышленник просто перешел на новые расширения и продолжил свою операцию.

В основном от этой кампании пострадали русскоязычные пользователи, включая пользователей из стран Восточной Европы, Центральной Азии и русскоязычных диаспор по всему миру.

Так, с вероятностью 75% при каждом визите жертвы в VK вредонос подписывал ее на группу злоумышленника — VK Styles (VK -168874636), в которую входят 1,4 млн участников.

Однако эта кампания оставалась незамеченной около семи месяцев,…

Специалисты из SecurityScorecard обнаружили более 220 000 доступных через интернет инстансов OpenClaw и предупреждают, что ИИ-агенты — это ценная цель для злоумышленников.

Создатель проекта Питер Штайнбергер (Peter Steinberger) создал OpenClaw с помощью вайбкодинга, без особого тестирования.

Параллельно с этим появились Moltbook (соцсеть для ИИ-агентов OpenClaw, где они могут постить, комментировать и взаимодействовать друг с другом) и ClawHub (где публикуются различные навыки для OpenClaw).

Теперь же эксперты SecurityScorecard подсчитали, что десятки тысяч уязвимых инстансов OpenClaw свободно доступны через интернет по всему миру.

Когда на прошлой неделе исследователи только опубликовали с…

В плагине WPvivid Backup & Migration для WordPress обнаружили критическую уязвимость загрузки произвольных файлов, которая в итоге ведет к удаленному выполнению кода без аутентификации.

Баг затрагивает все версии плагина вплоть до 0.9.123 и в худшем случае может привести к полной компрометации и захвату уязвимого сайта.

Однако отмечается, что плагин часто используется именно для миграции сайтов и переноса бэкапов между хостингами, так что администраторы нередко включают эту функцию хотя бы временно.

Когда функция openssl_private_decrypt() завершается неудачей, плагин не останавливает выполнение, а передает неудачный результат (false) в рутину AES (Rijndael).

Разработчики WPVividPlugins полу…

Справка: сканирование портовСка­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке.

На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:#!/ bin/ bash ports = $( nmap -p- --min-rate = 500 $1 | grep ^[ 0- 9] | cut -d '/ ' -f 1 | tr ' ' ', ' | sed s/, $/ / ) nmap -p $ports -A $1Он дей­ству­ет в два эта­па.

На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A ).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала.

Злоумышленники запустили ClickFix-кампанию, в которой используют публичные артефакты чат-бота Claude компании Anthropic и платную рекламу в поиске Google.

Цель атакующих: обманом вынудить пользователей macOS выполнить команду в терминале, которая установит на устройство инфостилер.

Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, ИБ-специалисты уже не раз предупреждали и о кампаниях, направленных на пользователей macOS и Linux.

Ссылки из такой рекламы ведут либо на публичный артефакт Claude, либо на фальшивую страницу поддержки Apple на платформе Medium.

В декабре 2025 года ИБ-исследователи заметили ClickFix-атаки на пользователей macOS, в которых использовались продвигаемы…

Обнаружена необычная фишинговая кампания, нацеленная на пользователей аппаратных криптовалютных кошельков Trezor и Ledger.

Письма выглядят как официальные уведомления от отделов безопасности Trezor и Ledger.

QR-коды из писем ведут на вредоносные сайты, имитирующие официальные страницы настройки Trezor и Ledger.

За последние годы у разработчиков Trezor и Ledger произошло несколько утечек данных клиентов, и предполагается, что мошенники могил получить доступ к почтовым адресам пользователей.

Всем получателям писем рекомендуется уничтожить их и ни в коем случае не переходить по ссылкам и не сканировать QR-коды.

Как сообщает РИА «Новости», владельцы iPhone в России столкнулись с невозможностью войти на «Госуслуги» без установки мессенджера Max.

При попытке авторизации система требует код подтверждения через Max, отправляя пользователя на страницу скачивания приложения.

Получайте коды подтверждения в чат мессенджера.

Напомним, что еще в прошлом году пользователи столкнулись с тем, что входа в «Госуслуги» требуется установка мессенджера Max, и пропустить это требование не получается.

В официальном заявлении министерства объяснялись преимущества получения кодов в Max.

Инс­трук­тор с без­разли­чием смот­рел в окно: обу­чать чему‑то того, кто сидел в водитель­ском крес­ле, он был явно не намерен.

Управлять­ся сра­зу с тре­мя педаля­ми, рычагом короб­ки передач и рулем ока­залось куда слож­нее, чем с дву­мя кноп­ками и колеси­ком мыши.

Из отве­ден­ных на вож­дение шес­тидеся­ти минут Кирилл с гре­хом пополам отъ­ездил в луч­шем слу­чае двад­цать.

До­мой он воз­вра­щал­ся не в луч­шем рас­положе­нии духа.

— У меня через два месяца экза­мен по вож­дению, а инс­трук­тор откро­вен­но динамит, — пожало­вал­ся Кирилл, — не знаю, как сда­вать буду.

Первый в этом году выпуск ежеквартального «Хакера» уже передан в печать, но мы продолжаем принимать предварительные заказы .

Четыре раза в год мы будем выпускать полноценный глянцевый журнал объемом 240 полос — плотную подшивку лучших материалов за прошедший квартал.

Что в первом номереВ дебютный выпуск 2026 года войдут более 20 лучших материалов последних месяцев: от практических гайдов до хардкорных технических разборов.

На что способен ZX Evolution — самый продвинутый клон ZX Spectrum.

Покупая ежеквартальный номер, ты получаешь не просто тщательно собранный и отредактированный журнал, который приятно читать (с плотной бумагой, глянцем и ощущением настоящего издания в руках), но и реально…

Cybersecurity researchers have disclosed details of a new SmartLoader campaign that involves distributing a trojanized version of a Model Context Protocol (MCP) server associated with Oura Health to deliver an information stealer known as StealC.

The end game is to leverage the trojanized version of the Oura MCP server to deliver the StealC infostealer, allowing the threat actors to steal credentials, browser passwords, and data from cryptocurrency wallets.

The MCP server is still listed on the MCP directory.

The attack essentially unfolded over four stages -Created at least 5 fake GitHub accounts (YuzeHao2023, punkpeye, dvlan26, halamji, and yzhao112) to build a collection of seemingly leg…

Cloud forensics is fundamentally different from traditional forensics.

To investigate cloud breaches effectively, three capabilities are essential:Host-Level Visibility: See what occurred inside workloads, not just control-plane activity.

What Modern Cloud Forensics Looks LikeIn this webinar session, you will see how automated, context-aware forensics works in real investigations.

Modern cloud forensics consolidates these signals into a unified investigative layer.

Register for the Webinar ➜Join the session to see how context-aware forensics makes cloud breaches fully visible.

Am I ready to be a network security analyst now?

My objectiveAs someone relatively inexperienced with network threat hunting, I wanted to get some hands-on experience using a network detection and response (NDR) system.

I was given access to a production version of Investigator that had been loaded with pre-recorded network traffic.

I was even an early user of one of the first network traffic analyzers called Sniffer.

The role of NDR in SOC workflowsBefore I jump into my experience, let me explain how NDR integrates with the SOC.

New research from Microsoft has revealed that legitimate businesses are gaming artificial intelligence (AI) chatbots via the "Summarize with AI" button that's being increasingly placed on websites in ways that mirror classic search engine poisoning (AI).

The new AI hijacking technique has been codenamed AI Recommendation Poisoning by the Microsoft Defender Security Research Team.

The tech giant described it as a case of an AI memory poisoning attack that's used to induce bias and deceive the AI system to generate responses that artificially boost visibility and skew recommendations.

These URLs, as observed in other AI-focused attacks like Reprompt, leverage the query string ("?q=") paramete…

Apple on Monday released a new developer beta of iOS and iPadOS with support for end-to-end encryption (E2EE) in Rich Communications Services (RCS) messages.

The feature is currently available for testing in iOS and iPadOS 26.4 Beta, and is expected to be shipped to customers in a future update for iOS, iPadOS, macOS, and watchOS.

"End-to-end encryption is in beta and is not available for all devices or carriers," Apple said in its release notes.

E2EE for RCS‌ will require Apple to update to ‌RCS‌ Universal Profile 3.0, which is built atop the Messaging Layer Security (MLS) protocol.

According to a report from MacRumors, iOS 26.4 is also expected to enable Stolen Device Protection by defaul…

Cybersecurity researchers disclosed they have detected a case of an information stealer infection successfully exfiltrating a victim's OpenClaw (formerly Clawdbot and Moltbot) configuration environment.

This included the following files -openclaw.json, which contains details related to the OpenClaw gateway token, along with the victim's redacted email address and workspace path.

"While the malware may have been looking for standard 'secrets,' it inadvertently struck gold by capturing the entire operational context of the user's AI assistant," Hudson Rock added.

"As AI agents like OpenClaw become more integrated into professional workflows, infostealer developers will likely release dedicate…

A new study has found that multiple cloud-based password managers, including Bitwarden, Dashlane, and LastPass, are susceptible to password recovery attacks under certain conditions.

It's worth noting that the threat actor, per the study from ETH Zurich and Università della Svizzera italiana, supposes a malicious server and aims to examine the password manager's zero-knowledge encryption (ZKE) promises made by the three solutions.

Attacks that exploit backwards compatibility with legacy code that result in downgrade attacks in Bitwarden and Dashlane.

The study also found that 1Password, another popular password manager, is vulnerable to both item-level vault encryption and sharing attacks.

…

Below is the full weekly recap — a condensed scan of the incidents, flaws, and campaigns shaping the threat landscape right now.

— Google shipped security updates for its Chrome browser to address a flaw that it said has been exploited in the wild.

Google Threat Analysis Group (TAG) has been credited with discovering and reporting the bug.

Google Threat Analysis Group (TAG) has been credited with discovering and reporting the bug.

Google Threat Intelligence Group said the DIB sector faces a "relentless barrage" of cyber operations conducted by state-sponsored actors and criminal groups.

Other research focuses on combating disinformation through AI models that automatically detect coordinated bot and troll activity, as well as on creating intelligent platforms for automated cyber threat intelligence and real-time analysis.

In other words, modern attacks don’t look like fraud – they look like normal legal communication.”Criminals today, Dr. Brūzgienė warns, have access to a broad arsenal of AI tools.

Automated AI agents then handle the rest – creating accounts, uploading documents, and responding to challenges.

In one typical scenario, a “colleague” writes via work email, follows up on LinkedIn, and then calls using a cloned voice – all orchestrated by connected AI tools.

“T…

Cybersecurity researchers have disclosed details of a new mobile spyware platform dubbed ZeroDayRAT that's being advertised on Telegram as a way to grab sensitive data and facilitate real-time surveillance on Android and iOS devices.

"The platform goes beyond typical data collection into real-time surveillance and direct financial theft."

The ZeroDayRAT malware is similar to numerous others that have targeted mobile device users, either via phishing or by infiltrating official app marketplaces.

An Android spyware campaign has leveraged romance scam tactics to target individuals in Pakistan to distribute a malicious dating chat app dubbed GhostChat to exfiltrate victims' data.

to exfiltrate …

Google on Friday released security updates for its Chrome browser to address a security flaw that it said has been exploited in the wild.

The high-severity vulnerability, tracked as CVE-2026-2441 (CVSS score: 8.8), has been described as a use-after-free bug in CSS.

The disclosure of CVE-2026-2441 makes it the first actively exploited zero-day in Chrome that Google has patched in 2026.

Last year, the tech giant addressed eight zero-day flaws in Chrome that were either actively exploited or demonstrated as a proof-of-concept (PoC).

To make sure the latest updates are installed, users can navigate to More > Help > About Google Chrome and select Relaunch.

CastleLoader incorporates checks to determine the presence of virtualization software and specific security programs before decrypting and launching the stealer malware in memory.

]shop") was flagged as a Lumma Stealer command-and-control (C2), indicating that the operators of the two malware families are either working together or sharing service providers.

The majority of Lumma Stealer infections have been recorded in India, followed by France, the U.S., Spain, Germany, Brazil, Mexico, Romania, Italy, and Canada.

In these attacks, the loader makes way for a secondary loader named Hijack Loader, which then deploys Lumma Stealer.

"Nearly every macOS stealer prioritizes cryptocurrency theft …

A previously undocumented threat actor has been attributed to attacks targeting Ukrainian organizations with malware known as CANFAIL.

Google Threat Intelligence Group (GTIG) described the hack group as possibly affiliated with Russian intelligence services.

The threat actor is assessed to have targeted defense, military, government, and energy organizations within the Ukrainian regional and national governments.

Recent phishing campaigns have involved the threat actor impersonating legitimate national and local Ukrainian energy organizations to obtain unauthorized access to organizational and personal email accounts.

To enable its operations, the threat actor generates email address lists …

Scammers may impersonate the IRS or tax preparers via phone/email/text, using official logos or spoofing caller ID/sender domains.

The most common IRS scamsWith the above in mind, look out for the following most common IRS and tax return scams:Phishing/smishing/vishingEmails, texts and even phone calls purporting to come from tax authorities (e.g., IRS, state tax agencies and tax software companies).

Tax refundsThe IRS tax refund system offers several opportunities for scammers to make easy money.

Once again, they do so to get their hands on your cash and personal information.

For added security and peace of mind, switch on multifactor authentication (MFA) for any account used to access tax…

If you’re looking to buy or sell on the platform and want to stay clear of the scammers, read on.

Payment scamAs above, scammers (whether buyer or sellers) will often try to trick you into transacting via third-party cash app services.

In fact, they’re usually trying to log into your account and need the two-factor authentication code sent by OfferUp.

Bouncing checksA scammer pays for an item you’re selling via check, which bounces several days later, leaving you without the item and no payment.

OfferUp is great way to pick up bargains in your area, or make a little extra money from items you no longer need.

Fake appsMobile apps masquerading as official Winter Olympics apps may actually contain infostealing malware or other threats.

Staying safe from Winter Olympics scamsTo stay safe online, stick to the official Winter Olympics sites and don’t engage with unsolicited messages and too-goo-to-be-true deals.

Avoid clicking on links or opening attachments in unsolicited messages, even if they appear to be from legitimate Winter Olympics organizers/sponsors.

If you’re going to the event, download the official Olympics app for schedules, maps, and digital tickets.

The XXV Winter Olympic Games in Milano-Cortina is set to be a treat for sports fans around the world.

The trends that emerged in January offer useful clues about the risks and priorities that security teams are likely to contend with throughout the yearThe year got off to a busy start, with January offering an early snapshot of the challenges that (not just) cybersecurity teams are likely to face in the months ahead.

It's therefore time for ESET Chief Security Evangelist Tony Anscombe to look back on some of the month's most impactful cybersecurity stories.

Here's some of what caught Tony's eye:What are some of the lessons businesses should take away from these incidents?

Be sure to check out the video, as well as watch the December 2025 edition of Tony's security news roundup for more news…

Key points of the report: ESET researchers identified new data-wiping malware that we have named DynoWiper, used against an energy company in Poland.

We attribute DynoWiper to Sandworm with medium confidence, in contrast to the ZOV wiper, which we attribute to Sandworm with high confidence.

However, since the start of Russia’s full-scale invasion of Ukraine, Sandworm has changed its tactics regarding targets in Poland.

In December 2025, we detected the deployment of a destructive malware sample, which we named DynoWiper, at an energy company in Poland.

Interestingly, during the analysis of the ZOV wiper incident, we identified a newer PowerShell script used to deploy the ZOV wiper.

The campaign uses a malicious app posing as a chat platform that allows users to initiate conversations with specific “girls” – fake profiles probably operated via WhatsApp.

While we don’t know how the malicious app is distributed, we assume that this exclusivity tactic is used as part of the lure, with the purported access codes distributed along with the app.

GhostChat, the malicious app used in the campaign, poses as a dating chat platform with seemingly locked female profiles.

Once the app is installed, its operators can monitor, and exfiltrate sensitive data from, the victim’s device.

This action triggered ClickFix instructions, as seen in Figure 11, which led to the download and execu…

10 reasons your inbox is full of spam and/or scamsEmail spam can range from pesky, unsolicited missives sent in bulk to the downright dangerous and malicious (phishing messages and malware delivered via spam and also known as ‘malspam’).

They then post or sell that data on cybercrime forums/marketplaces, where others buy it for use in phishing emails.

If they manage to achieve a breakthrough that bypasses spam filters, expect unwanted messages to start flooding in.

What not to doIt’s also best practice never to:Avoid clicking on ‘unsubscribe’ or replying to a spam email, as this will verify your address to the sender.

Reset your email security settings or lower spam ‘sensitivity’ levels.

The attack involved data-wiping malware that ESET researchers have now analyzed and named DynoWiperIn late 2025, Poland’s energy system faced what has been described as the “largest cyberattack” targeting the country in years.

ESET Research has now found that the attack was the work of the notorious Russia-aligned APT group Sandworm.

Meanwhile, the attack on Poland’s power grid in the last week of December involved data-wiping malware that ESET has now analyzed and named DynoWiper.

In their latest APT Activity Report, covering April to September 2025, ESET researchers noted that they spotted Sandworm conducting wiper attacks against targets in Ukraine on a regular basis.

ESET Research offer…

AI chatbots have become a big part of all of our lives since they burst onto the scene more than three years ago.

A similar share of parents is worried their kids think AI chatbots are real people.

Our children use generative AI (GenAI) in diverse ways.

Children are going through an incredible period of emotional and cognitive development, making them vulnerable in various ways.

The onus, therefore, is definitely on parents to get ahead of any threats through proactive monitoring and education.

Here’s how the most common scams targeting Apple Pay users work and what you can do to stay one step aheadApple Pay is clearly a hit with consumers.

Here are some common scams targeting Apple Pay users.

Top six scams targeting Apple Pay usersApple Pay scammers are usually after your financial information, your money or your Apple ID and logins/2FA codes.

Or it could be a fake story about how your Apple Pay account has been suspended, your card was added to Apple Pay or similar pretexts.

First, take a moment to recognize the most common red flags and Apple Pay scams, as listed above.

A full 25 percent of the top 1,000 most-used passwords are made up of nothing but numerals.

This is according to NordPass’ analysis, which is based on billions of leaked passwords and sheds light on password trends among people in 44 countries.

Same old, same oldUsing an easily-guessable password is tantamount to locking the front door of your house with a paper latch.

Weak, obvious, or reused passwords can expose not only individual employees, but entire organizations, their customers, and their partners.

But if your own passwords appear on either list above, improving your account security should be one of the most important of them.

It may be the most recent high-profile case of threat actors abusing LinkedIn to further their own nefarious goals.

It’s easy to get up and running: For threat actors, the potential ROI for attacks using LinkedIn is massive.

Account hijacking : Fake LinkedIn (phishing) pages, infostealers, credential stuffing and other techniques can be used to help threat actors takeover users’ accounts.

: Fake LinkedIn (phishing) pages, infostealers, credential stuffing and other techniques can be used to help threat actors takeover users’ accounts.

However, it would make sense to build LinkedIn threat scenarios of the sort described above into security awareness courses.

New legislation in Australia makes it illegal for those under 16 to have a social media account.

To avoid financial penalties, social media companies have scrambled to remove accounts they believe breach the legislation.

As 2026 has just begun, this also sparks a broader question for internet users and regulators alike: will this be the year the world rethinks identity online?

Unless an app or service is operated by a regulated company that requires identity verification, people are free to create accounts on many services using any identity they desire.

I am not suggesting that all services need to have verified users.

Contrary to popular belief, much of the dark web isn’t the den of digital iniquity that some commentators claim.

involve the large-scale theft of customer/employee information, which then usually appears for sale on the dark web.

If you unwittingly click through and enter your information on a phishing site, it could end up being sold on the dark web.

If you unwittingly click through and enter your information on a phishing site, it could end up being sold on the dark web.

Finally, sign up to identity protection services and sites like HaveIBeenPwned, which will alert you when any PII appears on the dark web.

Can cloud-based password managers that claim “zero-knowledge encryption” keep users’ passwords safe even if their encrypted-vault servers are compromised?

Attack paths against encrypted vaultsCloud-based password managers store users’s passwords in a password vault, which is created and encrypted by the user’s client software by using a cryptographic key derived from the user’s master password.

The client software uploads the encrypted vault to a server run by the service provider and the provider can’t decrypt it.

Only the user’s client software can: it retrieves the vault and uses the user’s master password to decrypt it locally (i.e., on the user’s device).

The researchers probed four po…

Palo Alto Networks has entered into a definitive agreement to acquire Koi, giving enterprises the power to finally see and protect the AI-native ecosystem that defines modern work.

This rapid shift has created a critical new blind spot in traditional approaches to security, requiring a new category of protection: Agentic Endpoint Security.

After the close of the acquisition, Koi’s Agentic Endpoint Security will extend to Palo Alto Networks’ Prisma AIRS, its AI security platform.

Concurrently, it will enhance Cortex XDR’s endpoint security solution providing visibility into the AI attack surface to improve security policy and malware prevention.

They have full access to your systems and data…

Booz Allen Hamilton has entered into a definitive agreement to acquire Defy Security as a wholly owned subsidiary.

Defy Security’s customer base, sales expertise, and vendor relationships will complement Booz Allen’s industry knowledge and tradecraft across commercial and federal markets.

“Combining Booz Allen’s deep technical qualifications and global reach with our leading cyber solutions and talent opens incredible opportunities to support global customers in new ways.

Defy Security retained J.P. Morgan Securities LLC as exclusive financial advisor and Choate, Hall & Stewart LLP as legal advisor.

Defy Security is backed by Sverica Capital, a technology-focused private equity firm that pa…

ManageEngine has added new causal intelligence and autonomous AI capabilities in Site24x7, its full-stack observability platform.

By reducing mean time to recovery (MTTR) and ensuring service-level agreement (SLA) compliance, Site24x7 helps IT teams safeguard the customer experience and retain trust.

IT environments are increasingly fragmented across hybrid clouds, microservices, and dynamic networks, generating massive volumes of telemetry and predictive anomaly signals every second.

IT teams struggle to correlate anomaly signals and events across these layers, delaying the critical fix to restore normalcy, jeopardizing brand reputation.

“With Site24x7 AIOps, we’re able to filter out nearl…

Malwarebytes has expanded the availability of its scam detection tool Scam Guard to desktop for both Windows and Mac.

The free scam protection tool provides real-time feedback on scams, threats and malware alongside digital safety recommendations.

Even though more than half of adults encounter scams daily, two-thirds of people can’t tell a scam apart from a real thing.

“Scams today are nearly impossible for people to spot with the naked eye,” said Michael Sherwood, VP of Product, Malwarebytes.

In 15% of interactions, Malwarebytes Scam Guard prevented users from losing $1,000+ or incurring severe personal risk by flagging the high-risk scenarios.

ISC2 Knowledge Vault brings the community relevant and cutting edge infosecurity discussions presented by subject matter experts.

Subscribers also benefit from pre-recorded mini webcasts that give viewers a sneak peek into each of ISC2’s certifications' domains, including the gold standard cybersecurity certification, the CISSP, and ISC2’s fastest growing certification, the CCSP.

ISC2 members can earn 1 CPE per 45 minute webinar.

Creating an account with BrightTALK webinars is separate from your ISC2 member login.

You will only be asked to create an account one time.

Initial access groups are feeding OT-capable operatorsSYLVANITE was tracked as a large-scale initial access group targeting industrial organizations through internet-facing systems.

The incident response effort was limited by lack of telemetry in adjacent networks, leaving responders unable to confirm whether attackers moved toward OT systems.

It also increases the number of industrial organizations exposed to follow-on OT attacks, even when the initial compromise appears limited to a DMZ or enterprise-adjacent system.

Ransomware remains an OT outage driverRansomware groups continued to target industrial organizations at scale.

Dragos tracked 119 ransomware groups impacting more than 3,300 …

The Irish Data Protection Commission (DPC) opened an investigation into X over concerns that its Grok AI chatbot was used to generate sexualized deepfakes.

The investigation focuses on the apparent creation and publication of potentially harmful, non-consensual intimate or sexualised images on X using generative AI tools linked to the platform’s Grok LLM.

According to the regulator, the content may involve the personal data of users in the EU and EEA, including children.

The probe will examine whether the company handled users’ data lawfully, put appropriate safeguards in place when deploying the AI tool, and assessed the risks linked to its use.

This is the latest in a series of investigat…

HaystackID has released HaystackID AI Governance Services, a new portfolio designed to help organizations move from AI principles and policies to an execution-ready governance operating model.

HaystackID AI Governance Services help clients defensibly establish practical governance structures, validate AI systems and generate audit-ready evidence as requirements evolve.

To help organizations deploy AI responsibly at scale, HaystackID AI Governance Services includes six primary offerings:AI governance scoping: Inventory AI use cases, classify risk and deliver a prioritized roadmap.

AI governance advisory: Implement and operationalize a sustainable governance program and reporting model.

AI se…

Impart Security has launched Programmable Bot Protection, a runtime approach to bot defense that brings detection and enforcement together within the application.

Impart makes enforcement operational by enabling teams to see what would be blocked before turning it on.

Bot protection split detection and enforcement across two tools that were never designed to work together.

Programmable Bot Protection runs inline, inside the live request path, evaluating behavior rather than relying on headers, IP reputation, or device fingerprints.

“The bot protection market accepted that enforcement in production was too risky.

A new Android backdoor embedded directly in device firmware can quietly take control of apps and harvest data, Kaspersky researchers found.

How the backdoor worksThe research team said they found the backdoor code in the firmware of Android-based tablets belonging to several brands.

Once active on the device, the malware injected itself into the Zygote process, similarly to [the Triada backdoor].

The affected vendors have been notified and are likely working on pushing out clean firmware updates.

Removing the system apps is impossible because they are located in the system partition, but they can be replaced or disabled (if not needed).

Officers from Poland’s Central Bureau for Combating Cybercrime (CBZC) detained a 47-year-old man suspected of creating, acquiring, and sharing computer programs used to unlawfully obtain information stored in computer systems.

The arrest took place in the Małopolska Voivodeship as part of a joint operation conducted by CBZC officers from the Katowice and Kielce branches.

Files found on the computer contained digital data, including login credentials, passwords, credit card numbers, and server IP addresses.

According to information provided by CBZC, “the 47-year-old used encrypted messaging to contact the Phobos criminal group, known for conducting ransomware attacks.”The arrest was linked t…

In reality, adversaries can harvest encrypted data today and decrypt it later, creating long-term exposure for banks handling sensitive identity and transaction data.

Ghose argues that quantum risk is both an immediate confidentiality problem and a systemic trust crisis.

The most common misconception is that quantum risk is a single future date problem: a switch that flips when a cryptographically relevant quantum computer arrives.

Quantum risk asks institutions to act on a probability distribution and on consequences that are systemic rather than localized.

Prioritize critical systems and long-lived data, such as identity systems, payment infrastructure, and digital signatures.

The project includes more than 200 preconfigured tools commonly used in malware analysis workflows.

The REMnux v8 release arrived as Ubuntu 20.04 approached end-of-life, creating a deadline for projects built on that base.

REMnux MCP server connects AI agents to analysis toolsOne of the largest additions in version 8 is the REMnux MCP server, which implements the Model Context Protocol (MCP) to connect AI agents to REMnux tools.

“The hardest design challenge was providing enough guidance for the AI to use REMnux tools effectively while leaving it free to think creatively about the analysis,” Zeltser said.

“REMnux is unique in its longevity as a Linux toolkit focused specifically on malware …

Cyber Security EngineerSécheron | Italy | On-site – View job detailsAs a Cyber Security Engineer, you will ensure compliance with railway security standards, support product certifications, and coordinate with regulators and certification bodies.

Cybersecurity AnalystMercor | USA | Remote – View job detailsAs a Cybersecurity Analyst, you will evaluate AI models by probing them with adversarial inputs to surface vulnerabilities and enhance safety.

Cybersecurity DeveloperAlpitronic | Italy | On-site – View job detailsAs a Cybersecurity Developer, you will design and build secure software mechanisms, monitor and remediate vulnerabilities, and support secure coding standards across the product …

The Promptware Kill ChainAttacks against modern generative artificial intelligence (AI) large language models (LLMs) pose a real threat.

In our model, the promptware kill chain begins with Initial Access.

Unlike reconnaissance in classical malware, which is performed typically before the initial access, promptware reconnaissance occurs after the initial access and jailbreaking components have already succeeded.

In this case, initial access was achieved via a prompt injected into an email sent to the victim.

The promptware kill chain gives us a framework for understanding these and similar attacks; the paper characterizes dozens of them.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m speaking at Ontario Tech University in Oshawa, Ontario, Canada, at 2 PM ET on Thursday, February 26, 2026.

I’m speaking at the Personal AI Summit in Los Angeles, California, USA, on Thursday, March 5, 2026.

I’m speaking at Tech Live: Cybersecurity in New York City, USA, on Wednesday, March 11, 2026.

I’m giving the Ross Anderson Lecture at the University of Cambridge’s Churchill College at 5:30 PM GMT on Thursday, March 19, 2026.

I’m speaking at RSAC 2026 in San Francisco, California, USA, on Wednesday, March 25, 2026.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

3D Printer SurveillanceNew York is contemplating a bill that adds surveillance to 3D printers:New York’s 2026­2027 executive budget bill (S.9005 / A.10005) includes language that should alarm every maker, educator, and small manufacturer in the state.

I get the policy goals here, but the solution just won’t work.

It’s the same problem as DRM: trying to prevent general-purpose computers from doing specific things.

Cory Doctorow wrote about it in 2018 and—more generally—spoke about it in 2011.

Posted on February 12, 2026 at 7:01 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

These capabilities, however, also create new security risks.

In this paper, we introduce CHAI (Command Hijacking against embodied AI), a new class of prompt-based attacks that exploit the multimodal language interpretation abilities of Large Visual-Language Models (LVLMs).

CHAI embeds deceptive natural language instructions, such as misleading signs, in visual input, systematically searches the token space, builds a dictionary of prompts, and guides an attacker model to generate Visual Attack Prompts.

We evaluate CHAI on four LVLM agents; drone emergency landing, autonomous driving, and aerial object tracking, and on a real robotic vehicle.

By exploiting the semantic and multimodal reasonin…

Other fiction magazines have also reported a high number of AI-generated submissions.

Others have met the offensive of AI inputs with some defensive response, often involving a counteracting use of AI.

Science seems likely to become stronger thanks to AI, yet it faces a problem when the AI makes mistakes.

In general, we believe writing and cognitive assistance, long available to the rich and powerful, should be available to everyone.

And that may mean embracing the use of AI assistance in these adversarial systems, even though the defensive AI will never achieve supremacy.

This is amazing:Opus 4.6 is notably better at finding high-severity vulnerabilities than previous models and a sign of how quickly things are moving.

Security teams have been automating vulnerability discovery for years, investing heavily in fuzzing infrastructure and custom harnesses to find bugs at scale.

But what stood out in early testing is how quickly Opus 4.6 found vulnerabilities out of the box without task-specific tooling, custom scaffolding, or specialized prompting.

Fuzzers work by throwing massive amounts of random inputs at code to see what breaks.

When we pointed Opus 4.6 at some of the most well-tested codebases (projects that have had fuzzers running against them for years,…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

I Am in the Epstein FilesOnce.

Someone named “Vincenzo lozzo” wrote to Epstein in email, in 2016: “I wouldn’t pay too much attention to this, Schneier has a long tradition of dramatizing and misunderstanding things.” The topic of the email is DDoS attacks, and it is unclear what I am dramatizing and misunderstanding.

Rabbi Schneier is also mentioned, also incidentally, also once.

As far as either of us know, we are not related.

Posted on February 6, 2026 at 3:43 PM • 0 Comments

It also provides rare insight into the apparent effectiveness of Lockdown Mode, or at least how effective it might be before the FBI may try other techniques to access the device.

The document is written by the government, and is opposing the return of Natanson’s devices.

The FBI raided Natanson’s home as part of its investigation into government contractor Aurelio Perez-Lugones, who is charged with, among other things, retention of national defense information.

The government believes Perez-Lugones was a source of Natanson’s, and provided her with various pieces of classified information.

While executing a search warrant for his mobile phone, investigators reviewed Signal messages between …

Backdoor in Notepad++Hackers associated with the Chinese government used a Trojaned version of Notepad++ to deliver malware to selected users.

Notepad++ said that officials with the unnamed provider hosting the update infrastructure consulted with incident responders and found that it remained compromised until September 2.

Even then, the attackers maintained credentials to the internal services until December 2, a capability that allowed them to continue redirecting selected update traffic to malicious servers.

Make sure you’re running at least version 8.9.1.

Posted on February 5, 2026 at 7:00 AM • 0 Comments

US Declassifies Information on JUMPSEAT Spy SatellitesThe US National Reconnaissance Office has declassified information about a fleet of spy satellites operating between 1971 and 2006.

I’m actually impressed to see a declassification only two decades after decommission.

Posted on February 4, 2026 at 7:02 AM • 0 Comments

Microsoft gives the FBI the ability to decrypt BitLocker in response to court orders: about twenty times per year.

It’s possible for users to store those keys on a device they own, but Microsoft also recommends BitLocker users store their keys on its servers for convenience.

While that means someone can access their data if they forget their password, or if repeated failed attempts to login lock the device, it also makes them vulnerable to law enforcement subpoenas and warrants.

The zero-day flaw CVE-2026-21513 is a security bypass bug targeting MSHTML, the proprietary engine of the default Web browser in Windows.

CVE-2026-21514 is a related security feature bypass in Microsoft Word.

The zero-day CVE-2026-21533 allows local attackers to elevate their user privileges to “SYSTEM” level access in Windows Remote Desktop Services.

Chris Goettl at Ivanti reminds us Microsoft has issued several out-of-band security updates since January’s Patch Tuesday.

On January 26, Microsoft patched a zero-day security feature bypass vulnerability (CVE-2026-21509) in Microsoft Office.

A prolific data ransom gang that calls itself Scattered Lapsus Shiny Hunters (SLSH) has a distinctive playbook when it seeks to extort payment from victim firms: Harassing, threatening and even swatting executives and their families, all while notifying journalists and regulators about the extent of the intrusion.

Some victims reportedly are paying — perhaps as much to contain the stolen data as to stop the escalating personal attacks.

That’s according to Allison Nixon, director of research at the New York City based security consultancy Unit 221.

Nixon said Com-based extortion groups tend to instigate feuds and drama between group members, leading to lying, betrayals, credibility destroyin…

The FBI said Badbox 2.0 was discovered after the original Badbox campaign was disrupted in 2024.

KrebsOnSecurity was initially skeptical of the claim that the Kimwolf botmasters had hacked the Badbox 2.0 botnet.

]net, a domain that was flagged in a March 2025 report by HUMAN Security as one of several dozen sites tied to the distribution and management of the Badbox 2.0 botnet.

However, the source of that Badbox 2.0 screenshot said the Kimwolf botmasters had an ace up their sleeve the whole time: Secret access to the Badbox 2.0 botnet control panel.

The source said it isn’t clear how Dort gained access to the Badbox botnet panel.

Kimwolf grew rapidly in the waning months of 2025 by tricking various “residential proxy” services into relaying malicious commands to devices on the local networks of those proxy endpoints.

Kimwolf mainly targeted proxies from IPIDEA, a Chinese service that has millions of proxy endpoints for rent on any given week.

The Kimwolf operators discovered they could forward malicious commands to the internal networks of IPIDEA proxy endpoints, and then programmatically scan for and infect other vulnerable devices on each endpoint’s local network.

Kimwolf’s close association with residential proxy networks and compromised Android TV boxes might suggest we’d find relatively few infections on corpor…

Microsoft today issued patches to plug at least 113 security holes in its various Windows operating systems and supported software.

“Today’s Windows patches remove agrsm64.sys and agrsm.sys.

This security feature is designed to protect against threats like rootkits and bootkits, and it relies on a set of certificates that are set to expire in June 2026 and October 2026.

Once these 2011 certificates expire, Windows devices that do not have the new 2023 certificates can no longer receive Secure Boot security fixes.

Windows admins should keep an eye on askwoody.com for any news about patches that don’t quite play nice with everything.

XLab said it suspected since October that Kimwolf and Aisuru had the same author(s) and operators, based in part on shared code changes over time.

In late October 2025, Brundage shared that the people selling various proxy services which benefitted from the Aisuru and Kimwolf botnets were doing so at a new Discord server called resi[.]to.

]to Discord channel would periodically post new IP addresses that were responsible for proxying traffic over the Kimwolf botnet.

All told, Synthient said it tracked at least seven static Resi Rack IP addresses connected to Kimwolf proxy infrastructure between October and December 2025.

]to Discord server vanished, Synthient’s website was hit with a DDoS at…

The most typical of these uninvited guests are small programs that turn the device into a residential proxy node that is resold to others.

Brundage says Kimwolf grew rapidly by abusing a glaring vulnerability in many of the world’s largest residential proxy services.

Kilmer said one model of unsanctioned Android TV boxes that is especially popular — the Superbox, which we profiled in November’s Is Your Android TV Streaming Box Part of a Botnet?

At that point, your home’s public IP address will show up for rent at the website of some residential proxy provider.

Brundage also has compiled a list of the unofficial Android TV boxes that are most highly represented in the Kimwolf botnet.

Your engagement this past year here has been tremendous and truly a salve on a handful of dark days.

The arrests came shortly after the FBI and the Dutch police seized dozens of servers and domains for the group.

In June, KrebsOnSecurity.com was hit by the largest DDoS attack that Google had ever mitigated at the time (we are a grateful guest of Google’s excellent Project Shield offering).

Another Aisuru attack on Cloudflare just days later practically doubled the size of the June attack against this website.

If you like the content we publish at KrebsOnSecurity.com, please consider making an exception for our domain in your ad blocker.

Democratic lawmakers have urged the SEC to investigate what they call “concerning ties to President Trump and his family” as potential conflicts of interest and foreign influence.

In October, President Trump pardoned Changpeng Zhao, the founder of the world’s largest cryptocurrency exchange Binance.

President Trump this term has fired most of the people involved in processing Freedom of Information Act (FOIA) requests for government agencies.

CONSUMER PROTECTION, PRIVACYAt the beginning of this year, President Trump ordered staffers at the Consumer Financial Protection Bureau (CFPB) to stop most work.

Nevertheless, it emerged in June that the Trump administration has built a central databas…

A decade ago, ending up at one of these parked domains came with a relatively small chance of being redirected to a malicious destination: In 2014, researchers found (PDF) that parked domains redirected users to malicious sites less than five percent of the time — regardless of whether the visitor clicked on any links at the parked page.

Infoblox found parked websites are benign if the visitor arrives at the site using a virtual private network (VPN), or else via a non-residential Internet address.

A defanged list of these typosquatting domains is available here (the dots in the listed domains have been replaced with commas).

“It was often a chain of redirects — one or two domains outside p…

Microsoft today pushed updates to fix at least 56 security flaws in its Windows operating systems and supported software.

This final Patch Tuesday of 2025 tackles one zero-day bug that is already being exploited, as well as two publicly disclosed vulnerabilities.

Despite releasing a lower-than-normal number of security updates these past few months, Microsoft patched a whopping 1,129 vulnerabilities in 2025, an 11.9% increase from 2024.

The zero-day flaw patched today is CVE-2025-62221, a privilege escalation vulnerability affecting Windows 10 and later editions.

For anyone seeking a more granular breakdown of the security updates Microsoft pushed today, check out the roundup at the SANS In…

A sprawling academic cheating network turbocharged by Google Ads that has generated nearly $25 million in revenue has curious ties to a Kremlin-connected oligarch whose Russian university builds drones for Russia’s war against Ukraine.

UK companies belonging to the group that have been shut down by Google Ads since Jan 2025 include:–Proglobal Solutions LTD (advertised nerdifyit[.

Currently active Google Ads accounts for the Nerdify brands include:-OK Marketing LTD (advertising geekly-hub[.

For a number of years, Lobov and Perkon co-produced a cross-cultural event in the U.K. called Russian Film Week.

While Synergy University promotes itself as Russia’s largest private educational institutio…

The phishing domains are being promoted by scam messages sent via Apple’s iMessage service or the functionally equivalent RCS messaging service built into Google phones.

The website scanning service urlscan.io shows thousands of these phishing domains have been deployed in just the past few days alone.

Pivoting off these T-Mobile phishing domains in urlscan.io reveals a similar scam targeting AT&T customers:Ford Merrill works in security research at SecAlliance, a CSIS Security Group company.

CAVEAT EMPTORMany SMS phishing or “smishing” domains are quickly flagged by browser makers as malicious.

“The fake e-commerce sites are tough because a lot of them can fly under the radar,” Merrill sai…

A prolific cybercriminal group that calls itself “Scattered LAPSUS$ Hunters” has dominated headlines this year by regularly stealing data from and publicly mass extorting dozens of major corporations.

Scattered LAPSUS$ Hunters (SLSH) is thought to be an amalgamation of three hacking groups — Scattered Spider, LAPSUS$ and ShinyHunters.

But last week, SLSH announced on its Telegram channel the release of their own ransomware-as-a-service operation called ShinySp1d3r.

The individual responsible for releasing the ShinySp1d3r ransomware offering is a core SLSH member who goes by the handle “Rey” and who is currently one of just three administrators of the SLSH Telegram channel.

Incredibly, Rey w…

A coordinated cyberattack that targeted Poland's energy infrastructure in late December 2025 has prompted cybersecurity agencies to issue urgent warnings to critical national infrastructure operators on both sides of the Atlantic. Read more in my article on the Fortra blog.

A 29-year-old Polish man has been charged in connection with a data breach that exposed the personal details of around 2.5 million customers of the popular Polish e-commerce website Morele.net.

The high-profile breach of Morele.net, whose international equivalents include the likes of Best Buy, Newegg, and Amazon, sent shockwaves through Poland's online retail sector.

The investigation into the data breach had originally been shelves after police failed to identify a suspect, but authorities claim that the trail never went entirely cold.

Unfortunately for the site's users who had their information breached, fraudsters weaponised the stolen data immediately.

Victims reported receiving SMS me…

All this and more is discussed in episode 454 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Iain Thomson.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

What followed was a textbook example of how modern romance scams can operate.

But rather than hiding in the darkness like some shadowy criminal, Dr. Abhulimhen presented himself as a globe-trotting philanthropist and businessman, rubbing shoulders with powerful Nigerian officials and international figures.

The FBI's Internet Crime Complaint Center consistently ranks romance scams amongst the costliest forms of cybercrime, whilst UK victims lost over £92 million to romance fraud in 2023 alone.

Whether Ikeji or Dr. Abhulimhen will face justice remains unclear.

But at least one fake prince has discovered that his Nigerian mansion offers rather less sanctuary than he had hoped.

24-year-old Rui-Siang Lin operated Incognito Market under the alias "Pharaoh" from October 2020 until March 2024, facilitating over $105 million in illegal drug sales to more than 400,000 customers across the globe.

Things turned deadly in January 2022 when Lin allowed the sale of opiates on Incognito Market.

In March 2024, Lin abruptly shut down Incognito Market without warning, stealing at least US $1 million in user deposits.

In May 2024, Lin was arrested when he flew into New York's JFK Airport en route to Singapore, and subsequently pleaded guilty to drugs-related charges and money laundering.

US District Judge Colleen McMahon has now given Lin a 30-year prison sentence, describing Inc…

Supposedly redacted Jeffrey Epstein files can still reveal exactly who they’re talking about – especially when AI, LinkedIn, and a few biographical breadcrumbs do the heavy lifting.

All this, and much more, in episode 453 of Smashing Security with cybersecurity veteran Graham Cluley and special guest Tricia Howard.

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

The FBI has seized control of RAMP, a notorious cybercrime online forum that bragged to be "the only place ransomware allowed."

The seizure banner comes complete with a cheeky addition - a winking Masha from the popular Russian children's TV cartoon series "Masha and the Bear."

Many infamous ransomware groups, such as ALPHV/BlackCat, Qilin, DragonForce, and RansomHub would use the RAMP platform to promote their operations.

Following the seizure of RAMP, another of the forum's alleged operators, confirmed the takedown in a posting on another hacking forum.

As Flare reports, "Stallman" has indicated that the cybercriminal activity conducted through RAMP would continue through other channels.

Imagine the scene. It's a cold Monday morning in Moscow. You walk out to your car, coffee in hand, ready to face the day. You press the button to unlock your car, and ... nothing happens. You try again. Still nothing. The alarm starts blaring. You can't turn it off. Read more in my article on the Fortra blog.

All this and more is discussed in the latest edition of the “Smashing Security” podcast by cybersecurity veteran Graham Cluley, joined this week by special guest Joe Tidy.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Police in Hungary and Romania have arrested four young men suspected of making hoax bomb threats and terrorising internet users through SWATting and doxing attacks.

SWATting is a particularly underhand way of making someone else's day a misery – without having to leave your home.

Secondly, the phone numbers were spoofed when making threatening calls to police, effectively directing emergency services to their door.

Hungarian police are keen to underline that SWATting and doxing are serious criminal offences that endanger lives, and are not harmless pranks.

"The police emphasise that swatting and doxing are serious crimes that endanger the lives of others and are not a joke," reads the press…

Security researchers have uncovered at least 16 malicious Chrome extensions masquerading as handy ChatGPT productivity tools.

Instead, they hook into the Chrome browser, and intercept outgoing data that contains users' authentication details.

My advice is to check if you have installed any ChatGPT-related browser extensions recently, and remove any that you have concerns over.

The security researchers who uncovered the malware campaign have listed the names of the extensions that have been identified so far (although, of course, it is possible that more have been used - or could still be):ChatGPT folder, voice download, prompt manager - ChatGPT ModsChatGPT voice download, TTS download - Cha…

In episode 85 of The AI Fix, Graham discovers that Silicon Valley has the solution to your pet’s mental health crisis, and Mark explains why AI godfather Yann LeCun thinks the entire AI industry is wrong about LLMs.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive c…

It has just been a few weeks since we reported on the Christmas cyber attack suffered by the European Space Agency (ESA), and the situation has already become worse.

In light of the latest data breach to impact ESA, the December 2025 incident doesn't look too bad.

Furthermore, this latest breach reportedly involves data that might be more concerning - such as operational procedures, spacecraft and mission details, subsystems documentation, and proprietary contractor data from ESA partners including SpaceX, Airbus Group, and Thales Alenia Space.

As a consequence of this latest incident, ESA has now confirmed that a criminal investigation is underway.

Some have suggested that poor cybersecuri…

All this, and much more, in this episode of the “Smashing Security” podcast with Graham Cluley, and special guest Ray [REDACTED]Host:Graham Cluley:@grahamcluley.com @ *protected email* / grahamcluleyGuest:Ray Redacted:@rayredacted.comEpisode links:Sponsored by:Vanta – Expand the scope of your security program with market-leading compliance automation… while saving time and money.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Blu…

The UK's National Cyber Security Centre (NCSC) has issued a warning about the threat posed by distributed denial-of-service (DDoS) attacks from Russia-linked hacking groups who are reported to be continuing to target British organisations.

The denial-of-service attacks are typically not highly sophisticated, but can still successfully cause disruption to IT systems, and cost organisations a significant amount of time and money as they attempt to respond or recover.

The most obviously visible symptom of a basic denial-of-service attack can be that a website is no longer accessible, as hackers flood it with unwanted traffic, making it impossible for legitimate users to reach the resource.

As …

Схема особенно коварна потому, что мини-приложения в Telegram модерируются лишь постфактум, если на них вообще поступают жалобы.

Срочно зайдите в раздел Настройки → Устройства в Telegram и завершите все остальные сеансы, а затем прочитайте нашу пошаговую инструкцию о том, что делать при угоне аккаунта Telegram и как восстановить к нему доступ.

В комментариях крупных каналов и в групповых чатах злоумышленники рассказывают о версии Telegram, которая якобы уже сейчас работает без замедлений.

Проверьте активные сеансыВ мобильной версии Telegram перейдите в Настройки → Устройства → Активные сеансы, в версии для десктопов — в Настройки → Активные сессии.

С недавних пор passkeys доступа можно подк…

Вы наверняка слышали про OpenClaw (он же Clawdbot и Moltbot) — ИИ-ассистента с открытым исходным кодом, которого можно развернуть на компьютере.

В OpenClaw можно задействовать любые локальные или облачные LLM и широкий спектр интеграций.

Также в OpenClaw были обнаружены две уязвимости с инъекцией команд (CVE-2026-24763, CVE-2026-25157).

Секреты в открытом видеВ конфигурации, «памяти» и чатах OpenClaw в открытом виде хранятся API-ключи, пароли и другие секреты для работы LLM и сервисов интеграции.

Подчеркнем, что OpenClaw является лишь ярким, экстремальным примером, но в целом эта «ужасная пятерка» характерна для всех многоцелевых ИИ-агентов.

Но расспросить друзей и близких о том, как они передают интонации и эмоции в переписке, все равно не будет лишним.

Впрочем, дело может быть не только в алгоритмах работы подобных приложений, но и в наших ожиданиях от них.

Немаловажно и то, что романтический взгляд на любовь появился не на пустом месте.

Романтики, как и многие наши современники, скептически относились к бурному развитию технологий, индустриализации и урбанизации.

И первый шаг к этому — разобраться с настройками приватности всех ваших соцсетей и приложений с помощью нашего бесплатного сервиса Privacy Checker.

А те, кто не приехал, посмотрят соревнования по телевидению и на стримингах: по данным платформ, рейтинги трансляций уже самые высокие с 2014 года.

Рассказываем, как избежать проблем в виде фальшивых билетов, несуществующего мерча и поддельных трансляций, сохранить свои деньги и персональные данные.

С их помощью злоумышленники выуживают у фанатов платежные данные, чтобы либо перепродать их, либо обчистить счета сразу.

Итог: шоу не будет, как минимум злоумышленники использовали вас для арбитража трафика, а как максимум — получили доступ к вашему счету.

Тактика защитыМошенники обманывают любителей спорта годами, а их доходы напрямую зависят от качества мимикрии под официальные порталы.

Мы разберем самые яркие примеры фишинговых и спамерских схем прошлого года, а полный отчет «Спам и фишинг в 2025 году» читайте на Securelist.

После знакомства и непродолжительного общения в дейтинг-сервисах новая пассия приглашала жертву в театр или кино и присылала ссылку на покупку билетов.

Вишенкой на торте водителю предлагалось оплатить «пошлину по замене прав» в 1200 крон (больше $125) — так мошенники получали и персональные данные, и реквизиты банковской карты, и деньги.

Нейросетевые мошенникиРазумеется, скамеры не остались в стороне и от бума искусственного интеллекта.

Хайп сей ложь, да в нем намекКак и раньше, в 2025 году мошенники мгновенно подхватывали любые инфоповоды и оперативн…

Очень скоро Clawdbot по настоянию Anthropic из-за созвучности с Claude был переименован сначала в Moltbot, a затем, еще через несколько дней, — в OpenClaw.

Риски безопасности: исправляемые и не оченьОдновременно с тем, как OpenClaw захватывал соцсети, эксперты по кибербезопасности хватались за голову: количество уязвимостей, содержащихся в OpenClaw, превосходило все возможные предположения.

Проблема в том, что в Интернете в открытом доступе находятся сотни неправильно настроенных административных интерфейсов OpenClaw.

Например, как мы недавно писали в посте Джейлбрейк в стихах: как поэзия помогает разговорить ИИ, промпт в стихах существенно снижает эффективность защитных ограничений языковы…

Наведя в них порядок и сформировав общий словарь, CISO и совет директоров значительно улучшат свои коммуникации и в конечном счете повысят защищенность организации.

Руководство может одобрить покупку решения zero trust, не понимая, что это лишь часть долгосрочной комплексной программы со значительно большим бюджетом.

Руководители бизнес-подразделений могут принимать риски ИБ, не имея полного представления об их потенциальном воздействии.

Управляемые активы и поверхность атакиРаспространенное и опасное заблуждение касается охвата защиты и общей видимости, которая есть у ИТ и ИБ.

Зачастую именно эти «невидимые» для компании активы становятся точкой входа для атаки, потому что ИБ не может защи…

За последние два месяца были обнаружены сразу три уязвимости, эксплуатация которых позволяет обходить аутентификацию в продуктах Fortinet с использованием механизма FortiCloud SSO.

Эти уязвимости позволяют злоумышленникам с учетной записью FortiCloud логиниться в чужие аккаунты FortiOS, FortiManager, FortiAnalyzer, FortiProxy и FortiWeb, если на устройстве включена функция SSO.

Правила уже доступны клиентам для скачивания в репозитории KUMA; название пакета: [OOTB] FortiCloud SSO abuse package – ENG.

По мере появления новых отчетов об атаках мы планируем дополнять новой информацией правила с пометкой IOC.

Дополнительные рекомендацииМы также рекомендуем использовать правила из пакета FortiCl…

В наши дни технологии создания поддельных видео- и голосовых сообщений стали доступны каждому, и мошенники активно осваивают технологии дипфейков.

Ранее мы уже рассказывали, как отличить настоящее фото или видео от фейка и отследить его происхождение до момента съемки или генерации.

Теперь давайте разберем, как злоумышленники создают и используют дипфейки в реальном времени, как распознать подделку без сложной экспертизы и защитить себя и близких от «атаки клонов».

Как делают дипфейкиИсходный материал для дипфейков мошенники собирают из открытых источников — вебинаров, публичных видео в соцсетях и каналах, онлайн-выступлений.

«Мама, нужны деньги прямо сейчас, я попал в аварию»; «Нет времени…

У разных вендоров наполнение такой базы может сильно отличаться как по объему, так и по качеству.

Динамическая атрибуция — выявление TTP методом динамического анализа конкретных файлов c последующим сопоставлением множества обнаруженных TTP с TTP известных группировок.

Динамическая атрибуцияВыявление TTP в процессе динамического анализа проще в реализации, такая функциональность уже давно является неотъемлемой функциональностью всех современных «песочниц».

Тот, кто касается хобота, считает, что это удав, тот кто трогает туловище, уверен, что это стена, и так далее.

Результат атрибуции проверяется на ложноположительные связи с базой в миллиард легитимных файлов; при совпадении с любым из них…

Надеяться исключительно на средства защиты учетных записей и парольные политики — не вариант.

И в очередном обновлении мы продолжили развитие системы в том же направлении, добавив использование ИИ-подходов.

Сейчас же в новой версии SIEM c новым коррелятором появилась возможность реализовать детектирование угона учетной записи при помощи одного специализированного правила.

Поэтому в версии 4.2 мы сделали еще один шаг в сторону практичности и адаптивности платформы.

Новый коррелятор и, как следствие, повышение устойчивости платформыВ релизе 4.2 мы представили бета-версию нового корреляционного движка (2.0).

В этом месте обеспокоенные технологиями родители уже могут вспомнить о нашумевшем случае с ChatGPT, когда ИИ от OpenAI довел подростка до самоубийства.

Как исследователи тестировали ИИ-игрушкиИсследование, результаты которого мы разберем ниже, подробно рассказывает о рисках для детской психики, связанных с «дружбой» с умной игрушкой.

Miko 3, как и Grok, всегда слушает происходящее вокруг и активируется при обращении — примерно так же, как это работает у голосовых ассистентов.

Исследователи также отмечают, что ИИ-медведь не побуждал «ребенка» делиться личными переживаниями, не обещал хранить секреты и не создавал иллюзию приватного общения.

С другой стороны, производители этой игрушки не даю…

Удобную методичку по этому вопросу выпустил некоммерческий проект OWASP, разрабатывающий рекомендации по безопасной разработке и внедрению ПО.

Злоумышленники используют методы промпт-инъекций или поддельные данные, чтобы перенастроить агента на выполнение вредоносных действий.

Злоумышленник отправляет промпт, который под предлогом тестирования кода заставляет агента с возможностью «вайб-кодинга» загрузить команду с помощью curl и передать ее на вход bash.

Такой «отравленный» контекст искажает дальнейшие рассуждения агента и выбор инструментов.

Используйте внешние шлюзы безопасности (intent gates) для проверки планов и аргументов агента на соответствие жестким правилам безопасности перед их …

На самом деле происходит не установка из магазина приложений, а загрузка приложения в пакете APK.

В России проблема «левых» загрузок усложняется тем, что многие повседневные приложения, в первую очередь банковские, более недоступны в Google Play.

«Прямой NFC» — мошенник связывается с жертвой в мессенджере и уговаривает скачать приложения якобы для подтверждения личности в банке.

Права, которые и в самом деле нужны приложению такого класса, прекрасно подходят для перехвата данных и махинаций с посещаемыми веб-сайтами.

), перенаправлять пользователя на сайты с рекламой и запускать прямо на телефоне прокси, чтобы злоумышленники могли попадать на любые сайты от лица жертвы.

Это связано с тем, что знания ИИ не хранятся в виде отдельных фрагментов, которые можно легко удалить.

Как и на каких моделях проводилось исследование?

При этом в промптах изменялась исключительно стилистика подачи: никаких дополнительных техник атаки, стратегий обфускации или адаптаций под конкретные модели в эксперименте не использовалось.

Исследователи протестировали 1200 промптов на 25 разных моделях — как в прозаическом, так и в поэтическом варианте.

Если следовать этому методу оценки, то поэзия увеличивает вероятность ответа на небезопасный промпт в среднем на 35%.

Today we are announcing the availability of a new custom-tuned Foundation-Sec-8B-1.1-Instruct model that powers a key integration between Cisco Foundation AI and the Splunk AI Assistant in Security in Splunk Enterprise Security.

The Splunk AI Assistant in Security is available to all Enterprise Security customers on the Splunk-hosted AWS cloud.

In this release, the Splunk AI Assistant in Security summary skill is powered by a custom-tuned Foundation-Sec-8B-1.1-Instruct model.

How This Works in Splunk Enterprise SecuritySplunk Enterprise Security uses skill routing to send requests to the best model for each task.

How the Summary Skill WorksWhen the Splunk‑hosted model is selected, the Splun…

The latest release of Cisco’s Secure Firewall comes as today’s cyberthreats are more complex, elusive, and fast evolving than ever before.

Key observability features in Cisco Secure Firewall 10.0Simplified decryption and QUIC visibilityWith most threats now concealed within encrypted traffic, Cisco Secure Firewall 10.0 significantly simplifies the decryption process.

Sign up for the Cisco Secure Firewall Test Drive, an instructor-led, 4-hour hands-on course where you’ll experience the Cisco firewall technology in action and learn about the latest security challenges and attacker techniques.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLin…

You can test drive these capabilities today with Secure Firewall Test Drive, an instructor led course that will guide you through the Secure Firewall and its powerful roles in cybersecurity for your organization.

The new simplified decryption experience in Cisco Secure Firewall version 10.0 simplifies the steps required to enable and manage encryption.

Advanced loggingTo enhance the already robust set of information available for logged connections within Cisco Secure Firewall and Cisco Secure Network Analytics, a new log type has been created and made searchable.

Take a hands-on look at Cisco Secure Firewall 10.0Want to dive deeper into Cisco firewalls?

Sign up for the Cisco Secure Firewal…

Gartner predicts that by the end of this year, 40% of enterprises will run AI agents in production, up from less than 5% today.

The Limits of Traditional Security in an Agentic WorldThe challenge with AI agents is that they break the security paradigm we’ve relied upon as a security community over the last two decades.

Security that Understands Intent, SASE for AI EraWe’re announcing a fundamental shift in how we handle “intent” through our security architecture.

We are effectively moving security from the “block/allow” era to the “See the Intent, Secure the Agent” era.

An intelligent, autonomous firewall built for the AI era, protecting data centers, cloud workloads, and edge deployments.

SASE for the AI Era: Fast, Secure, and Ready for AISASE for the AI era is not just about moving security to the cloud.

Cisco SASE brings together Cisco SD-WAN and Cisco Secure Access, into a single platform, tuned for distributed AI.

Simpler, Secure AI OperationsCisco SASE for the AI era unifies performance and security into a single operating system—so AI can scale without adding complexity.

The outcome is what organizations are looking for: predictable AI performance, consistent protection everywhere AI runs, simpler operations, and the confidence to adopt AI faster and more safely.

Visit Cisco SASE to learn how Cisco is transforming how AI runs across the enterprise — securely, predictab…

Below are the Cisco XDR integrations used at Black Hat Europe, enabling analysts to rapidly investigate Indicators of Compromise (IOCs) with a single search.

Our thanks to alphaMountain.ai, Pulsedive and StealthMole for full donating full licenses to Cisco, for use in the Black Hat Europe 2025 NOC.

Below you can see the integrations in XDR at Black Hat Europe, including in production, in beta and in development.

At Black Hat Europe 2024, Ivan Berlinson connected Cisco XDR with Splunk to integrate Corelight NDR detections.

You can read the other blogs from our colleagues at Black Hat Europe.

This allowed Black Hat security analysts to initiate an immediate analysis of any incident by selecting “Ask Cisco Foundation AI to Analyze the incident” directly from the incident view.

For additional information, please refer to the following resources:You can read the other blogs from our colleagues at Black Hat Europe.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagram

We work with other official providers to bring the hardware, software and engineers to build and secure the Black Hat Europe network: Arista, Corelight, Jamf and Palo Alto Networks.

Since 2016, Cisco has protected the Black Hat Europe network, beginning with automated malware analysis using Threat Grid.

New for Black Hat Europe, we integrated Arista CloudVision and CV-CUE into Duo Directory SSO.

Learn More About Cisco at Black Hat EuropeExplore deeper insights into innovation, threat hunting, and integrations by diving into our Black Hat Europe blogs, where we highlight advanced SOC practices, Cisco XDR and Splunk Enterprise Security collaborations, and the latest security cloud innovations…

Cisco XDR served as a Tier-1 & 2 detection and response platform for Cisco engineers and analysts working in the Black Hat Europe 2025 NOC/SOC.

We also ingested logs into Splunk from our partner Palo Alto Networks and Corelight, correlating in Incidents via Cisco XDR.

However, at Black Hat conferences, these tools are intentionally off-limits except for some critical event assets.

You can read the other blogs from our colleagues at Black Hat Europe.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

This is his first time accompanying us to the Black Hat Network Operations Center (NOC), so naturally, we discuss his impressions.

You can read the other blogs from our colleagues at Black Hat Europe.

About Black HatBlack Hat is the cybersecurity industry’s most established and in-depth security event series.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

For more information, please visit the Black Hat website.

For nearly a decade, Cisco has secured Black Hat events with Umbrella DNS security.

While Secure Access delivers comprehensive protection including secure web gateway, Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA), and remote browser isolation, we focused its power on where Black Hat needed it most: DNS-layer security and visibility.

At Black Hat Europe, our monitoring confirmed the campaign’s continued activity, though at notably lower volumes.

You can read the other blogs from our colleagues at Black Hat Europe.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Sum…

This is the reality for the Cisco Event SOC team at major conferences like RSAC™ Conference, Black Hat, and Cisco Live.

We are thrilled to announce the launch of our new Cisco Event SOCs website and the release of our comprehensive Reference Architecture & Operations Guide.

What You Will Find on the WebsiteVisiting the new Cisco Event SOCs hub gives you a front-row seat to our operations.

The Guide: A Blueprint for ResilienceThe centerpiece of this launch is the Cisco Event SOCs: A Reference Architecture & Operations Guide.

Visit the website today to explore the architecture and download the full Cisco Event SOCs: A Reference Architecture & Operations Guide.

Imagine a future where today’s most secure data, from financial records to national secrets, could be instantly deciphered.

Powerful quantum computers known as cryptographically relevant quantum computers (CRQC) will compromise public-key cryptography, putting encrypted data and secure communications at risk.

The Hidden Risk: Trust CollapseBeyond data confidentiality lies a more systemic and immediate quantum risk: foundational trust breakdown.

While securing network traffic is paramount, a truly quantum-safe posture requires more than protecting data in transit.

In our next blog, we’ll dive deeper into each pillar, starting with Secure Communications and turning to Secure Products.

The UK’s Cyber Security & Resilience Bill and Government Cyber Action Plan mark a pivotal moment in our collective approach to digital resilience.

At Cisco, we’re honored to serve as an ambassador for their Software Security Code of Practice, a voluntary initiative that addresses one of the most pressing challenges facing both public and private sectors: securing the software supply chain.

Strengthening Resilient InfrastructureOur ambassador role is a natural extension of our commitment to secure software development and resilient infrastructure.

We can no longer afford to treat software security as an afterthought or a competitive differentiator.

The Software Security Code of Practice prov…

As AI agents become integrated into operational systems, exposure becomes both easier and more dangerous.

Understanding and detecting these misconfigurations early is now a core part of AI security posture.

Keep reading and running the Advanced Hunting queries in the AI Agents folder, to find agents carrying these risks in your own environment before it’s too late.

The section below is a practical checklist of validations and actions that help close common agent security gaps before they’re exploited.

Apply the principle of least privilege to all connectors, actions, and data access paths, even when broad sharing is justified.

Microsoft at RSAC™ 2026 From Microsoft Pre‑Day to innovation sessions, networking opportunities, and 1:1 meetings, explore experiences designed to help you navigate the age of AI with clarity and impact.

Join Microsoft Security executives and fellow CISOs for an intimate dinner following Microsoft Pre-Day.

Full details on sessions and activities are available on the Microsoft Security Experiences at RSAC™ 2026 page.

Special thanks to Ascent Solutions, Avertium, BlueVoyant, CyberProof, Darktrace, and Huntress for sponsoring the Microsoft Security Hub and karaoke party.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

The strategic SIEM buyer’s guide outlines what decision‑makers should look for as they build a future‑ready security operations center (SOC).

Illustration of Microsoft’s AI-first, end-to-end security platform architecture that delivers these essentials by unifying critical security functions and leveraging advanced analytics.

Read The strategic SIEM buyer’s guide for the full analysis, vendor considerations, and detailed guidance on selecting an AI‑ready platform for the agentic era.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

The strategic SIEM buyer’s guide outlines what decision‑makers should look for as they build a future‑ready security operations center (SOC).

Illustration of Microsoft’s AI-first, end-to-end security platform architecture that delivers these essentials by unifying critical security functions and leveraging advanced analytics.

Read The strategic SIEM buyer’s guide for the full analysis, vendor considerations, and detailed guidance on selecting an AI‑ready platform for the agentic era.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

AI governance cannot live solely within IT, and AI security cannot be delegated only to chief information security officers (CISOs).

1Microsoft Data Security Index 2026: Unifying Data Protection and AI Innovation, Microsoft Security, 2026.

2026 Data Security Index:A 25-minute multinational online survey was conducted from July 16 to August 11, 2025, among 1,725 data security leaders.

Questions centered around the data security landscape, data security incidents, securing employee use of generative AI, and the use of generative AI in data security programs to highlight comparisons to 2024.

One-hour in-depth interviews were conducted with 10 data security leaders in the United States and Unit…

Microsoft security researchers have discovered a growing trend of AI memory poisoning attacks used for promotional purposes, a technique we call AI Recommendation Poisoning.

How AI memory worksModern AI assistants like Microsoft 365 Copilot, ChatGPT, and others now include memory features that persist across conversations.

AI Memory Poisoning occurs when an external actor injects unauthorized instructions or “facts” into an AI assistant’s memory.

Attack discovery: AI Recommendation Poisoning in the wildDuring our research, we identified real-world cases of AI memory poisoning being used for promotional purposes.

AI Recommendation Poisoning is real, it’s spreading, and the tools to deploy it…

Microsoft security researchers have discovered a growing trend of AI memory poisoning attacks used for promotional purposes, a technique we call AI Recommendation Poisoning.

How AI memory worksModern AI assistants like Microsoft 365 Copilot, ChatGPT, and others now include memory features that persist across conversations.

AI Memory Poisoning occurs when an external actor injects unauthorized instructions or “facts” into an AI assistant’s memory.

Attack discovery: AI Recommendation Poisoning in the wildDuring our research, we identified real-world cases of AI memory poisoning being used for promotional purposes.

AI Recommendation Poisoning is real, it’s spreading, and the tools to deploy it…

Yet safety alignment is only as robust as its weakest failure mode.

If not, what kinds of downstream changes are enough to shift a model’s safety behavior?

Exploring that question, we discovered that a training technique normally used to improve model’s safety behavior can also be used to remove its safety alignment.

Alignment dynamics extend beyond language to diffusion-based image modelsThe same approach generalizes beyond language models to unaligning safety-tuned text-to-image diffusion models.

Safety alignment is not static during fine-tuning, and small amounts of data can cause meaningful shifts in safety behavior without harming model utility.

Yet safety alignment is only as robust as its weakest failure mode.

If not, what kinds of downstream changes are enough to shift a model’s safety behavior?

Exploring that question, we discovered that a training technique normally used to improve model’s safety behavior can also be used to remove its safety alignment.

Alignment dynamics extend beyond language to diffusion-based image modelsThe same approach generalizes beyond language models to unaligning safety-tuned text-to-image diffusion models.

Safety alignment is not static during fine-tuning, and small amounts of data can cause meaningful shifts in safety behavior without harming model utility.

The Microsoft Defender Research Team observed a multi‑stage intrusion where threat actors exploited internet‑exposed SolarWinds Web Help Desk (WHD) instances to get an initial foothold and then laterally moved towards other high-value assets within the organization.

Technical detailsThe Microsoft Defender Research Team identified active, in-the-wild exploitation of exposed SolarWinds Web Help Desk (WHD).

Update WHD CVE-2025-40551, CVE-2025-40536 and CVE-2025-26399, remove public access to admin paths, and increase logging on Ajax Proxy.

Microsoft Defender XDR detectionsMicrosoft Defender provides pre-breach and post-breach coverage for this campaign.

Tactic Observed activity Microsoft Defen…

The Microsoft Defender Research Team observed a multi‑stage intrusion where threat actors exploited internet‑exposed SolarWinds Web Help Desk (WHD) instances to get an initial foothold and then laterally moved towards other high-value assets within the organization.

Technical detailsThe Microsoft Defender Research Team identified active, in-the-wild exploitation of exposed SolarWinds Web Help Desk (WHD).

Update WHD CVE-2025-40551, CVE-2025-40536 and CVE-2025-26399, remove public access to admin paths, and increase logging on Ajax Proxy.

Microsoft Defender XDR detectionsMicrosoft Defender provides pre-breach and post-breach coverage for this campaign.

Tactic Observed activity Microsoft Defen…

In January 2026, Microsoft Defender Experts identified a new evolution in the ongoing ClickFix campaign.

This updated tactic deliberately crashes victims’ browsers and then attempts to lure users into executing malicious commands under the pretext of restoring normal functionality.

This script leverages pythonw.exe to execute the malicious Python payload covertly, avoiding visible console windows and reducing user suspicion.

]com/scl/fi/znygol7goezlkhnwazci1/a1.zip URL Adversary hosted python payload 158[.]247[.]252[.

ReferencesThis research is provided by Microsoft Defender Security Research with contributions from Sai Chakri Kandalai and Kaustubh Mangalwedhekar.

In January 2026, Microsoft Defender Experts identified a new evolution in the ongoing ClickFix campaign.

This updated tactic deliberately crashes victims’ browsers and then attempts to lure users into executing malicious commands under the pretext of restoring normal functionality.

This script leverages pythonw.exe to execute the malicious Python payload covertly, avoiding visible console windows and reducing user suspicion.

]com/scl/fi/znygol7goezlkhnwazci1/a1.zip URL Adversary hosted python payload 158[.]247[.]252[.

ReferencesThis research is provided by Microsoft Defender Security Research with contributions from Sai Chakri Kandalai and Kaustubh Mangalwedhekar.

That gap is where cyberattackers operate most effectively, and it is the gap that Operation Winter SHIELD is designed to address as a collaborative effort across the public and private sector.

Why Operation Winter SHIELD mattersOperation Winter SHIELD is a nine-week cybersecurity initiative led by the FBI Cyber Division beginning February 2, 2026.

That perspective aligns with what we see through Microsoft Threat Intelligence and Microsoft Incident Response.

Operation Winter SHIELD offers an opportunity to drive systematic improvement to one control area at a time.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

Our first rust memory safety vulnerability...almost: We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence.

Our First Rust Memory Safety Vulnerability...AlmostWe recently avoided shipping our very first Rust-based memory safety vulnerability: a linear buffer overflow in CrabbyAVIF.

Unsafe Review and TrainingOperating system development requires unsafe code, typically C, C++, or unsafe Rust (for example, for FFI and interacting with hardware), so simply banning unsafe code is not workable.

Dmytro Hrybenko for leading the effort to develop training for unsafe Rust and for providing extensive feedback on …

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…

Today marks a watershed moment and new benchmark for open-source security and the future of consumer electronics.

Google is proud to announce that protected KVM (pKVM), the hypervisor that powers the Android Virtualization Framework, has officially achieved SESIP Level 5 certification.

This makes pKVM the first software security system designed for large-scale deployment in consumer electronics to meet this assurance bar.

With this level of security assurance, Android is now positioned to securely support the next generation of high-criticality isolated workloads.

Achieving Security Evaluation Standard for IoT Platforms (SESIP) Level 5 is a landmark because it incorporates AVA_VAN.5, the hi…

Today we're excited to announce OSS Rebuild, a new project to strengthen trust in open source package ecosystems by reproducing upstream artifacts.

Infrastructure definitions to allow organizations to easily run their own instances of OSS Rebuild to rebuild, generate, sign, and distribute provenance.

With an estimated value exceeding $12 trillion, open source software has never been more integral to the global economy.

For publishers and maintainers of open source packages, OSS Rebuild can...

If you're a developer, enterprise, or security researcher interested in OSS security, we invite you to follow along and get involved!

Android recently announced Advanced Protection, which extends Google’s Advanced Protection Program to a device-level security setting for Android users that need heightened security—such as journalists, elected officials, and public figures.

This is particularly useful for Advanced Protection users, since in 2023, plaintext HTTP was used as an exploitation vector during the Egyptian election.

JavaScript Optimizations and Security Advanced Protection reduces the attack surface of Chrome by disabling the higher-level optimizing Javascript compilers inside V8.

Javascript optimizers can be disabled outside of Advanced Protection Mode via the “Javascript optimization & security” Site Setting.

We…