Ransomfeed

APT iraniano prende di mira gli utenti Android con nuove varianti dello spyware DCHSpy
Nuove varianti dello spyware DCHSpy per Android vengono distribuite, camuffate da VPN (Earth VPN, Comodo VPN) o app con temi politici. Il malware prende di mira utenti di lingua inglese e persiana, sfruttando le interruzioni di Internet con esche come i temi di Starlink. Ruba i dati degli utenti (account, contatti, messaggi, file, posizione, registri delle chiamate), registra audio e foto e trasferisce dati crittografati a un server SFTP. Lo spyware condivide l'infrastruttura C&C con SandStrike

Un importante set di dati di addestramento dell'intelligenza artificiale contiene milioni di esempi di dati personali
I ricercatori hanno scoperto milioni di immagini di documenti personali, inclusi passaporti, carte di credito e certificati di nascita, all'interno del dataset di addestramento dell'IA DataComp CommonPool. Un'analisi di un sottoinsieme ha rivelato migliaia di volti identificabili e oltre 800 documenti di candidatura convalidati contenenti informazioni personali sensibili. Il dataset, scaricato oltre 2 milioni di volte, solleva preoccupazioni circa la diffusione di questi dati privati utilizzati per addestrare i modelli di IA

La vulnerabilità di Kubernetes Image Builder concede l'accesso root ai nodi Windows
Una vulnerabilità critica (CVE-2025-7342) in Kubernetes Image Builder versione 0.1.44 e precedenti consente agli aggressori di ottenere l'accesso root sui nodi Windows. La falla deriva dalle credenziali di amministratore Windows predefinite integrate nelle immagini create con provider Nutanix o OVA. Gli aggressori con accesso alla rete possono accedere come amministratore, aumentando i privilegi e potenzialmente compromettendo l'intero cluster. Questo riguarda le immagini delle VM Windows; le immagini Linux non sono interessate

Nuovo crypter sfruttato per diffondere il trojan PureRAT
Un nuovo crypter, Ghost Crypt, ha distribuito il trojan PureRAT a uno studio di contabilità statunitense tramite un PDF modificato tramite ingegneria sociale che reindirizzava a un link di Zoho WorkDrive contenente un file ZIP dannoso. L'archivio ZIP conteneva un file DLL che, una volta eseguito, decrittografava e iniettava PureRAT nel file binario csc.exe. Ghost Crypt includeva la compatibilità con Windows 11 e l'elusione di Windows Defender. La persistenza veniva ottenuta tramite manipolazione delle chiavi di registro e copia delle DLL

L'82% delle violazioni dei dati contiene informazioni sulle Risorse Umane
L'analisi di 141 milioni di file provenienti da quasi 1.300 violazioni di dati ha rivelato la presenza di dati relativi alle risorse umane nell'82% degli incidenti, inclusi numeri di previdenza sociale statunitensi (51%) e dati di reclutamento (58%). Le e-mail trapelate (86%), combinate con i file relativi alle risorse umane, hanno facilitato azioni di phishing e social engineering iper-mirate, consentendo la creazione di identità sintetiche a scopo di frode. Questo approccio basato sui dati agli attacchi informatici evidenzia la vulnerabilità dei dati non strutturati.

Scoperta una backdoor nascosta di WordPress in mu-plugins
Nella directory `mu-plugins` è stata scoperta una backdoor WordPress stealth che sfruttava un URL offuscato da ROT13 per recuperare ed eseguire un payload remoto. Il payload, memorizzato nel database e temporaneamente su disco, includeva un file manager nascosto, creava un utente amministratore ("officialwp") e scaricava un plugin auto-reinstallante. Il malware ripristinava anche le password di amministratore più comuni, garantendo un accesso persistente di livello amministratore al sito compromesso.