LastPass avertizează clienții cu privire la o campanie de phishing care trimite e-mailuri cu o cerere de acces la seiful de parole ca parte a unui proces de moștenire moștenit. Activitatea a început în mijlocul lunii octombrie, iar domeniile și infrastructura utilizate indică către un grup de amenințări cu motivație financiară numit CryptoChameleon (UNC5356). CryptoChamemelon...
Un nou atac de phishing, denumit ‘CoPhish’, folosește agenți Microsoft Copilot Studio pentru a livra cereri frauduloase de consimțământ OAuth prin domenii Microsoft legitime și de încredere. Tehnica a fost dezvoltată de cercetătorii de la Datadog Security Labs, care au avertizat într-un raport săptămâna aceasta că flexibilitatea Copilot Studio introduce noi riscuri de phishing nedocumentate....
Cele mai recente versiuni ale mediilor de dezvoltare integrate Cursor și Windsurf sunt vulnerabile la peste 94 de probleme de securitate cunoscute și remediate în browser-ul Chromium și motorul JavaScript V8. Aproximativ 1,8 milioane de dezvoltatori, utilizatorii celor două IDE-uri, sunt expuși riscurilor. Cercetătorii de la Ox Security explică faptul că ambele medii de dezvoltare...
FBI a distribuit o listă de 42.000 de domenii de phishing legate de platforma de cybercrime LabHost, una dintre cele mai mari platforme globale de phishing-as-a-service (PhaaS) care a fost dezmembrată în aprilie 2024. Domeniile publicate au fost înregistrate între noiembrie 2021 și aprilie 2024, momentul în care a fost confiscată, și sunt distribuite pentru...
Campania de phishing la scară largă vizează utilizatorii WooCommerce cu o alertă falsă de securitate care îi îndeamnă să descarce un „patch critic” care adaugă o ușă din spate WordPress pe site-ul lor. Destinatarii care cad în capcană și descarcă actualizarea instalează de fapt un modul malefic care creează un cont de administrator ascuns pe...
Într-un atac destul de inteligent, hackerii au folosit o vulnerabilitate care le-a permis să trimită un e-mail fals care părea livrat de sistemele Google, trecând toate verificările, dar indicând către o pagină frauduloasă care colecta logările. Atacatorul a folosit infrastructura Google pentru a păcăli destinatarii să acceseze un „portal de suport” legitim aparent care solicita...
Actorii de phishing folosesc acum o nouă tactică de evitare numită ‘Phishing Validat cu Precizie’ care afișează doar formulare de conectare false atunci când un utilizator introduce o adresă de email specifică țintită de actorii de amenințare. Spre deosebire de phishingul tradițional de tip masă, această nouă metodă utilizează validarea emailului în timp real pentru...
EncryptHub, un actor de amenințare notoriu asociat cu breșe la 618 organizații, este crezut că a raportat două vulnerabilități zero-day Windows către Microsoft, dezvăluind o figură conflictuală care jonglează între criminalitatea cibernetică și cercetarea în domeniul securității. Vulnerabilitățile raportate sunt CVE-2025-24061 (trecerea de Mark of the Web) și CVE-2025-24071 (spoofing-ul File Explorer), pe care Microsoft...
O campanie de phishing în desfășurare care se dă drept E-ZPass și alte agenții de taxare a crescut recent, cu destinatari care primesc mai multe mesaje iMessage și SMS pentru a fura informații personale și de card de credit. Mesajele includ linkuri care, dacă sunt făcute clic, duc victima pe un site de phishing care...
Una dintre cele mai ample campanii de phishing, denumită ‘PoisonSeed’, compromite conturile de marketing prin email ale companiilor pentru a distribui emailuri care conțin fraze de semințe criptografice folosite pentru a goi portofelele de criptomonede. Potrivit SilentPush, campania vizează Coinbase și Ledger folosind conturi compromise la Mailchimp, SendGrid, HubSpot, Mailgun și Zoho. Cercetătorii asociază campania...