Android malware využívající umělou inteligenci ke zneužití služeb usnadnění přístupu
Bezpečnostní výzkumníci identifikovali novou rodinu malwaru pro Android, která kombinuje umělou inteligenci se zneužitím služeb usnadnění přístupu (Accessibility Services). Škodlivé aplikace běží na pozadí, analyzují obsah obrazovky a automaticky interagují se skrytými prvky v mobilním prohlížeči, čímž generují podvodná reklamní kliknutí. Simulací běžného chování uživatele malware obchází tradiční detekční mechanismy a systémy pro prevenci reklamních podvodů. Zasažena jsou zejména zařízení, kde uživatelé aplikacím udělili nadměrná oprávnění bez dostatečné kontroly.
Zdroj: bleepingcomputer.com
Kampaně rozšíření DarkSpectre ovlivnily 8,8 milionu uživatelů
Kampaně DarkSpectre prostřednictvím škodlivých rozšíření prohlížečů kompromitovaly více než 8,8 milionu uživatelů. Útoky cílí na Google Chrome, Microsoft Edge a Mozilla Firefox a jsou spojovány s čínským útočníkem. Mezi hlavní kampaně patří ShadyPanda, která zasáhla přibližně 5,6 milionu uživatelů, a GhostPoster zaměřená především na Firefox. Škodlivá rozšíření se vydávají za legitimní nástroje, požadují nadměrná oprávnění a umožňují krádež dat, únos vyhledávání, injektování škodlivého kódu a podvody s affiliate programy, přičemž jejich chování je obtížně detekovatelné běžnými bezpečnostními mechanismy.
Zdroj: thehackernews.com
Botnet Kimwolf: rostoucí hrozba pro místní sítě
Botnet Kimwolf od konce roku 2025 infikoval více než 2 miliony zařízení po celém světě. Nejčastěji jsou zasaženy Android TV boxy a digitální fotorámečky, zejména z neoficiálních distribučních kanálů. Botnet zneužívá rezidenční proxy sítě k průniku do lokálních sítí, čímž obchází tradiční firewallová omezení. Kompromitovaná zařízení jsou následně využívána k DDoS útokům, reklamním podvodům, přenosu škodlivého provozu a převzetí uživatelských účtů, přičemž zaznamenané útočné špičky dosahují až 29,7 Tbps. Aktivita představuje významné riziko pro domácí i firemní sítě a zvyšuje důležitost monitoringu a zabezpečení okrajových zařízení.
Zdroj: krebsonsecurity.com
Vznik nástroje Brutus pro útoky hrubou silou cílící na služby Fortinet
Bezpečnostní komunita zaznamenala vznik nového nástroje pro útoky hrubou silou s názvem Brutus, který je specificky zaměřen na služby společnosti Fortinet. Nástroj je aktivně nabízen na darknetových fórech a je spojován s aktérem označovaným jako „RedTeam“. Brutus automatizuje útoky na přihlašovací údaje proti firewallům, VPN a dalším přístupovým službám Fortinet a podporuje cílení na více protokolů vzdáleného přístupu. V kombinaci s uniklými nebo dříve kompromitovanými přihlašovacími údaji výrazně zvyšuje pravděpodobnost úspěšného průniku do sítí organizací a představuje zvýšené riziko kompromitace kritické infrastruktury.
Zdroj: root.cz
Uzavření podpory Net-NTLMv1 po zveřejnění veřejných rainbow tabulek
Společnost Mandiant zveřejnila komplexní sadu rainbow tabulek pro autentizační protokol Net-NTLMv1 a zpřístupnila je prostřednictvím Google Cloud s cílem upozornit na kritickou nezabezpečenost tohoto zastaralého mechanismu. Net-NTLMv1 využívá slabé kryptografické principy založené na 56bitovém DES a deterministickém challenge-response procesu, což umožňuje efektivní obnovu původních přihlašovacích údajů ze zachycených hashů. Zveřejnění těchto tabulek výrazně snižuje technickou náročnost útoků a umožňuje prolomení hesel během hodin i s běžným hardwarem, což představuje závažné riziko zejména pro prostředí Active Directory a kompromitaci privilegovaných účtů.
Zdroj: cloud.google.com
Příklady hrozeb, které zachytil ThreatGuard
Kritická zranitelnost v GNU Wget2 umožňuje vzdálené přepsání citlivých souborů
Byla identifikována kritická zranitelnost typu Path Traversal (CVE-2025-69194) v nástroji GNU Wget2, široce používaném příkazovém nástroji pro stahování souborů z webu. Chyba spočívá v nedostatečné validaci cest k souborům v dokumentech Metalink, které definují více zdrojů ke stažení. Útočník může připravit škodlivý Metalink soubor obsahující sekvence pro přechod adresářů (např. ../), což umožní ukládání souborů mimo určený cílový adresář. Úspěšné zneužití může vést k přepsání citlivých konfiguračních nebo uživatelských souborů, ztrátě dat a v některých scénářích i k neoprávněnému spuštění kódu v systému oběti.
Zpracování týmu viz ThreatGuard-ID: 4 553
Aktivní zneužívání zero-day zranitelnosti v Cisco AsyncOS ohrožuje bezpečnostní e-mailová zařízení
Byla identifikována kritická zero-day zranitelnost (CVE-2025-20393) v Cisco AsyncOS, která je aktivně zneužívána k získání plné vzdálené kontroly nad zranitelnými e-mailovými bezpečnostními zařízeními. Chyba vyplývá z nedostatečné validace vstupních dat v rozhraních pro správu a poskytování služeb, což umožňuje útočníkům spouštět systémové příkazy s oprávněními root bez autentizace nebo interakce uživatele. Zneužití poskytuje plnou administrátorskou kontrolu, umožňuje nasazovat trvalá zadní vrátka, manipulovat s e-mailovou komunikací, exfiltrovat citlivá data a využívat zařízení jako vstupní bod pro další útoky. Technický dopad zahrnuje úplné narušení důvěrnosti, integrity i dostupnosti postižených systémů.
Návrh řešení týmu viz ThreatGuard-ID: 4 604
Zranitelnost obcházení autentizace v Siemens SIMATIC HMI
Byla identifikována kritická zranitelnost (CVE-2025-40805) v zařízeních Siemens SIMATIC HMI, která umožňuje neoprávněným vzdáleným útočníkům obejít autentizaci na specifických API koncových bodech. Zranitelnost ovlivňuje modely MTP1900 Comfort Pro a související produkty a vzniká z nesprávného vynucování autentizace, což umožňuje podvrhnout legitimního uživatele a získat neoprávněný přístup k citlivým funkcím a datům. Úspěšné zneužití může vést k manipulaci se systémovým nastavením, neoprávněnému přístupu k informacím a narušení provozu, čímž ohrožuje bezpečnost a integritu postižených systémů.
Návrh řešení týmu viz ThreatGuard-ID: 4 569
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?
Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na
sales@comguard.cz o cenovou nabídku.
