На этой неделе компания Microsoft выпустила сентябрьские обновления, которые устранили 81 уязвимость в продуктах компании. Среди них были две уязвимости нулевого дня, информация о которых была раскрыта до выхода исправлений.
Компания Google сообщила, что интегрирует технологию C2PA Content Credentials в приложение камеры Pixel 10 и Google Photos, чтобы пользователи могли отличать подлинные изображения от тех, что были созданы или отредактированы с помощью искусственного интеллекта.
Специалисты F6 и RuStore сообщают, что обнаружили и заблокировали 604 домена, которые входили в инфраструктуру хакеров, заражавших мобильные устройства трояном DeliveryRAT. Вредонос маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок.
Неназванная европейская компания, специализирующаяся на защите от DDoS-атак, сама стала жертвой такой атаки, мощность которой достигла 1,5 млрд пакетов в секунду (PPS). Специалисты FastNetMon, которые занимались отражением DDoS, сообщили, что атака исходила от тысяч IoT-устройств и роутеров MikroTik.
По данным исследования Atlantic Council, индустрия шпионского ПО переживает бум, поскольку инвесторы все чаще обращают внимание на эту этически сомнительную, но весьма прибыльную область. При этом большую часть средств получают компании в США и Израиле, а американские инвестиции в шпионское ПО утроились за последний год.
Для подписчиковКак расширить возможности C2-маяка, не переписывая его код и не подставляясь под антивирусы? В статье разбираем Beacon Object Files — легкий модульный способ добавлять новые функции прямо на лету. С помощью BOF можно проводить постэксплуатацию, закрепление, эксфильтрацию и выполнять любые кастомные задачи без доработки самого маяка.
Обнаружена еще одна атака на цепочку поставок, получившая название GhostAction. Вредоносная кампания была нацелена на GitHub и привела к компрометации 3325 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS.
Компания Google устранила критическую уязвимость типа use-after-free в браузере Chrome, которая могла привести к выполнению кода. Обнаруживший ее ИБ-специалист получил вознаграждение по программе bug bounty в размере 43 000 долларов США.
Аттаулла Баиг, якобы возглавлявший службу безопасности WhatsApp с 2021 по 2025 год, подал в суд на материнскую компанию Meta (организация признана экстремистской и запрещена на территории РФ). Баиг утверждает, что его уволили за неоднократные попытки решить серьезные проблемы кибербезопасности мессенджера. В компании говорят, что Баиг вообще не был руководителем службы безопасности.