Telegram statistics channel - @cybersecurefox

🛰️ Зловив дуже показову історію: нова шпигунська платформа LandFall дев’ять місяців тихо сиділа в Galaxy через 0‑day у медіакодеку. І все — через DNG‑картинку у WhatsApp без жодного кліку 📸.Ключ — CVE‑2025‑21042 (CVSS 8.8) у libimagecodec.quram.so: out‑of‑bounds дозволяв віддалене виконання коду під час автопрев’ю. Патч Samsung лише у квітні 2025 🔒. Мені здається, медіастек — найтихіша брама до телефону.Били по Іраку, Ірану, Туреччині, Марокко 🌍; моделі S22/S23/S24, Z Fold 4, Z Flip 4 під ударом, S25 не чіпали 📱. Всередині — b.so і l.so: плагіни, зміни SELinux, збір IMEI/IMSI, гео та списків застосунків. Щонайменше шість C2.Що роблю сам: ставлю квітневі+ патчі, вимикаю автозбереження медіа у месенджерах, стежу за нетиповими з’єднаннями та цілісністю бібліотек ⚠️. Якщо ви на Galaxy — оновіться і перегляньте медіаналаштування. Як гадаєте, чи зможемо змусити месенджери менше обробляти медіа у фоні?🔗 Докладніше:https://cybersecurefox.com/uk/landfall-cve-2025-21042-samsung-galaxy-dng-whatsapp#кібербезпека_android_samsung_whatsapp_spyware_0dayCyberSecureFox

🧲 Безконтактна оплата стала новою мішенню. І це вже не про фішинг — атакують сам механізм оплати.Я помітив у звіті Zimperium: уже 760+ зразків NFC‑малварі, і темп лише росте. Фішка в тому, що зловмисники тиснуть на HCE — телефон прикидається карткою, а шкідник перехоплює EMV‑поля, робить APDU‑тунелювання і на льоту підміняє відповіді на кшталт Ghost Tap. Зовні все виглядає як звична оплата 📱.Інфраструктура теж «під ключ»: 70+ C2‑серверів, приватні Telegram‑боти 🛰️. Перші кейси з 2023‑го (Чехія), а в РФ варіанти NFCGate вже рахують сотні мільйонів збитків і десятки успішних атак щодня. Додатки маскуються під Google Pay/банки і тихцем стають «Tap‑to‑Pay за замовчуванням» 🕵️‍♂️.Що роблю сам: ставлю тільки з Google Play, перевіряю Tap‑to‑Pay за замовчуванням, вимикаю NFC коли не плачу і вмикаю Play Protect. Плюс пуші про транзакції та ліміти — щоб зловити підміну миттєво ⚠️. Звучить нудно, але рятує нерви.А ви вже дивилися, який застосунок у вас відповідає за безконтактну оплату? Написати короткий чеклист перевірок? ✅🔗 Докладніше:https://cybersecurefox.com/uk/splysk-nfc-malvari-bezkontaktni-platezhi-android-hce-emv#кібербезпека #android #nfc #безконтактніплатежі #шахрайство #порадиCyberSecureFox

🚨 Наткнувся на небезпечну дірку в популярному Anti‑Malware Security. Будь‑який зареєстрований юзер може читати файли на сервері — звучить моторошно.Це CVE‑2025‑11705: уразливий AJAX‑хендлер GOTMLSajaxscan спирався лише на nonce і без перевірки прав. Тож навіть Subscriber здатен витягти довільний файл — насамперед wp-config.php з доступом до БД і ключами. Наслідок — часта ескалація привілеїв.Фікс уже вийшов — 4.23.83 (Wordfence повідомила 14.10, реліз 15.10), але оновилась лише приблизно половина зі 100 тис. інсталяцій. Відкрита реєстрація робить атаку тривіальною. ⏱️Що роблю я: терміново оновлюю плагін, обмежую реєстрацію, кручу паролі БД і AUTH_KEY/SALT, форсую вихід сесій, перевіряю логи admin‑ajax.php. Плюс WAF/правила і жорсткіший доступ до wp-config.php на рівні веб‑сервера. 🛠️Оновилися вже? Чи ловили підозрілі AJAX‑запити останнім часом? ⚠️🔗 Докладніше:https://cybersecurefox.com/uk/urazlyvist-cve-2025-11705-anti-malware-security-wordpress#wordpress #безпека #cve #плагіни #оновлення #wordfenceCyberSecureFox

🕵️‍♂️ У Ribbon Communications знайшли чужих у своїй ІТ-мережі — сліди тягнуться з грудня 2024, а помітили лише на початку вересня. Це виглядає на держкібершпигунство, і мене вразила тиша на цілих дев’ять місяців.🛰️ Компанія відрізала доступ і підключила форензиків. Критичних витоків не підтверджено, але зловмисник дістався до файлів кількох клієнтів через два ноутбуки поза корпоративною мережею — от це тривожно. З огляду на клієнтів — від Міноборони США до великих телекомів — ризики для ланцюга постачання очевидні.💻 Типова тактика — living off the land: PowerShell, WMI, крадіжка обліковок, VPN/RDP. Мені здається, що периферійні девайси — головна сліпа зона: нерівномірні патчі, слабший EDR/XDR, хаотичне шифрування. 🔒 Я б терміново ревізував віддалені пристрої, доступи та телеметрію; чесно, краще скоротити «час тихої присутності» зараз. ⚠️ Як ви контролюєте ноутбуки поза доменом — EDR і шифрування всюди?🔗 Докладніше:https://cybersecurefox.com/uk/ribbon-communications-kyberataka-telekom-2025#кібербезпека_телеком_шпигунство_zerotrust_edr_supplychainCyberSecureFox

⚠️ Зловив цікаву тенденцію: на горизонті новий Android‑троян Herodotus, який вдає «живу» людину. І здається, це реально змінює правила гри.За даними ThreatFabric, його з вересня продають як MaaS, сумісний з Android 9–16. Починали з Італії та Бразилії, але вже бачать оверлеї для банків у США, Туреччині, Британії та Польщі — плюс інтерес до криптогаманців. Ключова фішка — імітація «людської» взаємодії 📱.Поширюють через дроппери під Chrome (com.cd3.app) і SMS‑фішинг, потім вибивають доступ до Accessibility. Під час введення даних троян додає випадкові паузи 300–3000 мс — антифрод сприймає це як природний набір, і шанси на перехоплення сесій (ATO) різко ростуть. Є технічні перегуки з Brokewell (навіть BRKWLJAVA у коді) — мені це звучить тривожно_ 🤖.Моя порада: не тицяйте на лінки з SMS, перевіряйте дозволи, ставте апки тільки з офіційних стора та оновлення. Командам безпеки — MTD, контроль Accessibility та тест антифроду на «людиноподібну» автоматизацію 🛡️. А ви вже моделюєте такі сценарії у своїх продуктах?🔗 Докладніше:https://cybersecurefox.com/uk/herodotus-android-troyan-povedinkova-biometriya#кібербезпека #android #банківськийфрод #malware #antifraud #мобільнабезпекаCyberSecureFox

🚨 «Екстрений доступ» у LastPass раптово став приманкою. Я розібрав нову хвилю фішингу — і вона справді хитра.Кампанію крутить група CryptoChameleon (UNC5356): надсилають листи з «ідентифікатором запиту» і лінком «негайно скасувати», а потім ще й дзвонять, прикидаючись підтримкою ☎️. Мета — витягти master‑пароль або перехопити passkey для входу без пароля. Найпідступніше, що все виглядає «правдоподібно», наче родич подав запит на спадкування.Лінки ведуть на двійники на кшталт lastpassrecovery[.]com, mypasskey[.]info, passkeysetup[.]com 🎣. Там змушують «відмінити операцію» і авторизуватися, щоб підпис підробленого домену зловив ваш ключ 🔐. Удар націлений і по біржах та SSO (Binance, Coinbase, Okta, Gmail тощо) — щоб монетизувати доступ.Моя тактика: не тисну жодних «cancel» з листів — відкриваю LastPass вручну; пильно перевіряю URL; тримаю MFA з FIDO2; переглядаю довірених контактів і таймаут «спадкування». Якщо дзвонять і просять щось підтвердити на сторонньому сайті — кладу трубку. А ви вже бачили такі сповіщення чи дзвінки? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/lastpass-ekstrenyi-dostup-phishing-passkey-crypto#кібербезпека #фішинг #lastpass #passkey #соціальнаінженерія #криптаCyberSecureFox

🕵️ Знайшов цікаву утечку: у мережі спливли слайди з закритого брифінгу Cellebrite. І там дуже чітко видно, які Pixel «беруться» форензикою, а які ні.За скриншотами, інструменти Cellebrite тягнуть дані зі стокових Pixel 6–9 у станах BFU/AFU/Unlocked — але брутфорс не підтримується. Тобто без вашого коду повного доступу немає, проте логічні екстракції все ще можливі. Ще нюанс: копіювання eSIM з Pixel недоступне 📱.Картина інша з GrapheneOS: для Pixel 8/9 у BFU та AFU доступ мінімальний, а з кінця 2024 навіть у Unlocked масово витягнути дані не виходить — видно лише те, що вже відкрито користувачу. Мені здається, тут спрацювали посилене шифрування, жорсткі політики USB та робота з ключами 🔐. І це приємно дивує.Що робити нам? Я б зробив ставку на довгий алфавітно-цифровий пароль (12+), вимкнений доступ по USB на заблокованому екрані, PIN на eSIM, регулярні оновлення і «режим блокування» біометрії. А якщо модель загроз вища — розглянути GrapheneOS. Як вам такий баланс приватності й зручності — перейшли б на GrapheneOS чи просто прокачали налаштування? ❓🔗 Докладніше:https://cybersecurefox.com/uk/uteleka-cellebrite-grapheneos-google-pixel-stiikist#безпека #android #pixel #grapheneos #приватність #форензикаCyberSecureFox

🕵️‍♂️ Модифікований Telegram X, який виглядає як справжній, може грати проти вас. І це не страшилка.Doctor Web описали бекдор Baohuo у таких збірках. Він зберігає функціонал, але краде облікові дані та листування, ховає активні сесії і тихо виконує дії від мого/вашого імені — моторошно. Уже понад 58 000 заражених і до 20 000 одночасних підключень до їхньої інфри.Фішка Baohuo — Xposed: підміняє діалоги, маскує рух у чатах і підсовує фішингові вікна. 🔐 Також читає буфер: OTP, паролі, seed-фрази. Поширюється через malvertising і сторонні APK (APKPure, ApkSum, AndroidP) — інколи під «офіційним» ім’ям, але з іншим підписом.Технічно є й резервний C2 через Redis, тож валити інфру складніше. Моя порада: ставте тільки з перевірених джерел, звіряйте підпис, урізайте дозволи накладання/доступності, вмикайте 2FA в Telegram і регулярно чистіть сесії. 🛡️ Бачили дивні «оновлення» Telegram X? Як ви перевіряєте APK перед інсталом? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/baohuo-android-backdoor-telegram-x-redis-xposed#кібербезпека #android #telegram #baohuo #malware #2faCyberSecureFox

🛡️ Маленька зміна у Windows ламає великий трюк. Я помітив: Explorer 📁 став обережнішим.З 14 жовтня 2025 Windows вимикає попередній перегляд для файлів з Інтернету (мітка MotW) та мережевих шляхів у «зоні Інтернету». Замість рендеру тепер попередження й ручне відкриття, якщо довіряєте джерелу. Трохи незручно, зате чесно.Чому так? Прев’ю інколи тягне зовнішній вміст (link/src), і Windows пробує NTLM — хеші можуть «утекти» навіть коли ви просто виділили файл. Microsoft прибирає «нульову взаємодію» і відтинає ризик NTLM relay. 🕵️‍♂️Треба все ж переглянути? У «Властивостях» натисніть «Розблокувати», а довірені шляхи додайте в Trusted Sites. Для компаній: мінімізуйте NTLM, перейдіть на Kerberos, вмикайте Credential Guard/SMB signing та ASR/SmartScreen — мені здається, баланс вдалий; як вам така зміна — допоможе чи завадить? 💬🔗 Докладніше:https://cybersecurefox.com/uk/windows-11-file-explorer-blokuie-poperednii-peregliad-ntlm#windows11 #security #ntlm #sysadmin #infosec #explorerCyberSecureFox

🐛 У VS Code тихо розгорнулась атака на розширення — шкідник GlassWorm пробрався навіть у офіційний маркетплейс. Завантажень уже щонайменше 35 800 — мені здається, це недооцінений ризик для команд.Суть проста й підла: викрадені облікові дані видавців + невидимі Unicode-символи в коді, а далі спрацьовують автооновлення — і компрометація відбувається без попереджень. GlassWorm тягне токени GitHub/npm/OpenVSX, ставить проксі/HVNC і тягне команди через Solana та навіть Google Calendar ⚠️Кого зачепило: щонайменше 11 пакетів в OpenVSX і 1 у Marketplace (зокрема cline-ai-agent 3.1.3, better-nunjucks 0.3.2, color-picker-universal 2.8.91). Частину вже прибрали, але кілька ще доступні 🕵️ Я б зараз перевстановив ризикові версії, тимчасово вимкнув автооновлення в критичних середовищах і ротував токени; плюс перевірив вихідні з’єднання на 217.69.3[.]218 🔒А ви як ставитесь до allowlist’ів для плагінів і сканів на zero‑width у CI? Мені цікаво, чи готові пожертвувати зручністю заради спокою 🤔🔗 Докладніше:https://cybersecurefox.com/uk/glassworm-supply-chain-ataka-vscode-openvsxCyberSecureFox