Telegram statistics channel - @cybersecurefox

🔍 Сьогодні натрапив на історію, від якої в мене реально похололо в спині. Удар йде не по Windows як такій, а по самому захисту — Microsoft Defender.Дослідник Chaotic Eclipse виклав у відкритий доступ три zero‑day: BlueHammer, RedSun і UnDefend. Їх уже крутять у реальних атаках: перші дві дають підвищення привілеїв до адміна 🛡️, а UnDefend фактично створює «сліпу зону», вимикаючи або ламаючи Defender. Для BlueHammer (CVE‑2026‑33825) патч уже є, але багато хто ще не оновився — і це ідеальне вікно можливостей для зловмисників.Найнеприємніше, що RedSun і UnDefend поки без офіційних латок ⚠️. Тому я б на вашому місці: 1) терміново оновив Windows, 2) подивився в логи на підозріле whoami /priv, cmdkey /list, net group 🧰, 3) перевірив, чи не падає Defender, чи немає дивних помилок оновлення. Мені здається, зараз це той випадок, коли затримка з патчем може коштувати дуже дорого 🤔 А ви як ставитеся до публічного викладання таких zero‑day до того, як вендор випустить виправлення?🔗 Докладніше:https://cybersecurefox.com/uk/bluehammer-redsun-undefend-microsoft-defender-zero-day#кібербезпека #windows #microsoftdefender #zero #day #bluehammer #infosec #uaCyberSecureFox

🧩 Я щойно зловив себе на думці, що ми занадто довіряємо всьому, що стоїть «з офіційного магазину». А тим часом у Chrome Web Store тихо жили 108 шкідливих розширень, які могли красти акаунти й керувати вашим браузером за спиною.Дослідники знайшли ці доповнення від «розробників» Yana Project, GameGen, SideGames, Rodeo Games, InterAlt — всього ~20 000 інсталяцій. Частина з них тягнула OAuth2-токени Google, інші — відкривали будь-які URL, показували фішинг і підмінювали вміст сторінок, включно з Telegram Web. Звучить як фільм, але це вже сталося. 😬Найпідліше, що багато з них маскувалися під «клієнт Telegram», «покращувач YouTube/TikTok», ігри, перекладачі тощо — виглядало корисно, а всередині сидів бекдор. Я б радив зараз же пробігтися по розширеннях, видалити все зайве, особливо з цих «студій», перелогінитись у Google/Telegram і ввімкнути 2FA. 🔐Мені здається, ера «якщо в офіційному магазині — значить безпечно» остаточно закінчилась. Ви взагалі пам’ятаєте, які розширення зараз стоять у вашому Chrome? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/shkidlyvi-rozshyrennia-chrome-vykradennia-google-telegram#кібербезпека #chrome #розширення #приватність #telegram #пароліCyberSecureFox

⚠️ Схоже, ми дочекалися моменту, коли IDE стає точкою входу в систему так само, як раніше браузер. Історія, на яку я сьогодні натрапив, виглядає як ідеальний шторм для розробників.Зловмисники замаскували шкідливе розширення під WakaTime в Open VSX — specstudio.code-wakatime-activity-tracker. Усередині воно тягне нативний Zig‑дроппер, який обходить JS‑пісочницю VS Code і отримує повний доступ до системи 🧨. Далі він тихо ставить ще один фейковий плагін floktokbok.autoimport і вже через нього розгортає RAT, крадіжку токенів, секретів проектів і навіть шкідливе розширення для Chrome.Найнеприємніше, що це зачіпає не тільки VS Code, а й VSCodium, Cursor, Windsurf та інші VSIX‑сумісні IDE 💻. Якщо ви ставили підозрілі “WakaTime/autoimport” не з офіційного Marketplace — я б на вашому місці вважав середовище компрометованим: чистка розширень, сканування, ротація ключів і паролів обов’язкові 🔐. Мені здається, нам час мати чорні списки плагінів так само серйозно, як політики доступу в проді.А ви як зараз перевіряєте, які розширення живуть у вашому VS Code/IDE? Чи є в команді хоч якийсь “апрув” плагінів, чи кожен ставить що хоче? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/glassworm-zig-dropper-vs-code-ide-ataka#кібербезпека #розробка #vscode #infosec #supplychain #devsecopsCyberSecureFox

📱 Уявіть: вам пишуть у LinkedIn з «класною роботою», кличуть у Zoom — а насправді тихо крадуть доступ до вашого Google‑акаунта.Я копаюсь у розслідуванні про фішинг формату hack‑for‑hire проти журналістів і правозахисників у MENA й бачу доволі тривожну картину. Людей цілеспрямовано ловлять на фейкові сторінки Apple ID / Google, просять логін, пароль і коди 2FA, а ще підсовують OAuth‑фішинг: замість красти пароль, змушують самостійно «дозволити» підозрілому застосунку доступ до пошти, контактів і диску 🔐. Найгірше, що такий токен дає довготривалий доступ, навіть якщо ви зміните пароль.Паралельно ця ж інфраструктура світилася в кампаніях із розповсюдження Android‑шпигунців на кшталт ProSpy, замаскованих під Signal/Telegram‑додатки 🕵️. Тобто один і той самий набір доменів, соціальної інженерії та «офіційних» повідомлень в iMessage/WhatsApp працює і як фішинг, і як канал доставки малварі ⚠️. Мені здається, це вже не поодинокі історії, а рутинний інструмент тиску на громадянське суспільство.Я для себе роблю висновок: без перевірки підключених застосунків у Google/Apple, апаратних ключів і холодної підозри до будь-яких «верифікацій акаунта» ми граємо проти людей, для яких це робота. А як ви ставитеся до таких ризиків — це щось далеке, чи вже тема для особистих правил цифрової гігієни?🔗 Докладніше:https://cybersecurefox.com/uk/hack-for-hire-fishing-proty-zhurnalistiv-bitter-prospy-oauth#кібербезпека #журналісти #фішинг #цифровагігієна #espionage #menaCyberSecureFox

🚨 Оце так «сюрприз» від PDF-файлів… В Adobe Acrobat/Reader знайшли критичну дірку, яку зловмисники вже реально юзають у атаках.Суть проста: достатньо відкрити «правильно» підготовлений PDF, і в Acrobat/Reader може виконатися довільний шкідливий код. Уразливість (CVE-2026-34621) сидить у JavaScript-движку всередині PDF — мене особливо напружує, що це вже 0-day, який помітили «в полі» ще з грудня 2025 ⚠️. Дослідники з EXPMON підтвердили: мова не про дрібний баг, а про повноцінний RCE.Що я б зробив просто зараз 💻:— оновив Acrobat/Reader (Help → Check for Updates) і не чіпав автооновлення; — по можливості відрубив JavaScript у PDF та вмикнув захищений режим; — ставився до будь‑яких «рахунків/резюме/договорів» у вкладеннях 📨 максимально підозріло, навіть якщо це виглядає дуже правдоподібно 🛡️.Мені здається, це ще один аргумент не тягнути з апдейтами та політиками роботи з документами. А ви як працюєте з PDF: відкриваєте все підряд чи тримаєте окремий «пісочний» софт/ВМ для підозрілих файлів?🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-34621-adobe-acrobat-reader-krytychna-urazlyvist#кібербезпека #pdf #adobe #уразливість #оновлення #приватністьCyberSecureFox

🕵️‍♂️ Майже половина доступів у великих компаніях живе в «тіні» — і про них ніхто толком не знає. Мені дуже сподобалося, як це назвали в Orchid Security: Identity Dark Matter — та частина дій з обліковками, яку не бачить жодна IAM‑система. Я помітив, що класичний IAM часто знає лише «як має бути», але слабо розуміє, як доступ реально використовується 💡. Gartner пропонує окремий клас рішень — Identity Visibility and Intelligence Platform (IVIP), який збирає все про ідентичності, аналізує поведінку й показує, де насправді відкриті дірки, включно з тіньовими застосунками, локальними акаунтами та ботами 🧩. Цікаво, що Orchid пішли ще глибше: вони лізуть усередину застосунків через бінарний аналіз, без зміни коду, й витягують назовні цю темну матерію — приховані логіни, забуті сервісні акаунти, нових AI‑агентів 🤖. Мені здається, майбутнє IAM — це не ще один портал доступів, а шар спостережуваності, який дозволяє застосувати Zero Trust до всього, що має токен 🔐. А як у вас: IAM уже бачить поведінку, чи досі лише перевіряє, чи «правильно заповнена форма»?🔗 Докладніше:https://cybersecurefox.com/uk/identity-dark-matter-ivip-orchid-security#cybersecurity #iam #identitysecurity #aiagents #zerotrust #orchidsecurityCyberSecureFox

🕳️ Оце мене зараз реально тригерить: ми будуємо красиві Zero Trust‑архітектури, а злам як і раніше починається з якогось забутого сервісу на «дев’ятому сервері зліва».Я натрапив на дослідження Ponemon: у великій компанії можуть жити сотні «темних» додатків — старі CRM, локальні сервіси, нішеві SaaS і самопис, які ніколи не потрапили в IAM. Доступ до них — це Excel‑таблички, локальні адміни, статичні паролі 🔐. Формально на аудиті все гарно, а фактично величезний шматок ідентичностей взагалі не під контролем.І тут у гру заходять ІІ‑агенти 🤖. Щоб працювати, їм теж дають доступ до цих «сірих зон»: вони можуть тягати старі токени, створювати тіньові інтеграції, випадково логувати чутливі дані ⚠️. Те, що раніше було «про комплаєнс», стає чистою операційною вразливістю.Мені здається, час не «закручувати гайки» політиками, а чесно перевірити: які системи взагалі поза IAM, мінімізувати локальні акаунти і навести лад з доступом для ІІ 📊. Як у вас із цим: ви вже мапили свої «темні» додатки чи поки живемо з розривом довіри? 💬🔗 Докладніше:https://cybersecurefox.com/uk/dark-applications-iam-zero-trust-ai-riziki#кібербезпека #iam #zero #trust #штучний #інтелект #інформаційна #безпека #cisoCyberSecureFox

⚡ GPU тепер можуть зламати вам систему не гірше за дірявий браузер. Я натрапив на дослідження GPUBreach / GDDRHammer / GeForge — і там GPU з «просто прискорювача» перетворюється на точку входу до всього сервера.Як це працює? Через RowHammer у GDDR6 буквально «молотять» одні й ті самі рядки відеопам’яті, змушуючи біти випадково фліпатися. Дослідникам вдалося так пошкодити таблиці сторінок GPU, що звичайний процес отримує довільний доступ до пам’яті відеокарти, обходить IOMMU і через DMA проривається аж до root-доступу 🔓.Найнеприємніше, що це вже не тільки про падіння точності моделей. GPUBreach дозволяє красти криптоключі (наприклад, з cuPQC), тихо псувати ваги моделей ШІ 🎯 і зачіпати пам’ять хоста, що в хмарах ☁️ означає ризики для сусідів по GPU. Мені здається, пора сприймати відеокарту як окремий, потенційно ворожий комп’ютер у вашому сервері, а не «дурний акселератор». Як ви до такого ставитеся: це новий клас загроз чи черговий академічний proof-of-concept? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/rowhammer-ataky-na-gpu-gpubreach-gddrhammer-geforge#кібербезпека #gpu #штучнийінтелект #хмара #інфраструктура #rowhammerCyberSecureFox

⚠️ Оновлюєш звичайний axios — а разом із ним у твоє CI/CD тихо заїжджає північнокорейський бекдор. Мені здається, це один із тих кейсів, після яких вже складно сприймати «npm install» як щось невинне.Суть історії така: зламали акаунт мейнтейнера і викотили дві троянізовані версії axios 1.14.1 та 0.30.4. Сам код axios майже не чіпали — просто підсунули залежність plain-crypto-js з postinstall-хуком, який тягне дроппер SILKBELL і далі вже розгортає кросплатформений бекдор WAVESHAPER.V2 (Windows/PowerShell, macOS/Mach-O, Linux/Python) 💸Мені тут особливо «подобається», що після відпрацювання малварь сама підчищає сліди: править package.json, випилює артефакти, і форензика перетворюється на квест 🧪 Тобто один скомпрометований пакет потенційно б’є по тисячах пайплайнів, а таргет — розробники й криптопроєкти, а не «звичайні юзери» 🧑‍💻Якщо коротко, я б зараз точно перевірив, чи не світилися у вас axios 1.14.1 / 0.30.4 і plain-crypto-js, перевипустив білди та ротаціював усі секрети, до яких могла дотягнутися збірка 🛡️ А ви як узагалі контролюєте оновлення залежностей і постінстал-скрипти — є процес чи все ще «довіряю реєстру»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/supply-chain-ataka-na-axios-unc1069-waveshaper-v2#кібербезпека #devsecops #javascript #opensource #supplychain #axiosCyberSecureFox

🕵️ Я натрапив на цікаву, але трохи лячну історію: по китайськомовних користувачах зараз б’ють новим трояном AtlasCross RAT. Зловмисники клепають фейкові сайти VPN, месенджерів і сервісів на кшталт Zoom, де пропонують «офіційні інсталятори» з вкраденим EV‑сертифікатом — виглядає дуже переконливо.Всередині — легітимний додаток‑приманка і троянізований інсталятор Autodesk, який тягне RAT у пам’ять без запису на диск. Далі в хід іде вбудований PowerShell‑рушій: він відрубає AMSI, ETW і логування, тож класичні засоби безпеки бачать майже нічого, поки шкідник тихо керує файлами, краде дані й перехоплює RDP та WeChat‑сесії.За всім цим стоїть китайська група Silver Fox, яка вже роками полює на менеджмент і фінансистів у Азії й апгрейдить свої Gh0st‑подібні інструменти. Мені здається, така схема з фейковими доменами популярних сервісів легко може «переїхати» в наш регіон, бо багато хто все ще ставить софт «з першого лінка в Google» 😬 Як ви завантажуєте VPN/месенджери — тільки з офіційних сайтів чи інколи теж ризикуєте? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/atlascross-rat-silver-fox-kytayskomovni-korystuvachi#кібербезпека #троян #rat #фішинг #silverfox #atlascrossCyberSecureFox