Știri
Știri din categoria Securitate cibernetică
Compromiterea a mii de site-uri legitime devine o rampă de lansare pentru malware, într-o campanie care folosește tehnici de inginerie socială precum ClickFix și FakeUpdates, potrivit BleepingComputer. Miza pentru companii este una operațională: traficul „curat” către site-uri cu reputație bună poate fi transformat, fără știrea proprietarilor, într-un canal de infectare a utilizatorilor și, implicit, într-un risc de incidente și costuri de remediere.
Actorul de amenințare, urmărit sub numele DriveSurge, ar fi derulat campanii de distribuție de malware prin redirecționarea vizitatorilor de pe site-uri compromise către infrastructură dedicată livrării de programe malițioase, conform cercetătorilor de la compania de securitate cibernetică SilentPush.
În atacurile de tip ClickFix, victimele sunt păcălite să copieze și să execute comenzi malițioase pe propriile sisteme, de regulă sub pretextul rezolvării unei probleme tehnice. În paralel, FakeUpdates se bazează pe ferestre frauduloase de actualizare software (de obicei imitând actualizări de browser) pentru a convinge utilizatorii să descarce și să instaleze „actualizarea”, care este de fapt un program malițios.
SilentPush susține că DriveSurge funcționează în principal ca „broker de acces inițial” (IAB – intermediar care obține acces inițial în sisteme și îl monetizează), pe un model „plată per instalare” (PPI – plata se face pentru fiecare instalare reușită), facilitând atacuri ulterioare.
Vizitatorii site-urilor compromise sunt trecuți printr-un „sistem de distribuție a traficului” (TDS – infrastructură care direcționează utilizatorii către destinații diferite în funcție de profil), numit zTDS. Acesta „profilează” utilizatorii și decide dacă este mai potrivită o momeală FakeUpdates sau ClickFix.
zTDS este descris ca un TDS open-source existent cel puțin din 2015 și folosit de DriveSurge cel puțin din septembrie 2025. În evaluarea SilentPush, mecanismul permite deturnarea „tăcută” a vizitatorilor către malware, fără ca proprietarii site-urilor sau utilizatorii să își dea seama.
Cercetătorii spun că au identificat opt „amprente” tehnice asociate campaniei, folosite pentru a lega infrastructura DriveSurge de site-urile compromise. Un exemplu menționat este o injecție JavaScript cu tiparul t.js?site=<id>, unde <id> este o valoare unică alocată fiecărui site compromis.
În plus, analiza ar fi scos la iveală peste 80 de domenii de injecție malițioasă și un set de domenii „pre-înarmate” care nu fuseseră încă folosite în atacuri. SilentPush mai notează și existența unui payload JavaScript ofuscat care ar viza sisteme macOS, livrat prin atacuri ClickFix cu tematică de „verificare”, care ar deturna clipboard-ul — un indiciu că operațiunea nu se limitează la Windows.
În contextul acestor campanii, utilizatorilor li se recomandă să instaleze actualizările de browser doar din meniul aplicației (de tipul About > Check for Updates) și să evite rularea de comenzi în Command Prompt (Windows) sau Terminal (macOS) pe care nu le înțeleg complet.
Recomandate
Meta a închis o breșă operațională în suportul Instagram după ce atacatori au reușit să convingă agentul de asistență bazat pe inteligență artificială să inițieze resetări de parolă fără verificări de identitate, potrivit TechRadar . Incidentul arată riscul de a delega către sisteme automate procese sensibile, precum recuperarea conturilor. Atacul a fost unul de inginerie socială : infractorii au purtat o conversație cu chatbotul MetaAI și l-au determinat să trimită coduri de resetare a parolei pentru conturi care nu le aparțineau, fără să ceară verificare de identitate. Cercetătorii care au făcut public cazul au atras atenția că astfel de sarcini, dacă sunt automatizate, pot deveni puncte de intrare în compromiterea conturilor. De ce contează: conturi „premium” pot fi monetizate rapid Țintele au fost conturi Instagram cu nume scurte („short-handle”), considerate valoroase deoarece au, de regulă, audiențe foarte mari și pot fi revândute pe piața neagră. Conform cercetătorilor ZachXBT și Dark Web Informer, atacatorii au obținut coduri de resetare pentru conturile altor persoane. Două conturi, și , ar fi fost listate la vânzare pe canale de Telegram pentru „peste 1 milion, cumulat”, potrivit Cybersecurity News (citat de TechRadar ). Cercetătorii au urmărit apariția listărilor în mai multe comunități de hacking de pe Telegram. Ce a făcut Meta și ce spune compania Meta a remediat problema „vinerea trecută seara”, conform articolului. Compania a transmis ulterior: „Am remediat o problemă care permitea unei părți externe să solicite e-mailuri de resetare a parolei pentru unii utilizatori Instagram. Nu a existat nicio breșă a sistemelor noastre și conturile Instagram ale oamenilor rămân sigure.” Publicația notează și un aspect important pentru utilizatori: în acest caz, atacul a vizat fluxul de suport al platformei, nu utilizatorii direct, astfel că opțiunile de prevenție la nivel individual au fost limitate. Implicații pentru companii: automatizarea suportului trebuie „îngrădită” pe procese critice Cazul evidențiază o vulnerabilitate de proces: dacă un agent automat poate declanșa resetări de parolă fără controale robuste, atacatorii pot transforma conversația cu un bot într-o cale de preluare a conturilor. Pentru organizații, lecția este că automatizarea în suport trebuie însoțită de verificări stricte pentru operațiuni cu impact mare (recuperare cont, schimbare e-mail, resetare parolă), tocmai pentru a reduce suprafața de atac la inginerie socială. [...]
O breșă în suportul automatizat al Meta a permis preluarea unor conturi de Instagram fără acces la e-mailul victimei , iar Instagram spune că problema a fost remediată, potrivit TechCrunch . Incidentul ridică un risc operațional direct pentru platformă: un flux de recuperare a contului, gestionat de un chatbot cu inteligență artificială, ar fi putut fi „păcălit” să acorde acces neautorizat. În weekend, utilizatori de pe Reddit au relatat compromiteri de conturi, iar pe X au apărut avertismente despre preluări similare. Printre conturile afectate se numără contul asociat fostei Case Albe din era Obama (inactiv, aparent, din 2017) și contul lui John Bentivegna , „chief master sergeant” în U.S. Space Force. Cercetătoarea în securitate Jane Wong a spus că i-a fost preluat contul, după ce parola i-a fost schimbată fără știrea ei și a observat încercări repetate de resetare. „Parola a fost schimbată fără știrea mea și primeam diferite încercări de resetare a parolei pe parcursul zilei de ieri. Destul de îngrijorător.” Cum ar fi funcționat atacul: resetare de parolă „intermediată” de chatbot TechCrunch descrie un videoclip publicat pe X care arată, pas cu pas, metoda folosită de atacator. În esență, atacul ar fi exploatat faptul că asistentul de suport Meta AI putea iniția modificări sensibile (adăugarea unei adrese de e-mail și resetarea parolei) pe baza interacțiunii din chat. Conform descrierii: atacatorul ar fi folosit un VPN pentru a simula locația probabilă a țintei, ca să evite declanșarea protecțiilor automate ale Instagram; apoi ar fi deschis o conversație cu „ Meta AI Support Assistant ” și ar fi cerut adăugarea unei noi adrese de e-mail la contul țintei; chatbotul ar fi trimis un cod de verificare la adresa de e-mail controlată de atacator; după ce atacatorul furniza codul în chat, chatbotul ar fi afișat opțiunea „Reset Password”, permițând setarea unei parole noi și preluarea contului. Publicația spune că a verificat că adresa de e-mail publică a atacatorului, vizibilă în videoclip, a primit efectiv codul de verificare. Un detaliu important: atacatorul nu ar fi avut nevoie, în niciun moment, să compromită adresa de e-mail legitimă asociată contului victimei. Ce spune Instagram și ce rămâne neclar Luni, purtătorul de cuvânt al Instagram, Andy Stone, a transmis într-un răspuns la postările lui Wong și ale altor utilizatori că problema a fost rezolvată. Nu este clar câți utilizatori au fost afectați prin acces necorespunzător, potrivit TechCrunch. Meta nu a răspuns imediat solicitării de comentarii a publicației. [...]
O vulnerabilitate critică din pluginul WP Maps Pro permite preluarea completă a site-urilor WordPress , iar atacurile sunt deja în desfășurare, potrivit The Next Web . Problema afectează un plugin comercial vândut către peste 15.000 de site-uri și permite oricui, fără autentificare, să creeze conturi de administrator. Vulnerabilitatea este urmărită ca CVE-2026-8732 (scor CVSS 9.8 ) și afectează toate versiunile WP Maps Pro până la și inclusiv 6.1.0 . Remedierea a fost livrată în versiunea 6.1.1 , lansată la 20 mai 2026 . Conform articolului, campania de exploatare a fost observată de Wordfence, care a raportat că a blocat 2.858 de încercări de atac în cele 24 de ore dinaintea dezvăluirii. De ce contează: risc operațional imediat pentru companii și site-uri comerciale Miza principală este una operațională: vulnerabilitatea permite crearea unui administrator malițios și autentificarea completă pe site, ceea ce echivalează cu o preluare totală (instalare de cod malițios, modificare de conținut, furt de date, redirecționări etc.). WP Maps Pro este folosit frecvent ca „store locator” (localizator de magazine) și pentru hărți cu puncte de lucru, deci poate fi prezent pe site-uri care generează lead-uri, programări sau vânzări. Un factor de risc suplimentar ține de distribuție: pluginul este vândut prin Envato Market (CodeCanyon), nu prin directorul oficial WordPress, ceea ce înseamnă că actualizările nu vin prin mecanismul standard de auto-update al WordPress. În practică, asta poate întârzia aplicarea patch-ului, mai ales la site-uri administrate de utilizatori non-tehnici sau de agenții care nu urmăresc constant alertele de securitate. Cum funcționează atacul, pe scurt Potrivit explicațiilor din articol, problema pornește de la o funcție de „acces temporar” destinată suportului tehnic. Aceasta expune o acțiune AJAX care poate crea utilizatori WordPress cu rol de administrator, însă a fost înregistrată astfel încât să poată fi apelată și de vizitatori neautentificați. Protecția era bazată pe un „nonce” (token folosit, în mod normal, pentru a preveni anumite tipuri de abuz), dar tokenul era expus public în paginile site-ului, ceea ce îl făcea inutil ca mecanism real de control al accesului. Lanțul de atac descris permite, fără credențiale și fără inginerie socială, crearea unui admin și obținerea unui URL de autentificare care finalizează compromiterea. Ce ar trebui să facă administratorii de site-uri Măsura recomandată este actualizarea imediată la versiunea 6.1.1 . Pentru cei care nu pot aplica rapid actualizarea, articolul indică drept alternativă dezactivarea pluginului până la remediere. Ca verificare minimă, administratorii sunt îndemnați să controleze lista de utilizatori WordPress pentru conturi de administrator neașteptate , un indiciu practic că site-ul ar fi putut fi deja compromis. [...]
Microsoft a remediat o pană care a blocat configurarea MFA și accesul la My Sign-Ins , un incident cu impact operațional direct pentru organizațiile care se bazează pe autentificarea cu mai mulți factori pentru accesul utilizatorilor, potrivit BleepingComputer . Problema a afectat utilizatori care nu au putut seta MFA sau accesa site-ul mysignins.microsoft.com , iar în centrul de administrare Microsoft incidentul a fost urmărit sub codul MO1329260 . Conform actualizărilor din admin center, cei afectați au întâlnit erori „504 Gateway Timeout” la accesarea serviciului. Ce s-a întâmplat și cum a reacționat Microsoft Microsoft a confirmat incidentul în jurul orei 5:00 AM ET (12:00, ora României) și l-a încadrat ca „incident în desfășurare”, etichetă folosită pentru probleme critice cu impact vizibil asupra utilizatorilor. Pentru limitarea efectelor, compania a trecut inițial pe „infrastructură alternativă” considerată sănătoasă și a început monitorizarea telemetriei (indicatori tehnici ai funcționării serviciului) pentru a urmări revenirea completă. În paralel, Microsoft a indicat că analizează măsuri suplimentare, inclusiv optimizarea modului în care sunt procesate cererile către serviciu, pe fondul persistenței unor rate ridicate de erori. Cauza indicată: schimbare de configurare a cache-ului și suprasolicitare la failover Într-o actualizare din 1 iunie, ora 08:41 EDT (15:41, ora României), Microsoft a transmis că a restabilit accesul la My Sign-Ins și a pus incidentul pe seama unei schimbări recente de configurare a cache-ului (mecanism de stocare temporară pentru accelerarea răspunsurilor), care a necesitat un failover (comutare pe infrastructură de rezervă). „Am identificat că o schimbare recentă de configurare a cache-ului a necesitat un failover.” În timpul failover-ului, serviciul a înregistrat utilizare ridicată de CPU și memorie, pe fondul unui vârf de trafic din Europa, ceea ce a împiedicat MySignIn să proceseze volumul de solicitări. Microsoft spune că a revenit asupra acțiunilor de atenuare și a readus traficul pe infrastructura inițială. Ce rămâne neclar Compania nu a precizat ce regiuni au fost afectate, menționând doar contextul unui vârf de trafic din UE în perioada failover-ului. Pentru organizații, incidentul evidențiază un risc operațional: indisponibilitatea temporară a fluxurilor de înrolare MFA și a accesului la pagina My Sign-Ins poate întârzia onboarding-ul utilizatorilor și poate complica gestionarea accesului în intervalul afectat. [...]
NVIDIA mută securitatea „zero trust” în stocare pentru AI agențial, cu politici aplicate direct în cip , mizând pe detecție la rulare „de până la 1.000x” mai rapidă și pe aplicarea regulilor de acces la viteze de până la 800 Gb/s, potrivit NVIDIA News . Miza operațională este reducerea riscului ca agenții AI — care citesc, scriu și partajează date fără supraveghere umană directă — să devină o nouă suprafață de atac în companii, în special prin acces neautorizat la fișiere și „memorie de context”. Anunțul vizează NVIDIA Vera BlueField-4 STX , o extensie a arhitecturii accelerate de stocare a companiei, care aduce un „stack” (pachet) unificat de securitate NVIDIA DOCA și îl aplică „în siliciu” pe NVIDIA BlueField-4. Practic, interacțiunile dintre agenți, date și memoria de context pot fi inspectate și guvernate „inline” (pe flux), în calea de date a infrastructurii AI, cu obiectivul de a impune politici continuu, fără a încetini operațiunile. „AI-ul agențial transformă datele întreprinderii într-un sistem viu, în timp real — iar acel sistem trebuie protejat acolo unde datele se mișcă, unde contextul este stocat și unde agenții acționează”, a declarat Jensen Huang , fondator și CEO al NVIDIA. Ce se schimbă în practică: securitate în stratul de stocare, nu doar la aplicație NVIDIA argumentează că, pe măsură ce companiile trec de la chatboți la agenți autonomi care „raționează, recuperează și acționează” pe date interne, stocarea devine un punct de control în timp real. În acest context, Vera BlueField-4 STX ar urma să reducă expunerile generate de accesul continuu la date și de partajarea automată de informații. Conform materialului, NVIDIA DOCA permite: detecție a amenințărilor la rulare „de până la 1.000x” mai rapidă decât soluțiile existente „agentless runtime” (fără agent instalat pe sistemele monitorizate); aplicarea politicilor de acces la rețea și fișiere la viteze de până la 800 Gb/s. Componentele DOCA anunțate pentru Vera BlueField-4 STX Capabilitățile de securitate menționate includ biblioteci și microservicii DOCA aduse în stratul de stocare pentru AI: NVIDIA DOCA Vault (microservicii): pentru a se asigura că doar sarcinile de lucru AI autorizate pot accesa fișierele potrivite, cu permisiunile potrivite. NVIDIA DOCA Argus : vizibilitate asupra comportamentului agenților și activității sarcinilor de lucru AI. NVIDIA DOCA Flow : izolare a traficului de rețea și protecția datelor sensibile în medii AI multi-tenant (cu mai mulți clienți/echipe pe aceeași infrastructură). NVIDIA susține că politicile pot fi aplicate direct în cip, în timp ce datele continuă să circule la „vitezele” cerute de infrastructurile de tip „AI factory”. Ecosistem: securitate, stocare și integratori Publicația listează parteneri care integrează soluții de securitate enterprise cu Vera BlueField-4 STX, între care Akamai, Armis (ServiceNow), Check Point, Cisco, CrowdStrike, EQTY, F5, Fortinet, Palo Alto Networks, TrendAI, Xage Security și Zscaler (fără a detalia nivelul sau calendarul fiecărei integrări). Pe zona de stocare și sisteme, sunt menționați furnizori precum Cloudian, DDN, Dell Technologies, Hitachi Vantara, HPE, IBM, MinIO, NetApp, Nutanix, VAST Data și WEKA, precum și producători (AIC, ASUS, Foxconn, Gigabyte, QCT, Supermicro, Wistron, Wiwynn). La nivel de implementare, NVIDIA indică și implicarea unor integratori globali precum Accenture, Deloitte și Worldwide Technology. Disponibilitate Platformele bazate pe STX sunt „așteptate” să fie disponibile de la parteneri în a doua jumătate a lui 2026, conform anunțului. Materialul nu oferă detalii despre prețuri, configurații sau condiții comerciale. [...]
Rusia își intensifică spionajul și atacurile cibernetice în Europa pentru a compensa presiunea sancțiunilor și a războiului , iar serviciile europene avertizează că Moscova își asumă riscuri mai mari, inclusiv prin tentative de sabotaj asupra infrastructurii critice, potrivit Adevărul . Investigația, bazată pe informații relatate de Associated Press și pe declarațiile unor oficiali europeni din servicii de informații, descrie o campanie coordonată în care agenții ruși folosesc metode mai sofisticate și mai agresive: companii-paravan, intermediari și rețele de hackeri pentru colectarea de date despre infrastructură critică și programe tehnologice occidentale. Ținte: tehnologie cu utilizare duală și proiecte strategice Oficialii europeni citați susțin că Rusia urmărește cu prioritate accesul la echipamente industriale moderne, tehnologii cu utilizare duală (civilă și militară) și rezultate de cercetare care pot accelera dezvoltarea armamentului. Adjunctul șefului operațiunilor din serviciul de securitate al Suediei, Christopher Wedelin , spune că Moscova „știe foarte clar ce caută” și depune eforturi considerabile pentru a obține utilaje avansate, echipamente industriale și tehnologii cu potențial militar. În Suedia, una dintre țintele principale ar fi industria de apărare, inclusiv proiecte legate de avionul de luptă Gripen . Sunt vizate și tehnologii optice, sisteme laser și alte inovații dezvoltate inițial pentru uz civil, dar adaptabile pentru armament. Șeful Serviciului de Securitate și Informații al Finlandei, Juha Martelius, indică o plajă mai largă de interese, de la tehnologii spațiale și cuantice la soluții pentru zona arctică și tehnologii maritime. În paralel, Rusia ar încerca să obțină echipamente informatice aflate sub regimul sancțiunilor și actualizări software pentru utilaje industriale de care depinde producția militară. Escaladare în spațiul cibernetic: de la „recunoaștere” la acțiuni directe Pe lângă spionajul clasic, Rusia intensifică atacurile cibernetice asupra companiilor europene și a infrastructurii critice. Un exemplu menționat este o tentativă din 2025, atribuită unor actori cibernetici asociați Rusiei, de a compromite funcționarea unei centrale electrice din Suedia. Atacul a eșuat după ce sistemele de securitate au detectat și blocat intruziunea înainte să producă daune. Pentru serviciile suedeze, episodul indică o schimbare de tactică. Wedelin afirmă că, dacă anterior predominau activitățile de recunoaștere și colectare de informații, acum se observă „o disponibilitate mai mare de a trece la acțiuni directe”. De ce contează pentru economie și companii Mesajul central al avertismentelor este că presiunea economică internă împinge Rusia să caute accelerat tehnologie și resurse externe, iar asta crește riscul pentru companiile și infrastructurile europene. Directorul Serviciului de Informații Externe al Estoniei, Kaipo Rosin, leagă agresivitatea în creștere de dificultățile economice ale Rusiei și afirmă că aproximativ o treime din produsul intern brut ar fi direcționată către efortul de război, ceea ce amplifică nevoia de acces la tehnologii occidentale. În acest context, serviciile europene avertizează că Moscova pare mai puțin preocupată de expunerea operațiunilor și mai dispusă să își asume riscuri. Pentru mediul de afaceri, implicația este o presiune mai mare pe securitatea cibernetică, pe controlul lanțurilor de furnizori și pe protecția proprietății intelectuale, mai ales în sectoarele cu tehnologii avansate și utilizare duală. [...]
