Microsoft закърпи 80 дупки:

https://thehackernews.com/2025/09/microsoft-fixes-80-flaws-including-smb.html?_m=3n.009a.3769.ai0ao0ctey.2szw&m=1

Secret Service намерили 100 000 SIM карти и 300 сървъра в Ню Йорк на няколко места около ООН.

https://cybersecuritynews.com/300-sim-servers-dismantled/

Още се чудят за какво са им трябвали на който ги е навързал . Някой има ли идеи, освен ботферми, DOS атаки?Единия сървър го дават към 2000+ долара от Китай .

Властите смятат, че мрежата е била способна да извършва операции, включващи деактивиране на мобилни телефони ,  атаки тип „отказ от услуга“ (DoS) и предоставяне на криптирани комуникационни канали за престъпни организации и враждебни лица.   Косич откога разбира и от такива неща?   Това не е като с некролозите в темата за войната в Украйна.  Повече прилича на провокация като с дроновете-играчки в Полша. Никой не е доказал нищо и пак има подведени лесно да повярват.

преди 6 минути, attj написа:

Властите смятат, че мрежата е била способна да извършва операции, включващи деактивиране на мобилни телефони ,  атаки тип „отказ от услуга“ (DoS) и предоставяне на криптирани комуникационни канали за престъпни организации и враждебни лица.   Косич откога разбира и от такива неща?   Това не е като с некролозите в темата за войната в Украйна.  Повече прилича на провокация като с дроновете-играчки в Полша. Никой не е доказал нищо и пак има подведени лесно да повярват.

2 000 $*300 сървъра  не е нещо което всеки може да си позволи, без да броим картите. Просто ми е интересно за целите, да кажеш да са разпръснати по 2-3 на различни места имам идеи за ползване (някаква разпредела мрежа като meshtastic ?) , а те са по няколко хиляди на едно място. Просто не ми се вързва целта да толкова много на едно място. 

https://money.bg/internet-it/proton-danni-na-zastrahovatelya-evroins-sa-iztekli-v-dark-ueb.html

Втората е сървърна дупка и тя не касае домашните потребители, но първата ни касае и тя няма да бъде пачната, защото се не води критична според MS.

https://www.kaldata.com/it-новини/най-накрая-microsoft-затвори-уязвимост-в-windows-коя-614086.html

По-подробна информация:

Unpatched Windows vulnerability continues to be exploited by APTs (CVE-2025-9491)

https://www.helpnetsecurity.com/2025/10/31/zdi-can-25373-cve-2025-9491-exploited-again/

Методи за свеждане до минимум на този вектор на атака:

Quick actions for all Windows users (low friction)

Block or quarantine .lnk files at the email gateway and web download filters. Treat LNK files as high-risk attachments.
Disable the Explorer preview pane and turn off automatic file previews in email clients (Outlook preview pane) to reduce the chance that a malicious file will be executed simply by viewing.
Do not open attachments or click links from unsolicited or unexpected emails; confirm attachments via an out‑of‑band channel (e.g., separate message, phone call). Use a zero‑trust mindset for diplomatic or sensitive content.

Immediate steps for administrators (recommended)

Block or remove .lnk handling from untrusted paths:
Configure Group Policy to prevent Explorer from resolving LNKs from the Downloads folder, untrusted network shares, or temporary directories where email gateways or browsers save attachments.
At a minimum, block execution of .lnk files originating from the internet zone.
Apply application control and hardening:
Enable Smart App Control and Attack Surface Reduction (ASR) rules in Microsoft Defender where possible.
Implement WDAC or AppLocker to restrict which processes and signed binaries can run on high‑value endpoints.
Hardening for DLL sideloading:
Monitor image load events and enforce policies to prevent executables from loading DLLs from user-writable locations. Record and inspect Sysmon ImageLoad (Event ID 7) and parent/child process relationships for Explorer → PowerShell chains.
Detection and telemetry:
Centralize logs, enable EDR telemetry, and hunt for PowerShell invocations with obfuscated flags, suspicious tar extraction behavior, and network connections to rare or newly observed domains.

https://windowsforum.com/threads/cve-2025-9491-active-lnk-attack-exploiting-windows-shortcuts-without-patch.387516/

Ето и малко интересно четиво по темата за различните стратегии:

https://unit42.paloaltonetworks.com/lnk-malware/

https://simplysecuregroup.com/hackers-bypassing-windows-mark-of-the-web-files-using-lnk-stomping-attack/

LNK винаги е бил сериозен бич за сигурността. От времето на Stuxnet, Flame, Duqu, Gauss.

https://www.mdpi.com/1999-5903/4/4/971

Ако ползвате Everything си го обновете:

https://www.kaldata.com/софтуер/everything-90536.html

Цитат

Tuesday, 4 November 2025: Version 1.4.1.1030
fixed a security issue with the Everything service.
added a DACL to the Everything service pipe.
added service connection verification. Only the voidtools code-signed Everything.exe can connect to the service.

Само, че автора не си е обновил сайта. Но spoofing метода работи като се смени версията ръчно.

https://www.voidtools.com/Everything-1.4.1.1030.x86.zip

https://www.voidtools.com/Everything-1.4.1.1030.x64.zip

Съдиите въстанаха срещу антивирусен агент в компютрите им

https://www.segabg.com/hot/category-bulgaria/sudiite-vustanaha-sreshtu-antivirusen-agent-kompyutrite-im

Антивирусен вирус..

Една не точно новина...

Забелязах десетки теми с хакнати EPIC акаунти. Не, че имам нещо ценно там освен безплатни игри и 1-2 закупени де, но все пак добавих и един google auth, че досега бях само с SMS за 2FA. Sim Swap атаката си е реалност, но не чак толкова лесно осъществима, но добавих и един Google Auth. Повечето пишат, че имат 2FA (не е уточнено какъв). Или е мащабна кампания или са кликали на фишинг или са им пробили пощите или имат malware infostealer...нямам идея, но затегнете малко Epic-a си. Всички хакнати акаунти са със сменени руски пощи към rambler.ru.

https://www.reddit.com/r/epic/comments/1p9m1lz/was_hacked_by_a_ramblerru_account/

Щото някои в коментарите на главната страница под новините бяха писали, че при MAC няма проблеми...ама за крадците на данни вида на ОС не е никакъв проблем.

Mac Specific Threats and Analysis

https://www.emsisoft.com/en/blog/47080/mac-specific-threats-and-analysis/?ref=ticker251120_all_en

на 3.11.2025 г. в 10:07, B-boy/StyLe/ написа:

Втората е сървърна дупка и тя не касае домашните потребители, но първата ни касае и тя няма да бъде пачната, защото се не води критична според MS.

https://www.kaldata.com/it-новини/най-накрая-microsoft-затвори-уязвимост-в-windows-коя-614086.html

Все пак са я ограничили леко и то още през юни. Но не е затворена напълно.

Microsoft тихомълком ограничава сериозна уязвимост в Windows

https://mobilebulgaria.com/news/microsoft-tihomalkom-ogranichava-seriozna-uyazvimost-v-windows

Обновете си Notepad++

Notepad++ v8.8.9: vulnerability-fix

https://notepad-plus-plus.org/downloads/v8.8.9/

Какво е Pixnapping и как да се предапазите от най-новата Android заплаха

https://digital.bg/kakvo-e-pixnapping-i-kak-da-se-predapazite-ot-naj-novata-android-zaplaha/

Интересна гад...да реконстроира пикселите на дисплея.

 

Иначе и новини за малко по-стари, но все така опасни банкови троянци за Android

New Android malware (Albiriox) lets criminals control your phone and drain your bank account

https://www.malwarebytes.com/blog/news/2025/12/new-android-malware-lets-criminals-control-your-phone-and-drain-your-bank-account

New FvncBot Android banking trojan targets Poland

https://www.intel471.com/blog/new-fvncbot-android-banking-trojan-targets-poland

Cron Persistence: Why Your Linux Malware Keeps Coming Back (Complete Guide 2025)

How Malware Survives Reboots and Cleanup Using Cron Persistence Technique in Linux

https://ostechnix.com/cron-persistence-linux-malware/

 

Почему вредоносное ПО в Linux возвращается после перезагрузки: закрепление через cron

Цитат

В этой статье (по материалам OSTechNix) мы разберём, что такое «Закрепление через cron», как обнаружить подобное закрепление, как безопасно удалить вредоносные cron-задания и как предотвратить будущие атаки.

Содержание

• Что такое «Закрепление через cron»?
• Что такое Cron?
• Почему вредоносное ПО в Linux использует Cron?
• Почему метод «Закрепления через cron» так эффективен
• Как происходит атака с использованием «Закрепления через cron»
• Цепочка атаки
• Бесконечный цикл очистки
• Типичные вредоносные шаблоны cron
• Где злоумышленники прячут cron-задания
• Как обнаружить «Закрепление через cron» в Linux
• Тревожные признаки в cron-записях
• Скрипт для автоматического поиска
• Пошаговая очистка системы от вредоносных cron-заданий
• Лучшие практики предотвращения атак через cron
• Часто задаваемые вопросы
• Краткие чек-листы по работе с вредоносными cron-заданиями
• Заключение
• Ключевые выводы

 

След хакването и leak- а на pornhub  , това ме накара да се замисля 

https://www.tomshardware.com/tech-industry/cyber-security/north-korean-infiltrator-caught-working-in-amazon-it-department-thanks-to-lag-110ms-keystroke-input-raises-red-flags-over-true-location

Амазон са хванали че са наели северно-кореец заради лаг-а на клавиатурата от 110 ms. 

Notepad++ v8.9 release: security enhancements

https://notepad-plus-plus.org/news/v89-released/

Време за актуализация на Everything

Friday, 23 January 2026: Version 1.4.1.1032
	fixed a security issue with launching files ending with a dot (.)
	fixed an issue with the msi installer not stopping Everything.

 

https://www.voidtools.com/

 

Спиди предупреждава за нова фишинг кампания

https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability
https://thehackernews.com/2026/01/google-warns-of-active-exploitation-of.html

Китайците са нападнали през  Notepad++

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Анализа как е станало пренасочването към фалшив update сървър  и какво става след това.

Зловреден софтуер, задвижван от изкуствен интелект, заплашва Windows 11: традиционният антивирусен софтуер се проваля - kaldata.com

Да, и аз пуснах коментар под темата там, но още не са го одобрили.

Ще се самоцитирам:

"Да, тези атаки се виждат вече доста често в reddit, bleeping и т.н. но просто това е "мета-та" в момента. Добре е да се използват средства с възможност за спиране на Command Lines атаки, но за съжаление те не са особено подходящи за начинаещи потребители. Говоря за IDS/HIPS програми като Comodo Firewall или Application Control-a в платения Kaspersky да речем, VoodooShield (CyberLock е новото име) и т.н. Добре е да се направи и Hardening на настройките на Windows. Могат да се спрат функционалности (ако не се ползват) като Windows Scripting Host, PowerShell други вектори на атака. Вече има и средства за блокиране на Fake Captcha атаките (освен да не се копират и изпълняват командите от самия потребител разбира се) като PasteEater и ClipGuard (безплатни са и ги има в github)."

на 2.04.2026 г. в 9:49, B-boy/StyLe/ написа:

Да, и аз пуснах коментар под темата там, но още не са го одобрили.

Ще се самоцитирам:

"Да, тези атаки се виждат вече доста често в reddit, bleeping и т.н. но просто това е "мета-та" в момента. Добре е да се използват средства с възможност за спиране на Command Lines атаки, но за съжаление те не са особено подходящи за начинаещи потребители. Говоря за IDS/HIPS програми като Comodo Firewall или Application Control-a в платения Kaspersky да речем, VoodooShield (CyberLock е новото име) и т.н. Добре е да се направи и Hardening на настройките на Windows. Могат да се спрат функционалности (ако не се ползват) като Windows Scripting Host, PowerShell други вектори на атака. Вече има и средства за блокиране на Fake Captcha атаките (освен да не се копират и изпълняват командите от самия потребител разбира се) като PasteEater и ClipGuard (безплатни са и ги има в github)."

Странно. Все още коментарът ти го няма в статията.

Ако някой още не е разбрал вчера се установи компрометиране на сайта на HWmonitor.

https://www.reddit.com/r/pcmasterrace/comments/1sh4e5l/comment/ofa2w5

Оригиналните сайтове за download предлагат чисти версии (сега май въобще не работи сайта)

Оригиналния линк е чист hXXps://www.cpuid.com/downloads/hwmonitor/hwmonitor_1.63.exe

но снощи главната страница пренасочваше към похитена версия:

hXXps://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor/HWiNFO_Monitor_Setup.exe

Резултатите от VirusTotal:

https://www.virustotal.com/gui/file/eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f

Може би е таргетирана атака подобно на тази за Notepad++ преди време. Коментира се, че и CPU-Z е бил засегнат.

Може би атаките са подобни на тези описани в блога на Malwarebytes:

Malwarebytes

A fake FileZilla site hosts a malicious download

A tampered copy of FileZilla quietly contacts attacker-controlled servers using encrypted DNS traffic that can slip past traditional monitoring.

Ако @Лудият Учен и останалите от темата за подпомагането искат файла. Имам го. В карантината на Касперски.

Засечен, е cryptbase.dll от архива като UDS:Backdoor.Win64.Alien.de.

Ако скоро сте сваляли и обновявали до версия 1.63 е желателно да проверите системите си за буби. Версията е била обновена на 03.04.2026.