Sigurnosne vijesti dana [21/10/25]

TikTok videozapisi nastavljaju poticati infostealere u ClickFix napadima

Kibernapadači koriste TikTok videozapise prikrivene kao besplatni vodiči za aktivaciju popularnog softvera (Windows, Spotify, Netflix i dr.) kako bi širili malware za krađu podataka. Kampanja pod nazivom ClickFix lažno nudi “popravke” koji navode korisnike da izvrše maliciozne PowerShell naredbe ili skripte, čime svoje uređaje inficiraju infostealerima.

Izvor: BleepingComputer

—

Google oglasi za lažne Homebrew i LogMeIn stranice šire infostealere

Zlonamjerne kampanje ciljaju macOS developere lažnim Homebrew, LogMeIn i TradingView stranicama koje isporučuju infostealere poput AMOS-a i Odysseyja. Napadi koriste ClickFix tehnike kojima žrtve budu prevarene da izvrše naredbe u Terminalu i na taj način same instaliraju malware.

Izvor: BleepingComputer

—

131 Chrome ekstenzija uhvaćeno kako otima WhatsApp Web za masovni spam

Istraživači su otkrili koordiniranu kampanju u kojoj je 131 rebrandirana klon-ekstenzija za WhatsApp Web automatizirala slanje neželjenih poruka brazilskim korisnicima. Ekstenzije dijele isti kod, infrastrukturu i funkcionalnost za masovno slanje poruka i zaobilaženje WhatsAppovih ograničenja protiv spama. Skupno imaju oko 20.905 aktivnih korisnika.

Izvor: TheHackerNews

—

Amazon AWS se oporavlja nakon velikog prekida koji je poremetio aplikacije i usluge diljem svijeta

AWS je prijavio oporavak nakon širokog kvara koji je oborio tisuće web-stranica i popularne aplikacije (npr. Snapchat, Reddit), uz velike poslovne i infrastrukturne posljedice. Nakon otprilike tri sata, sustavi su se postupno vraćali online dok je AWS rješavao zaostatke u obrascima zahtjeva. Incident je izazvao milijunske prijave problema korisnika na servisima za praćenje kvarova.

Izvor: Reuters

—

Salt Typhoon koristi Citrix ranjivost u globalnom cyber-napadu

Istraživači su povezali intruziju s kineskom grupom Salt Typhoon koja je iskoristila ranjivost u Citrix NetScaler Gatewayu. Operacija je koristila tehnike poput DLL sideloadinga i zero-day iskorištavanja za neotkrivenu infiltraciju; grupa ciljano napada kritične sektore (telekom, energija, vlade) u više od 80 zemalja.

Izvor: Infosecurity Magazine

Sigurnosne vijesti dana [20/10/25]

Kratki pregled prijetnje: Državni akter ukrao F5 izvorni kod i neobjavljene ranjivosti

Tvrtka F5 je 15. listopada 2025. objavila dugotrajnu kompromitaciju svojih korporativnih mreža, tijekom koje je državni akter izvukao datoteke iz okruženja za razvoj BIG-IP proizvoda i inženjerskih platformi, uključujući dio izvornog koda i informacije o neobjavljenim ranjivostima. F5 navodi da nema dokaza o aktivnom iskorištavanju neobjavljenih kritičnih ili RCE ranjivosti, niti o pristupu CRM, financijskim ili sustavima za podršku, iako su neke od ukradenih datoteka sadržavale konfiguracijske podatke za manji broj korisnika.

Izvor: Unit42 (Palo Alto Networks)

—

Preko 266.000 F5 BIG-IP instanci izloženo udaljenim napadima

Organizacija Shadowserver Foundation otkrila je više od 266.000 F5 BIG-IP instanci dostupnih na internetu nakon što je F5 potvrdio provalu u mrežu i krađu izvornog koda. Tvrtka je objavila zakrpe za 44 ranjivosti (uključujući i one povezane s incidentom) te pozvala korisnike da odmah ažuriraju BIG-IP, F5OS, BIG-IP Next za Kubernetes, BIG-IQ i APM klijente, naglašavajući da trenutno nema dokaza o aktivnom iskorištavanju neobjavljenih kritičnih RCE ranjivosti.

Izvor: BleepingComputer

—

Microsoft opozvao 200 lažnih certifikata korištenih u Rhysida ransomware kampanji

Microsoft je opozvao više od 200 certifikata koje je prijetnja poznata kao Vanilla Tempest koristila za lažno potpisivanje zlonamjernih binarnih datoteka distribuiranih kroz lažne Teams instalacijske pakete koji su isporučivali Oyster backdoor i Rhysida ransomware. Aktivnost je otkrivena krajem rujna 2025., a prekinuta početkom listopada. Microsoft je ažurirao sigurnosna rješenja kako bi otkrivala potpise povezane s lažnim instalacijama, Oyster backdoorom i Rhysida ransomwareom.

Izvor: TheHackerNews

—

Istraživači otkrili ranjivost u WatchGuard VPN-u koja omogućuje preuzimanje uređaja

Otkrivena je kritična ranjivost u sustavu WatchGuard Fireware (CVE-2025-9242, CVSS 9.3) koja omogućuje neautentificiranim udaljenim napadačima izvršavanje proizvoljnog koda na uređajima. Riječ je o out-of-bounds write propustu koji utječe na više verzija Fireware OS-a. WatchTowr Labs ističe da ranjivost ima karakteristike koje često iskorištavaju ransomware grupe jer pogađa javno dostupnu uslugu i ne zahtijeva autentifikaciju. WatchGuard je objavio zakrpe i sigurnosna upozorenja.

Izvor: TheHackerNews

—

Microsoft dodijelio „najvišu dosad“ razinu ozbiljnosti ranjivosti u ASP.NET Coreu

Microsoft je ranjivosti u ASP.NET Core okviru, označenoj kao CVE-2025-55315, dodijelio CVSS ocjenu 9.9 – najvišu koju je dosad dodijelio. Riječ je o propustu tipa HTTP request smuggling u Kestrel web poslužitelju koji napadačima omogućuje umetanje jednog HTTP zahtjeva unutar drugog, čime se mogu zaobići sigurnosne kontrole ili preuzeti korisnički računi. Ranjivost je ispravljena u sklopu listopadskog Patch Tuesday ažuriranja.

Izvor: SecurityWeek

Sigurnosne vijesti dana [16/10/25]

Odmrzavanje PolarEdge backdoora

Istraživači iz Sekoia.io analizirali su botnet nazvan PolarEdge, prvi put detektiran u siječnju 2025., koji koristi ranjivost CVE-2023-20118 za postizanje udaljenog izvršavanja koda (RCE) i postavljanje web shell-a na ciljnim routerima. Drugi napad u veljači 2025. uključivao je udaljenu naredbu koja je instalirala TLS-temeljen backdoor implant. Kampanja također uključuje srodne payload-ove koji ciljaju Asus, QNAP i Synology routere, što ukazuje na širu obitelj napada.

Izvor: Sekoia

—

Misteriozni Elephant: rastuća prijetnja

Istraživači iz Kaspersky GReAT-a detaljno su opisali aktivnost grupe Mysterious Elephant, APT aktera koji cilja vladine i vanjskopolitičke organizacije u regiji Azije i Pacifika. Aktivna od 2023., grupa stalno prilagođava svoje taktike i koristi WhatsApp za izvlačenje dokumenata i drugih osjetljivih podataka. Kampanje iz 2025. oslanjaju se na nove prilagođene alate i modificirane open-source module poput BabShell i MemLoader kako bi poboljšali prikrivenost i učinkovitost.

Izvor: Securelist (Kaspersky)

—

Operacija Zero Disco: napadači iskorištavaju Cisco SNMP ranjivost za instalaciju rootkita

Trend Micro je otkrio operaciju u kojoj napadači iskorištavaju Cisco SNMP ranjivost (CVE-2025-20352) za instalaciju Linux rootkita na ranjivim mrežnim uređajima. Napadači su koristili lažne IP adrese i Mac adrese, a malware postavlja univerzalnu lozinku koja sadrži riječ „disco“. Nakon implantacije, malware dodaje hookove u IOSd komponente i ostvaruje fileless prikrivenost. Iako noviji Cisco switch modeli koriste ASLR za smanjenje uspješnosti napada, ponovljeni pokušaji i dalje mogu uspjeti.

Izvor: TrendMicro

—

PhantomVAI loader isporučuje različite infostealere

Tim Unit 42 iz Palo Alto Networks izvijestio je o phishing kampanjama koje koriste PhantomVAI loader za dostavu različitog malwarea za krađu informacija kroz višestupanjske, prikrivene lance infekcije. Loader, izvorno povezan s Katz Stealerom, sada distribuira AsyncRAT, XWorm, FormBook i DCRat. Prodaje se kao malware-as-a-service te koristi steganografiju i obfuskaciju za sakrivanje payload-ova i izbjegavanje detekcije.

Izvor: Unit42 (Palo Alto Networks)

—

Nova Android Pixnapping metoda krade MFA kodove piksel-po-piksel

Nova side-channel metoda nazvana Pixnapping omogućuje zlonamjernoj Android aplikaciji bez dopuštenja da uhvati piksele prikazane u drugim aplikacijama ili preglednicima i rekonstruira osjetljive podatke, uključujući poruke, e-mailove i kodove za dvofaktorsku autentifikaciju. Metodu su razvili i demonstrirali istraživači sa sedam američkih sveučilišta; napad radi i na potpuno ažuriranim modernim Android uređajima i može ukrasti 2FA kodove za manje od 30 sekundi.

Izvor: BleepingComputer

Autor: AresISEC Security Team

Sigurnosne vijesti dana [21/10/25]

Sigurnosne vijesti dana [20/10/25]

Sigurnosne vijesti dana [16/10/25]

Nove objave