🚨 CVE-2025-66262 (CRITICAL): Mozart FM Transmitters (v30–7000) vulnerable to arbitrary file overwrite via tar extraction path traversal in restore_mozzi_memories.sh. Attackers can fully compromise devices. Patch & restrict uploads! https://radar.offseq.com/threat/cve-2025-66262-cwe-22-arbitrary-file-overwrite-via-a79c9cf2 #OffSeq #CVE202566262 #Infosec

🚨 New plugin: WazuhPlugin (CVE-2025-24016).

Wazuh default credentials and RCE vulnerability detection - RCE possible on multi-node configurations, versions 4.4.0 to 4.9.1 affected.

Results: https://leakix.net/search?q=%2Bplugin%3AWazuhPlugin&scope=leak

ShadowPad Malware Actively Exploits WSUS Vulnerability for Full System Access
https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html
A recently patched security flaw in Microsoft Windows Server Update Services (WSUS) has been exploited by threat actors to distribute ShadowPad malware.
“The attacker targeted Windows Servers with WSUS enabled, exploiting CVE-2025-59287 for initial access,” AhnLab Security Intelligence Center (ASEC) said in a report published last week. “They then used PowerCat, an open-source PowerShell-based Netcat utility, to obtain a system shell (CMD). Subsequently, they downloaded and installed ShadowPad using certutil and curl.”
Once installed, the malware launches a core module responsible for loading additional plugins embedded in the shellcode into memory. It incorporates multiple anti-detection and persistence techniques. The activity has not been attributed to any known threat actor.
“After the proof-of-concept (PoC) exploit code for the vulnerability was publicly released, attackers quickly weaponized it to distribute ShadowPad malware via WSUS servers,” AhnLab said. “This vulnerability is critical because it allows remote code execution with system-level permission, significantly increasing the potential impact.”

Telegram, WhatsApp e Signal sotto tiro dagli Spyware. Il CISA Avverte

Un avviso importante è stato pubblicato lunedì dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, il quale avverte che malintenzionati stanno attivamente utilizzando strumenti di spyware commerciali e trojan di accesso remoto (RAT) per colpire gli utenti di app di messaggistica mobile.

“Questi criminali informatici utilizzano tecniche sofisticate di targeting e di ingegneria sociale per diffondere spyware e ottenere accesso non autorizzato all’app di messaggistica della vittima, facilitando l’implementazione di ulteriori payload dannosi che possono compromettere ulteriormente il dispositivo mobile della vittima”, ha affermato l’agenzia statunitense.

La CISA ha citato come esempi diverse campagne emerse dall’inizio dell’anno. Tra queste, ricordiamo:

• L’app di messaggistica Signal è stata presa di mira da più attori di minacce allineati con la Russia, sfruttando la funzionalità “dispositivi collegati” del servizio per dirottare gli account utente presi di mira.
• Campagne di spyware Android con nome in codice ProSpy e ToSpy che impersonano app come Signal e ToTok per prendere di mira gli utenti negli Emirati Arabi Uniti per distribuire malware che stabilisce un accesso persistente ai dispositivi Android compromessi ed esfiltra i dati
• Una campagna spyware per Android chiamata ClayRat ha preso di mira gli utenti in Russia che utilizzano canali Telegram e pagine di phishing simili, impersonando app popolari come WhatsApp, Google Foto, TikTok e YouTube per indurre gli utenti a installarle e rubare dati sensibili.
• Una campagna di attacchi mirati che probabilmente ha concatenato due falle di sicurezza in iOS e WhatsApp ( CVE-2025-43300 e CVE-2025-55177 ) per colpire meno di 200 utenti WhatsApp
• Una campagna di attacco mirata che ha coinvolto lo sfruttamento di una falla di sicurezza Samsung (CVE-2025-21042) per distribuire uno spyware Android denominato LANDFALL ai dispositivi Galaxy in Medio Oriente

Gli autori della minaccia, secondo quanto affermato dall’agenzia, fanno uso di varie strategie per ottenere la compromissione, tra cui l’utilizzo di codici QR che collegano a dispositivi, sfruttando vulnerabilità zero-click e diffondendo versioni contraffatte di applicazioni di messaggistica.

Per contrastare la minaccia, l’agenzia sta esortando gli individui altamente presi di mira a rivedere e aderire alle seguenti buone pratiche:

• Utilizzare solo comunicazioni crittografate end-to-end (E2EE)
• Abilita l’autenticazione Fast Identity Online (FIDO) resistente al phishing
• Abbandonare l’autenticazione a più fattori (MFA) basata sul servizio di messaggistica breve (SMS)
• Utilizzare un gestore di password per memorizzare tutte le password
• Imposta un PIN del fornitore di telecomunicazioni per proteggere gli account di telefonia mobile
• Aggiornare periodicamente il software
• Scegli l’ultima versione hardware del produttore del telefono cellulare per massimizzare i vantaggi in termini di sicurezza
• Non utilizzare una rete privata virtuale personale (VPN)
• Sugli iPhone, abilita la modalità di blocco, registrati a iCloud Private Relay e rivedi e limita le autorizzazioni delle app sensibili
• Sui telefoni Android, scegli telefoni di produttori con una solida esperienza in materia di sicurezza, usa solo Rich Communication Services (RCS) se E2EE è abilitato, attiva la protezione avanzata per la navigazione sicura in Chrome, assicurati che Google Play Protect sia attivo e controlla e limita le autorizzazioni delle app

Il CISA riporta che sono presi di mira, in particolare, individui di elevato profilo, comprendenti funzionari governativi, militari e politici in carica e non più in carica, nonché organizzazioni del settore civile e privati cittadini localizzati negli Stati Uniti, nel Medio Oriente e in Europa, come sottolineato dalla CISA.

L'articolo Telegram, WhatsApp e Signal sotto tiro dagli Spyware. Il CISA Avverte proviene da Red Hot Cyber.