I criminali affermano di aver rubato quasi 1 miliardo di dati dei clienti Salesforce, minacciando di divulgarli se non verrà soddisfatta una richiesta di estorsione. I dati sarebbero stati violati tramite precedenti intrusioni, in particolare tramite una violazione.

CrowdStrike ha rivelato due vulnerabilità di media gravità, CVE-2025-42701 e CVE-2025-42706

Una vulnerabilità (CVE-2025-48464) nel browser DuckDuckGo per Android versione 5.246.0 e precedenti su Android 13 e versioni precedenti consente a un aggressore non autenticato di accedere ai dati dell'account Sync di una vittima, incluse le credenziali dell'account e le informazioni di protezione dell'email.

Una vulnerabilità critica nel tema WordPress Service Finder ha permesso agli aggressori di bypassare l'autenticazione e ottenere il pieno controllo amministrativo. Questa falla, derivante da una convalida errata dei cookie in una funzione di cambio account, è stata sfruttata attivamente, consentendo l'acquisizione di siti, l'installazione di backdoor e la manipolazione dei contenuti. Le scansioni automatiche hanno rilevato migliaia di tentativi di exploit, sfruttando questa falla critica nel controllo degli accessi per compromettere numerosi siti web.

La campagna spyware ClayRat per Android prende di mira attivamente gli utenti russi, distribuendo malware camuffato da applicazioni popolari tramite siti web dannosi e canali Telegram. Questa sofisticata operazione utilizza portali di phishing, false interfacce del Play Store e installazioni "basate su sessione" per aggirare le restrizioni di Android 13+. Una volta installato, ClayRat estrae SMS, registri delle chiamate, notifiche e informazioni sul dispositivo, scatta foto e si propaga inviando SMS di massa ai contatti. Oltre 600 campioni e 50 dropper distinti evidenziano la notevole portata e persistenza della campagna.

Una nuova campagna di quishing prende di mira gli utenti Microsoft con codici QR "armati" incorporati in email dannose che falsificano il marchio Microsoft. La scansione reindirizza a una CDN di Azure compromessa, restituendo un eseguibile Packaged Infostealer (PI) dopo i controlli ambientali. Il PI stabilisce la persistenza e sottrae le credenziali. Un'innovazione chiave è l'elusione AV dei codici QR tramite immagini divise e sovrapposte.