Fortinet's FortiGuard Labs has identified an active campaign by Ousaban (also known as Javali), a Brazilian banking trojan targeting Windows users in Spain and Portugal. The attack uses phishing PDFs disguised as corrupted files, prompting victims to click an 'Update' button or triggering a malicious page automatically via hidden JavaScript. Server-side geofencing blocks anyone outside Spain and Portugal or using VPNs. The payload is hidden inside an image using steganography, unpacked from a ZIP, and installed with a Windows registry persistence key named 'Financeiro.' Once active, Ousaban captures keystrokes and screenshots, manipulates the clipboard, and grants attackers remote control when banking sites are visited — targeting over two dozen banks including Santander, BBVA, and CaixaBank. The malware evades blocklists by computing a new command server address daily using the current date and a fixed secret. Ousaban is part of the Brazilian 'Tetrade' group alongside Grandoreiro, Guildma, and Melcoz, all of which have expanded from Brazil into the Iberian Peninsula.
Nguồn: https://thenextweb.com/news/ousaban-banking-trojan-spain-portugal-fake-pdf. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.

A ransomware campaign is targeting small and medium-sized businesses (SMBs) globally using phishing emails impersonating Interpol's cybercrime unit. The emails create urgency by claiming the recipient's company is under investigation, then direct victims to a Proton Drive link containing a password-protected archive. Inside is an executable disguised as a video file that, when opened, encrypts files on available drives. The malware appears custom-built rather than from a known ransomware-as-a-service operation, lacking sophisticated features like hardcoded encryption passwords and dedicated dark web negotiation portals. Victims are directed to contact attackers via Tox messaging. Researchers from Bitdefender note the campaign's strength lies in its social engineering rather than technical sophistication, exploiting fear and authority to trick victims into launching the malware themselves. SMBs are particularly vulnerable due to limited IT staff, security budgets, and lack of formal verification processes.
Kaspersky MDR uncovered a large-scale malware campaign after investigating a single ScreenConnect incident. Threat actors built a network of 90+ spoofed freeware download sites (mimicking OBS Studio, DNS Jumper, DS4Windows, Bandicam, and others) optimized with SEO to rank in Google and Bing results. Victims downloading from these sites receive a ZIP archive containing a legitimate Microsoft-signed binary alongside a malicious DLL loaded via DLL sideloading. This silently installs ScreenConnect as a hidden service, which then deploys AsyncRAT through a multi-stage chain involving PowerShell, VBScript, XOR-decrypted shellcode, and process hollowing into RegAsm.exe. The campaign, active from October 2025 through March 2026, spans 10 languages and targets both individual users and corporate networks. Mitigations include application allowlisting, blocking MSI execution from untrusted sources, monitoring for new remote admin services, and user training on safe download practices. Full IOCs including C2 domains, malicious hashes, and fake site addresses are provided.
OpenClaw (formerly Clawdbot/Moltbot) is a fast-growing AI agent ecosystem that lets users automate tasks using natural-language 'skills' from a marketplace called ClawHub. Around 530 vulnerabilities have been discovered in under two years, many involving sensitive data storage and excessive privilege issues. Malicious skills pose a supply-chain-like threat — over 1,100 malicious accounts have been created since January 2026, distributing 600+ harmful skills before any security scanning was in place. OpenClaw has since partnered with VirusTotal and NVIDIA's SkillSpector for preliminary scanning, but attacks continue. Recommended mitigations include isolating the agent from critical infrastructure, scanning all incoming skills, monitoring network access, and enforcing a comprehensive AI usage policy.
FortiGuard Labs details an active Ousaban banking Trojan campaign targeting users in Spain and Portugal. The attack chain begins with a phishing PDF disguised as a corrupted file, directing victims to a geofenced malicious webpage that performs server-side environment checks (IP, language, timezone, VPN detection, browser fingerprinting) before delivering a VBS downloader. The VBS script retrieves a steganographic image containing a hidden ZIP archive with the Ousaban payload. Once executed, Ousaban establishes persistence via a registry Run key, monitors browser access to specific banks, and resolves its C2 address through daily-rotating DDNS hostnames derived from an MD5 hash of a hard-coded string and the current date — using Google's Automated Queries page to obtain the date. A Pastebin link containing a private IP serves as a decoy. The malware supports screenshot capture, keylogging, clipboard injection, and remote control. The post includes full IOCs (domains, IPs, file hashes) and details the custom XOR-based encryption algorithm shared with other Latin American banking Trojans like Casbaneiro.
Các nhà nghiên cứu Unit 42 của Palo Alto Networks phát hiện "phantom squatting", một mối đe dọa chuỗi cung ứng mới do AI thúc đẩy, trong đó tội phạm mạng khai thác các tên miền "ảo" do mô hình ngôn ngữ lớn (LLM) sinh ra để giả mạo thương hiệu hợp pháp. Họ ghi nhận 250.000 tên miền ảo từ 913 thương hiệu qua 685.339 truy vấn URL, có thể bị đăng ký để đánh cắp lưu lượng truy cập từ hệ thống AI. Khác với typosquatting, phương thức này khó phát hiện hơn vì domain lừa đảo xuất hiện thông qua trợ lý lập trình AI thay vì email phishing, vượt qua các biện pháp phòng thủ dựa trên danh tiếng. Giải pháp đề xuất bao gồm kiểm tra URL do AI sinh ra bằng danh sách cho phép và hạn chế các tác nhân AI kết nối tới domain mới tùy ý.
Lập trình viên nên đọc bài này vì những kẻ tấn công đang lợi dụng các công cụ AI như chatbot và trợ lý mã nguồn để tạo ra các tên miền giả mạo, khiến bạn dễ bị lừa khi tin tưởng vào các kết quả tự động mà không kiểm tra nguồn gốc trước.

Fragmented security tooling creates dangerous blind spots that sophisticated threat actors exploit. Using a realistic Scattered Spider scenario, the post illustrates how three separate teams — Brand, SecOps, and Fraud — each close their own tickets without realizing they are all responding to the same coordinated multi-channel attack. The root cause is siloed tools that cannot share intelligence across channels. The proposed solution is a unified intelligence layer that automatically correlates signals across brand monitoring, email security, and fraud detection, enabling compound defense that disrupts entire campaigns rather than isolated symptoms. The post concludes with a pitch for Doppel's AI-native social engineering defense platform.