Scattered Spider återkommer med nya attacker mot finanssektorn 

 
Forskare inom cybersäkerhet har kopplat en ny våg av attacker mot finanssektorn till Scattered Spider och undergräver därmed gruppens påståenden om att ha “försvunnit”. Enligt experter har man flyttat sitt fokus till finanssektorn genom att använda domäner som liknar riktiga och rikta in sig på en stor amerikansk bank. Angriparna tog sig in genom ett chefskonto och återställde dennes Azure Active Directory-lösenord. Därefter rörde de sig lateralt i Citrix- och VPN-miljöer, komprometterade VMware ESXi, ökade privilegier i Azure och försökte exfiltrera data från Snowflake och AWS. Experter varnar för att aktiviteten signalerar en taktisk reträtt snarare än en verklig pensionering. Scattered Spider, knuten till ShinyHunters och LAPSUS$, är känd för utpressning och datastöld. Analytiker uppmanar organisationer att inte bli självsäkra eftersom kriminella grupper ofta byter namn eller omorganiserar sig under nya identiteter. Händelsen belyser behovet av fortsatt vaksamhet mot social engineering och inloggningsbaserade attacker i kritiska branscher. 

Slopads annonsbedrägeri når 2,3 miljarder dagliga förfrågningar före nedstängning 

En omfattande annonsbedrägerioperation på Android kallad “SlopAds” har stoppats efter att 224 skadliga appar på Google Play genererat över 2,3 miljarder annonsförfrågningar per dag. Forskare upptäckte kampanjen, som använde fördunkling och steganografi för att dölja sin aktivitet från Googles säkerhetsåtgärder. Appar som laddats ner mer än 38 miljoner gånger i 228 länder riktade sig främst mot användare i USA (30 %), Indien (10 %) och Brasilien (7 %). 
Apparna fungerade normalt om de installerades direkt, men när de laddades ned via angriparnas annonskampanjer hämtade de en krypterad konfiguration för att installera skadeprogrammet “FatModule”. Denna modul, dold i PNG-bilder, använde dolda WebViews för att efterlikna riktiga användarinteraktioner och generera miljarder falska annonsvisningar och klick. Google har tagit bort de identifierade apparna och uppdaterat Play Protect, men HUMAN varnar för att gruppen bakom SlopAds kan anpassa sig och starta liknande upplägg igen i framtiden, vilket understryker omfattningen och uthålligheten i mobilt annonsbedrägeri. 

Microsoft och Cloudflare slår ut nätverket Raccoono365 för phishing-as-a-service 

 
Microsoft och Cloudflare har tillsammans stoppat en omfattande Phishing-as-a-Service-operation (PhaaS) känd som RaccoonO365, som möjliggjorde stöld av tusentals Microsoft 365-uppgifter. I september 2025 beslagtog Microsofts Digital Crimes Unit, i samarbete med Cloudforce One och Cloudflares Trust and Safety-team, 338 webbplatser och Worker-konton kopplade till upplägget. 
Gruppen, som spåras av Microsoft som Storm-2246, stal minst 5 000 Microsoft-uppgifter i 94 länder sedan juli 2024 med hjälp av phishingkit med CAPTCHA-sidor och antibot-taktik för att verka legitima. En kampanj i april 2025 riktade sig mot över 2 300 amerikanska organisationer, inklusive 20 vårdgivare. De stulna uppgifterna och kakorna från OneDrive, SharePoint och  
e-postkonton användes därefter för ekonomiskt bedrägeri, utpressning och som första åtkomst till vidare attacker. 
 
RaccoonO365 drevs som ett abonnemang via en privat Telegram-kanal och tog mellan 355 och 999 dollar i kryptovaluta. Microsoft har identifierat gruppens ledare, den nigerianske programmeraren Joshua Ogundipe, och överlämnat ärendet till internationell brottsbekämpning. 

Sonicwall uppmanar till återställning av brandväggsuppgifter efter intrång 

 
SonicWall har varnat kunder att återställa alla brandväggsrelaterade uppgifter efter ett intrång som exponerade konfigurationsbackupfiler från vissa MySonicWall-konton. Företaget uppger att angripare fick tillgång till mindre än 5 % av brandväggs-backuper genom brute-force-attacker mot dess moln-API-tjänst. Även om de stulna filerna innehöll krypterade lösenord innehöll de också information som kan göra det lättare att utnyttja berörda brandväggar. 
SonicWall har publicerat detaljerad vägledning för administratörer för att minimera riskerna, inklusive att stänga av eller begränsa WAN-åtkomst innan alla uppgifter, API-nycklar och autentiseringstoken återställs för användare, VPN-konton och tjänster. Företaget betonade att lösenord och nycklar som konfigurerats i SonicOS även kan behöva uppdateras hos internetleverantörer, VPN-partner eller autentiseringstjänster. 
Företaget säger att det inte finns några bevis för att filerna läckt ut på nätet och understryker att händelsen inte var ett ransomware-angrepp. Kunder uppmanas att följa Essential Credential Reset-bulletinen för att snabbt säkra sina miljöer. 

Google patchar sjätte Chrome zero-day 2025 som utnyttjas aktivt 

 
Google har släppt akuta säkerhetsuppdateringar för webbläsaren Chrome för att åtgärda fyra sårbarheter, inklusive CVE-2025-10585 – en zero-day som redan utnyttjas i aktiva attacker. Felet, beskrivet som en “type confusion”-bugg i Chromes V8 JavaScript- och WebAssembly-motor, kan låta angripare köra godtycklig kod eller krascha program genom oväntad minneshantering. 
Googles Threat Analysis Group upptäckte och rapporterade felet den 16 september 2025 men har undanhållit fler detaljer för att förhindra imitationer tills användarna har uppdaterat sina webbläsare. CVE-2025-10585 är den sjätte Chrome-zero-day som avslöjats eller utnyttjats i år. 
Användare uppmanas att omedelbart uppdatera Chrome till version 140.0.7339.185/.186 på Windows och macOS eller 140.0.7339.185 på Linux via Mer > Hjälp > Om Google Chrome > Starta om. Andra Chromium-baserade webbläsare, inklusive Edge, Brave, Opera och Vivaldi, bör också tillämpa uppdateringar när de släpps för att minska risken för angrepp. 

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.