आज सुबह का सिग्नल साफ है: attackers अभी भी session theft, document exploits, targeted credential phishing और supply-chain dependencies के जरिए बढ़त ले रहे हैं। Chrome से एक अच्छी defensive move आई है, लेकिन बाकी ब्रीफिंग याद दिलाती है कि identity और endpoint hygiene अभी भी game decide करते हैं.
संक्षेप में: browser hardening की एक अच्छी खबर, एक live PDF zero-day, दो targeted intrusion campaigns, एक बड़ा Android SDK exposure और edge infrastructure पर और patch pressure.
Google ने Windows के लिए Chrome 146 में Device Bound Session Credentials (DBSC) जारी किया है। यह feature short-lived session credentials को hardware-backed keys से cryptographically bind करता है। इसका मतलब है कि infostealer किसी machine से cookie चुराकर उसे दूसरी machine पर पहले जैसी आसानी से replay नहीं कर पाएगा.
यह इसलिए महत्वपूर्ण है क्योंकि cookie theft password और MFA bypass करने का सबसे तेज़ रास्ता बन चुका है। Chrome malware infection को खत्म नहीं करता, लेकिन post-compromise session hijacking को मुश्किल और महँगा ज़रूर बनाता है.
Researchers के अनुसार एक अज्ञात Adobe Reader zero-day कम से कम दिसंबर 2025 से weaponized PDFs के जरिए exploit हो रहा है। Samples obfuscated JavaScript चलाते हैं, local information collect करते हैं, remote server से संपर्क करते हैं, और आगे code execution या sandbox escape का रास्ता तैयार कर सकते हैं.
यह बुरी खबर है क्योंकि enterprise workflows में PDF अभी भी trusted format माना जाता है। जब live exploit किसी invoice में छिपा हो, तब सिर्फ user awareness काफी नहीं रहती.
Cisco Talos से जुड़ी reporting के मुताबिक LucidRook एक modular Lua-based malware है जो Taiwanese NGOs और universities के खिलाफ spear-phishing campaigns में इस्तेमाल हो रहा है। यह staged delivery, DLL sideloading, obfuscation और external Lua bytecode का इस्तेमाल करता है.
दिलचस्प बात सिर्फ malware family नहीं, बल्कि operator discipline है। यह campaign targeted access और quiet collection के लिए बनी लगती है, noisy crimeware के लिए नहीं.
Abnormal की research के अनुसार closed-access phishing-as-a-service platform VENOM खास तौर पर C-suite targets पर केंद्रित है। यह kit SharePoint notifications का रूप लेती है, target data को URL fragments में छिपाती है, QR delivery से victims को mobile पर ले जाती है, और adversary-in-the-middle तथा device-code flows के जरिए credentials capture करती है.
Defenders को यहाँ सीधी बात समझनी चाहिए: अगर executives के लिए अभी भी standard MFA और weak conditional access पर भरोसा है, तो आप पीछे हैं.
Microsoft ने patched EngageLab SDK vulnerability का विवरण दिया, जिसके जरिए एक malicious app app boundaries को bypass कर private data तक पहुँच बना सकता था, अगर दूसरी apps वही SDK इस्तेमाल कर रही थीं। Microsoft के अनुसार impact 50 million से अधिक installs तक था, जिनमें 30 million crypto-wallet installs शामिल थे.
Active exploitation का public proof नहीं है, लेकिन lesson बिल्कुल साफ है। Third-party mobile SDKs अब attack surface का हिस्सा हैं.
SecurityWeek ने Palo Alto Networks और SonicWall के high-severity patches पर भी ध्यान दिलाया। Exact risk product पर निर्भर करता है, लेकिन pattern वही है: exposed edge products attackers को admin-level control तक जल्दी पहुँचने देते हैं.
इस ब्रीफिंग के लिए ट्रैक किए गए स्रोत: BleepingComputer, The Hacker News और SecurityWeek, 9 से 10 अप्रैल 2026 की रिपोर्टिंग.
KENSAI teams को exposed attack paths, weak identity controls और vulnerable internet-facing assets incident बनने से पहले identify करने में मदद करता है.
Free scan शुरू करें →सतर्क रहें.
🗡️ KENSAI Security Team