Новости информационной безопасности

Компания LastPass сообщила об инциденте безопасности, связанном со взломом стороннего поставщика — платформы конкурентной аналитики Klue. В результате атаки злоумышленники получили доступ к части клиентских данных, хранящихся в среде Salesforce. По данным компании, о происшествии стало известно 12 июня. Расследование показало, что неизвестный злоумышленник получил OAuth-токены, которыми платформа Klue пользовалась для доступа к системам своих клиентов, включая LastPass. Используя эти токены, атакующий смог получить доступ к данным клиентов в Salesforce. При этом LastPass подчёркивает, что инцидент затронул только системы, интегрированные с приложением Klue. Основные сервисы компании, инфраструктура и хранилища паролей пользователей...

Исследователи безопасности опубликовали новый эксплойт под названием RoguePlanet, который позволяет повысить привилегии в Windows до уровня NT AUTHORITY\SYSTEM — максимального уровня доступа в операционной системе. Уязвимость получила идентификатор CVE-2026-50656 и была подтверждена компанией Microsoft. Согласно описанию, проблема затрагивает движок защиты от вредоносного ПО Microsoft Defender и относится к классу уязвимостей повышения привилегий (Elevation of Privilege, EoP). В официальном сообщении Microsoft говорится: Что позволяет RoguePlanet В случае успешной эксплуатации злоумышленник может повысить права с обычной пользовательской учётной записи до NT AUTHORITY\SYSTEM. Это даёт полный контроль над системой, включая...

Компания Google в Chrome Releases Blog объявила о выпуске стабильной версии браузера Chrome 149.0.7827.102/103 для Windows и macOS, а также версии 149.0.7827.102 для Linux. Обновление будет распространяться поэтапно в течение ближайших дней и недель. Новый релиз содержит исправления 74 уязвимостей безопасности, включая 17 критических и более 50 уязвимостей высокой степени опасности. Наиболее серьёзной проблемой стала уязвимость CVE-2026-11645 в JavaScript-движке V8. Она связана с выходом за границы выделенной памяти (Out-of-Bounds Memory Access) и получила высокий уровень опасности. За её обнаружение исследователь под псевдонимом 303f06e3 получил вознаграждение в размере 55 000 долларов США. Особую тревогу вызывает тот факт, что...

Анонимный исследователь безопасности, известный под псевдонимом Nightmare Eclipse (Chaotic Eclipse), за последние два месяца без предварительного уведомления Microsoft раскрыл шесть уязвимостей Windows, опубликовав для них готовые PoC-эксплойты. Наиболее серьёзной из них стала MiniPlasma — уязвимость нулевого дня, позволяющая локальному пользователю повысить привилегии до уровня SYSTEM. По имеющимся данным, MiniPlasma использует старую уязвимость CVE-2020-17103, которая считалась устранённой ещё в 2020 году. Однако опубликованный эксплойт показывает, что атакам подвержены даже полностью обновлённые системы Windows 11, а также Windows Server 2022 и Windows Server 2025. Как и оригинальная CVE-2020-17103, новая атака связана с драйвером...

Обзор Обнаружена масштабная кампания атак, использующая критическую SQL-инъекцию CVE-2026-26980 в Ghost CMS для внедрения вредоносного JavaScript-кода и запуска ClickFix-цепочек заражения. Исследователи XLab из китайской компании Qianxin сообщили, что пострадало более 700 доменов, включая: университетские порталы; AI/SaaS-компании; медиа-ресурсы; финтех-компании; сайты по кибербезопасности; персональные блоги. Среди скомпрометированных ресурсов упоминаются сайты: Harvard University University of Oxford Auburn University DuckDuckGo Compromised sites Источник: XLab Что представляет собой CVE-2026-26980 Уязвимость затрагивает версии Ghost CMS: 3.24.0 — 6.19.0 Проблема позволяет неаутентифицированному атакующему: читать...

Бразильская компания Huge Networks, специализирующаяся на защите от DDoS-атак, оказалась в центре расследования: ее инфраструктура могла использоваться для координации масштабных атак на интернет-провайдеров в Бразилии. Генеральный директор Erick Nascimento утверждает, что причиной стала компрометация, а сама активность — возможная попытка дискредитации со стороны конкурентов. Что обнаружили исследователи В открытом доступе был найден архив с: вредоносными Python-скриптами; историей команд атакующего; приватными SSH-ключами CEO компании. Анализ показал, что злоумышленник имел root-доступ к инфраструктуре Huge Networks и: сканировал интернет в поисках уязвимых устройств; формировал ботнет; запускал DDoS-атаки против бразильских...

Booking.com начала уведомлять клиентов о компрометации данных после того, как "неавторизованные лица" получили доступ к информации о бронированиях. Среди утекших данных: детали бронирований; имена и фамилии; email-адреса; физические адреса; номера телефонов. Фактически — полный набор информации, достаточный для правдоподобной имитации общения от имени отеля. Как произошла атака По данным Microsoft, злоумышленники получили доступ через партнеров Booking.com — отели. Использовалась техника ClickFix — разновидность фишинга, при которой сотрудникам предлагается установить "исправление" системы, замаскированное под полезный инструмент. Атаку связывают с группировкой Storm-1865, которая: атаковала сотрудников отелей по всему миру...

Microsoft выпустила масштабный пакет обновлений безопасности, устраняющий 167 уязвимостей в Windows и сопутствующем ПО. Среди них — zero-day в SharePoint Server и ранее раскрытая уязвимость в Windows Defender под названием BlueHammer. Параллельно Google закрыла уже четвертую zero-day уязвимость в Google Chrome в 2026 году, а Adobe выпустила срочное обновление для Reader, устраняющее активно эксплуатируемую дыру, ведущую к удаленному выполнению кода. Критическая zero-day в SharePoint Microsoft предупредила об активных атаках на уязвимость CVE-2026-32201 в SharePoint Server. По словам Mike Walters (сооснователь Action1), данная уязвимость позволяет: подменять доверенный контент и интерфейсы; вводить в заблуждение сотрудников, партнеров...

В открытый доступ выложен эксплойт для неустраненной уязвимости в Windows, позволяющей повысить привилегии до уровня SYSTEM или администратора. Уязвимость, получившая название BlueHammer, ранее была передана Microsoft в рамках приватного раскрытия. Из-за отсутствия официального патча проблема классифицируется как zero-day по определению Microsoft. Публикация эксплойта и конфликт с MSRC Эксплойт был опубликован исследователем под псевдонимом Chaotic Eclipse, который остался недоволен процессом обработки отчета со стороны Microsoft Security Response Center. В кратком сообщении он отметил: Также исследователь добавил, что не будет объяснять принцип работы уязвимости: 3 апреля Chaotic Eclipse опубликовал репозиторий с PoC-эксплойтом...

Мошенники запустили фишинговую кампанию, в которой поддельный сайт, имитирующий антивирус Avast, убеждает пользователей самостоятельно заразить свои компьютеры. Сайт выглядит правдоподобно: запускает якобы проверку системы и сообщает о множестве угроз. Однако результаты полностью сфабрикованы. При попытке "исправить" проблему пользователю предлагают скачать файл, который на деле является вредоносным ПО — Venom Stealer. Этот троян предназначен для кражи паролей, сессионных cookie и данных криптовалютных кошельков. Это классическая схема "запугать и предложить решение": сначала создается ощущение угрозы, затем предлагается "лечение". В данном случае злоумышленники злоупотребляют доверием к бренду Avast. Фальшивое сканирование с...

В мессенджере MAX зафиксирован резкий всплеск активности киберпреступников, распространяющих опасный Android-вирус «Мамонт», который ворует деньги со смартфонов. Злоумышленники атакуют домовые и родительские чаты, а также сообщества дачных поселков, пользуясь перетоком пользователей из-за ограничений в работе Telegram. Об этом «Газете.Ru» рассказала руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (входит в группу компаний Softline) Кристина Буренкова. В пресс-службе мессенджера MAX опровергли данное сообщение. Со ссылкой на специалистов центра безопасности мессенджера там заявили, что все данные пользователей надежно защищены. «Информация о распространении вируса в MAX не соответствует действительности...

Обнаружена фишинговая кампания, в которой злоумышленники используют поддельную страницу безопасности Google для распространения веб-приложения, способного перехватывать одноразовые коды (OTP), собирать адреса криптовалютных кошельков и проксировать трафик атакующего через браузер жертвы. Атака сочетает возможности Progressive Web App (PWA) и методы социальной инженерии. Пользователя убеждают, что он взаимодействует с легитимной страницей Google Security, и побуждают установить вредоносное приложение. PWA-приложения работают в браузере, но могут устанавливаться с сайта как отдельные программы — они открываются в собственном окне без видимых элементов управления браузером, что усиливает иллюзию легитимности. Браузер жертвы как...

Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством. Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++. Как проходила атака По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++. В расследовании участвовали независимые специалисты по безопасности...

Злоумышленники запускают платную рекламу в Facebook, замаскированную под официальные промо-материалы Microsoft, а затем перенаправляют пользователей на почти идеальные клоны страницы загрузки Windows 11. Нажатие кнопки Download Now вместо обновления Windows приводит к загрузке вредоносного установщика, который в фоновом режиме похищает сохраненные пароли, сессии браузеров и данные криптовалютных кошельков. "Я просто хотел обновить Windows" Атака начинается максимально буднично — с рекламы в Facebook. Объявление выглядит профессионально, использует фирменный стиль Microsoft и предлагает якобы актуальное обновление Windows 11. Для пользователя, который и так планировал обновить систему, это выглядит как удобный и безопасный способ...

Amazon предупреждает, что русскоязычный хакер использовал сразу несколько сервисов генеративного ИИ в рамках кампании, в ходе которой за пять недель были скомпрометированы более 600 межсетевых экранов FortiGate в 55 странах. Согласно новому отчету CJ Moses, CISO подразделения Amazon Integrated Security, атаки происходили в период с 11 января по 18 февраля 2026 года и не опирались на эксплуатацию уязвимостей Fortinet. Вместо этого злоумышленник нацеливался на открытые в интернет интерфейсы управления и слабые учетные данные без защиты MFA, а затем применял ИИ для автоматизации дальнейшего продвижения по сети. По данным Moses, скомпрометированные устройства были зафиксированы в Южной Азии, Латинской Америке, Карибском регионе, Западной...

Когда я прочитал эту статью - возникло много вопросов ( вы догадываетесь к кому ) Статья большая ,здесь опубликую только начало ,а дальше ( кому интересно ) перейдите по ссылке Дисклеймер: это более компактная версия моей оригинальной статьи. Оригинальную статью придётся читать ~80 мин. и она со 116 источниками. Ранее я уже публиковал на Хабре пост-предупреждение, теперь настало время для основной статьи. 1. «Щит» пробит Вводные данные: моя мама, 70 лет. Как бывший бухгалтер, она относится к документам педантично. Когда 1 марта 2025 года вступил в силу закон о самозапрете на кредиты (ФЗ-31), мы были одними из первых, кто выставил полный самозапрет на любые кредиты на Госуслугах. Логика простая: базы данных утекли у всех (от...

Злоумышленники начали использовать DNS-запросы в рамках атак ClickFix с элементами социальной инженерии для доставки вредоносного ПО — это первый известный случай применения DNS в качестве канала распространения в подобных кампаниях. Атаки ClickFix обычно основаны на том, что пользователей убеждают вручную выполнить вредоносные команды под предлогом исправления ошибок, установки обновлений или включения некой функциональности. Однако в новом варианте используется нестандартная техника: DNS-сервер, контролируемый атакующим, передает полезную нагрузку второго этапа через DNS-запросы. DNS-запросы как канал доставки PowerShell-скрипта В новой кампании ClickFix, зафиксированной Microsoft, жертвам предлагается выполнить команду nslookup...

Google выпустила экстренные обновления для устранения уязвимости высокой степени опасности в Chrome, которая уже используется в атаках нулевого дня. Это первая активно эксплуатируемая уязвимость безопасности Chrome, закрытая с начала года. "Google известно о наличии эксплойта для CVE-2026-2441, который используется в реальных атаках", — сообщила компания в бюллетене безопасности, опубликованном в пятницу. Согласно истории коммитов Chromium, уязвимость типа use-after-free (о которой сообщил исследователь безопасности Shaheen Fazim) вызвана ошибкой инвалидирования итератора в CSSFontFeatureValuesMap — реализации значений CSS font-feature в Chrome. Успешная эксплуатация может привести к сбоям браузера, ошибкам отображения, повреждению...

Исследователи кибербезопасности сообщили о возможном сливе данных пользователей WormGPT — ИИ-модели, созданной для выполнения вредоносных задач. Атакующий утверждает, что получил личные данные 19 000 пользователей, включая: Электронные адреса Платежные данные Подписки Идентификаторы пользователей Другие сведения WormGPT — это «черная» LLM-модель, разработанная без ограничений на действия пользователей. Она ориентирована на людей без глубоких навыков взлома и предлагает подписки с ценами от $50 в месяц до $220 за пожизненный доступ. Телеграм-канал WormGPT прямо демонстрирует, на что модель рассчитана. В постах предлагается, например, взломать чужой пароль или доступ к криптокошельку. Другие публикации указывают на возможность...

Эксперты по кибербезопасности раскрыли дополнительные детали масштабной кампании, в рамках которой злоумышленники распространяли модифицированный установщик архиватора 7-Zip через поддельный сайт 7zip[.]com. Ресурс визуально и структурно копировал официальный сайт проекта 7-zip.org, что позволяло эффективно вводить пользователей в заблуждение. Инцидент получил огласку после жалобы пользователя, который скачал архиватор по ссылке из обучающего видео на YouTube. Анализ показал, что загружаемый файл был подписан цифровым сертификатом, выданным на имя Jozeal Network Technology Co., Limited. Несмотря на то что сертификат впоследствии был отозван, на момент распространения он придавал установщику видимость легитимного ПО. При запуске...