Новости информационной безопасности

Киберпреступники используют сервис Microsoft Trusted Signing для подписания вредоносных исполняемых файлов, используя краткосрочные сертификаты сроком действия всего три дня. Как злоумышленники используют Trusted Signing? Подписанное вредоносное ПО воспринимается системой безопасности как легитимное, что позволяет: Обходить фильтры безопасности, которые блокируют неподписанные файлы. Повышать уровень доверия к файлам за счёт сертификатов. Особенно ценными для атакующих считаются EV-сертификаты (Extended Validation), так как они: Получают дополнительное доверие в SmartScreen. Помогают избежать предупреждений при запуске неизвестных файлов. Но получить EV-сертификаты сложно, так как они требуют либо: Кражи у легитимных компаний...

В мессенджере WhatsApp исправили уязвимость нулевого дня, которая использовалась для установки шпионского ПО Graphite компании Paragon. Израильский разработчик шпионского ПО Paragon Solutions Ltd. был основан в 2019 году. По данным СМИ, в декабре 2024 года компанию поглотила инвестиционная группа AE Industrial Partners из Флориды. В отличие от своих конкурентов (таких как NSO Group), Paragon утверждает, что продает свои инструменты для наблюдения только правоохранительным и разведывательным органам демократических стран, которым требуется отслеживать опасных преступников. 31 января 2025 года, после устранения zero-click уязвимости, представители WhatsApp уведомили примерно 90 пользователей Android из 20 стран мира (включая...

Operation Zero, компания, которая приобретает и продает уязвимости нулевого дня (zero-day) исключительно российскому правительству и локальным российским компаниям, объявила в четверг, что ищет эксплойты для популярного мессенджера Telegram и готова предложить за них до $4 миллионов. Брокер эксплойтов предлагает до $500 000 за эксплойт удаленного выполнения кода (RCE) типа "one-click" (требующий одного клика); до $1,5 миллиона за RCE-эксплойт типа "zero-click" (не требующий взаимодействия с пользователем); и до $4 миллионов за полную цепочку эксплойтов ("full chain"), предположительно имея в виду серию уязвимостей, которые позволяют хакерам получить доступ не только к Telegram жертвы, но и ко всей операционной системе или устройству...

Госдума обсуждает неожиданное предложение – включать пострадавших от мошенников в специальную базу данных, что затруднит им переводы и оформление кредитов. По мнению депутата Анатолия Аксакова, если человек хоть раз попался на уловки аферистов, есть высокая вероятность, что это повторится. Поэтому ему будет сложнее совершать финансовые операции – банки начнут проводить дополнительные проверки, а переводы могут задерживаться на 30 минут или дольше. Предполагается, что ФинЦЕРТ будет фиксировать «доверчивых клиентов», чтобы защитить их от дальнейших махинаций. Однако критики уже называют идею спорной: пострадавших фактически наказывают за то, что они стали жертвами. Некоторые эксперты опасаются, что отсутствие четких критериев приведет к...

Киберпреступники больше не ломают пароли вручную – теперь за них это делает фишинг на заказ (PhaaS). Лидером среди атакующих платформ стал Tycoon 2FA, захвативший 89% рынка. Этот сервис позволяет любому новичку красть логины и пароли с минимальными усилиями. Вместо сложных хакерских техник – готовые решения: вредоносные скрипты маскируются с помощью шифра Цезаря и невидимых символов Unicode, а украденные данные передаются прямо в Telegram. Помимо Tycoon 2FA, активны еще два сервиса – EvilProxy и Sneaky 2FA. EvilProxy использует обратный прокси, обманывая даже опытных пользователей: жертва вводит пароль на поддельной странице, а преступники тут же получают доступ к аккаунту. Sneaky 2FA специализируется на взломе Microsoft 365 – его...

Италия усиливает борьбу с пиратством, и теперь Google попал под удар. Суд в Милане приказал компании начать «отравлять» свои общедоступные DNS-серверы, чтобы заблокировать сайты, которые незаконно показывают футбольные матчи. Это часть строгого закона, который заставляет интернет-компании быстро закрывать доступ к пиратским трансляциям. «Отравление DNS» — это когда меняют адреса сайтов в своей системе так, чтобы люди попадали не на пиратский сайт, а, например, на пустую страницу. Итальянский регулятор AGCOM уже давно требовал от Google блокировать такие сайты за 30 минут, но компания не торопилась это делать. Суд решил, что это нарушение, и теперь Google может грозить штраф до 10 тысяч евро в день, если они не подчинятся. Раньше...

Сам по себе сценарий не нов. Но раньше злоумышленники использовали фото певцов или блогеров. Сейчас же впервые аналитики F6 зафиксировали схему с неправомерным использованием образов популярных актеров. Рекламу со знаменитостью мошенники публикуют в интернете — продвигают розыгрыши или лотереи. Переходя по ссылке, жертва попадает на ресурс, где ей предлагают открывать коробочки с призами. Обычно первые две попытки безуспешны, а на третий раз выпадает денежный выигрыш в валюте. Вот что происходит дальше. 〰️Чтобы получить деньги, жертва должна ввести данные карты. 〰️Сайт выдает ошибку отправки, объясняя это необходимостью конвертации валюты, которая обойдется в определенную сумму. 〰️Каждый раз у жертвы запрашивают новые платежи для...

Valve убрала из Steam демо-версию игры под названием Sniper: Phantom’s Resolution после жалоб игроков. Пользователи заметили, что бесплатная пробная версия, которую можно было скачать на Steam, заражала компьютеры вредоносной программой. Это уже второй случай за последние два месяца, когда Valve приходится удалять игры из-за таких проблем. © Valve Sniper: Phantom’s Resolution обещала игрокам «реалистичный шутер от первого лица с динамичным сюжетом и опасными миссиями», но вместо этого демо-версия оказалась ловушкой. Игроки на Reddit первыми забили тревогу, обнаружив подозрительные файлы после установки. Valve быстро отреагировала и убрала игру из магазина. В прошлом месяце похожая история случилась с игрой PirateFi — она тоже...

Производитель роутеров Keenetic Limited предупредил пользователей мобильного приложения Keenetic, зарегистрировавшихся до 16 марта 2023 года, о взломе базы данных, в связи с чем сторонние лица могли получить доступ к их персональной информации. Источник изображения: Keenetic В 2023 году 15 марта в Keenetic поступило сообщение независимого исследователя по ИТ-безопасности о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic, после чего в тот же день проблема была устранена. Исследователь по ИТ-безопасности заверил компанию, что данные о взломе он никому не передавал и уничтожил их. И до конца февраля 2025 года не было никаких признаков того, что база была скомпрометирована или кто-либо пользователь...

Злоумышленники распространяют скрытый майнер через несколько сайтов, предлагающих ознакомиться с литературными произведениями. В их числе — ресурсы, внешне похожие на известную некоммерческую пиратскую библиотеку. Ссылки на эти сайты появляются среди первых результатов поисковой выдачи. Схему выявили специалисты Kaspersky GReAT — подразделения «Лаборатории Касперского», занимающегося исследованием киберугроз. По их данным, атаки майнера с середины февраля 2025 года были заблокированы более чем на тысяче компьютеров в России, однако реальное количество пострадавших может быть значительно выше. На ряде сайтов с бесплатными фрагментами электронных книг эксперты обнаружили вредоносный скрипт, перехватывающий пароли, которые пользователи...

В конце прошлого года эксперты «Лаборатории Касперского» обнаружили нового Windows-стилера и нарекли его Arcane — по логотипу, найденному в коде. Трояна раздавали на YouTube под видом читов для Minecraft и других популярных игр. Описание рекламных роликов было выполнено на русском языке и содержало ссылку на вредоносный архив. Подобная схема распространения вредоносов на YouTube не нова, однако злоумышленники быстро дополнили ее загрузчиком собственной разработки — ArcanaLoader. Анализ показал, что стилер Arcane создан на основе кодов, позаимствованных у других зловредов. Он умеет собирать системную информацию, получать списки запущенных процессов, делать скриншоты, воровать пароли к Wi-Fi и сохраненные данные из браузеров на основе...

Десятки компаний и частных лиц стали жертвами масштабной фишинговой кампании. Злоумышленники распространяют троян DarkWatchman, маскируя её под уведомления от московского Межрайонного отдела судебных приставов. Как рассказали эксперты центра исследования киберугроз Solar 4RAYS, всплеск активности злоумышленников начался ещё в конце февраля. Согласно данным сети сенсоров и ханипотов, количество обращений к центру управления DarkWatchman выросло в пять раз. В результате эта фишинговая кампания стала самой масштабной с начала года. Все вредоносные письма маскировались под официальные уведомления от Федеральной службы судебных приставов, однако отправлялись с поддельных адресов электронной почты. Внутри сообщений находился архив с именем...

Veeam устранила критическую RCE-уязвимость, идентифицируемую как CVE-2025-23120, в своем ПО для резервного копирования и репликации, которая влияет на установки, присоединенные к домену, и позволяет пользователям домена взламывать серверы. Уязвимость была обнаружена вчера и затрагивает Veeam Backup & Replication версии 12.3.0.310 (и все более ранние сборки версии 12). Компания исправила ее в версии 12.3.1 (сборка 12.3.1.1139), которая уже доступна. Согласно техническому описанию обнаружившей ошибку watchTowr Labs, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET. Она возникает, когда приложение неправильно обрабатывает сериализованные...

По данным Trend Micro Zero Day Initiative (ZDI), не менее 11 «правительственных» хак-групп использовали ранее неизвестную уязвимость нулевого дня в Windows для кражи данных и кибершпионажа. Исследователи обнаружили баг еще в прошлом году, однако в конце сентября 2024 года Microsoft отметила эту проблему как «не отвечающую требованиям» и заявила, что не будет выпускать патчи для ее устранения. Пока проблеме не присвоен идентификатор CVE, но Trend Micro отслеживает ее как ZDI-CAN-25373. По словам экспертов, уязвимость позволяет злоумышленникам выполнять произвольный код в системах под управлением Windows. При этом анализ показал, что ZDI-CAN-25373 уже давно применяется в атаках таких группировок, как Evil Corp, APT43 (Kimsuky), Bitter...

Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта. CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл .library-ms, извлекаемый при распаковке вредоносного архива и содержащий ссылку на SMB-ресурс. Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки. Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может...

Исследователи из Symantec обнаружили Betruger — кастомный бэкдор, используемый в недавних атаках операторов RansomHub (RaaS). Этот редкий многофункциональный инструмент, вероятно, разработан специально для атак с применением программ-вымогателей. Функциональность Betruger Betruger объединяет в себе ключевые инструменты подготовки атаки, что позволяет сократить количество загружаемых файлов перед развёртыванием ransomware. Он обладает следующими возможностями: ✅ Кейлоггер — перехват нажатий клавиш ✅ Сканирование сети — выявление уязвимых хостов ✅ Эскалация привилегий — получение контроля на уровне администратора ✅ Дамп учетных данных — извлечение паролей ✅ Создание скриншотов — слежка за действиями пользователей ✅ Передача файлов на...

Эксплойт для критической уязвимости CVE-2025-24813 в Apache Tomcat уже используется хакерами. Для захвата сервера злоумышленникам достаточно одной PUT API-запроса. Как работает атака Эксплуатация уязвимости включает два шага: Загрузка вредоносного сеансового файла. Атакующий отправляет PUT-запрос с сериализованным Java-объектом в формате base64, который сохраняется в хранилище сессий Tomcat. Исполнение кода через Cookie. GET-запрос с JSESSIONID, указывающим на загруженный файл, инициирует десериализацию, что приводит к удаленному выполнению кода. Почему это опасно Атака не требует аутентификации и легко проходит мимо традиционных WAF-защит, поскольку: PUT-запрос выглядит безобидно, нагрузка зашифрована в base64, атака выполняется в...

Причина приостановки OKX Web3 временно отключила свой DEX-агрегатор для обновления системы безопасности. Это решение было принято после попыток северокорейской хакерской группы Lazarus использовать платформу для отмывания $100 млн украденных криптоактивов. Lazarus недавно совершили крупнейшее криптоограбление в истории, похитив $1,5 млрд с биржи Bybit. По данным Bloomberg, этот инцидент привлек внимание европейских регуляторов, однако OKX опровергла обвинения в причастности к отмыванию денег, заявив, что заблокировала подозрительные средства и обвинила Bybit в распространении дезинформации. Кто такие OKX и что такое DEX-агрегатор? OKX — одна из ведущих криптобирж, предлагающая спотовую и деривативную торговлю, а также сервисы...

Компания GitLab выпустила обновления безопасности для Community Edition (CE) и Enterprise Edition (EE), устранив 9 уязвимостей, включая две критические в библиотеке ruby-saml, используемой для SAML Single Sign-On (SSO). Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную. ⬇️ CVE-2025-25291 (ruby-saml) – критическая ⬇️ CVE-2025-25292 (ruby-saml) – критическая ⬇️ CVE-2025-27407 (graphql) – уязвимость высокой степени опасности Основные уязвимости...

Специалисты Tenable изучили возможности нейросети DeepSeek R1 в создании вредоносного программного обеспечения. Оказалось, что модель способна генерировать вредоносный код, но требует дополнительного программирования и отладки. В ходе эксперимента исследователи пытались создать кейлоггер и программу-вымогатель, оценивая эффективность искусственного интеллекта в кибератаках. С ростом популярности генеративного искусственного интеллекта киберпреступники активно используют подобные технологии в своих целях. Однако большинство известных моделей, таких как ChatGPT и Google Gemini, оснащены защитными механизмами, предотвращающими злоупотребления. Тем не менее, злоумышленники разработали собственные языковые модели, включая WormGPT, FraudGPT...