Новости информационной безопасности

Специалисты Facebook сообщили об уязвимости, обнаруженной во всех версиях библиотеки FreeType, которая может привести к удаленному выполнению произвольного кода. FreeType — популярная опенсорсная библиотека рендеринга шрифтов, которая используется для растеризации шрифтов и операций над ними. Она предоставляет функциональность для загрузки, растеризации и рендеринга шрифтов в различных форматах, включая TrueType (TTF), OpenType (OTF) и так далее. Эта библиотека используется в миллионах систем и сервисов, включая Linux, Android, игровые движки, GUI-фреймворки и онлайн-платформы. Обнаруженная уязвимость получила идентификатор CVE-2025-27363 и 8,1 балла по шкале CVSS. Проблема была устранена в версии FreeType 2.13.0, выпущенной 9...

Мошенники под видом привлекательной девушки знакомились с жертвой в соцсетях, на сайтах знакомств или чат-ботах в Telegram. В переписке предлагали сходить в в кино, театр или на стендап, а для покупки билетов отправляли ссылку на фишинговый сайт или на скачивание вредоносного приложения. ❤️ За 14 февраля, 23 февраля и 8 марта злоумышленники заработали 9,8 млн руб. — это вдвое больше, чем год назад. Самым прибыльным праздником стал День всех влюбленных — он принес мошенникам 4 млн руб. Мария Синицына, старший аналитик Digital Risk Protection F6: https://t.me/f6_cybersecurity

Антивирус Microsoft Defender начал классифицировать популярный драйвер WinRing0x64.sys, используемый в программах для мониторинга ПК, как вредоносный. Пострадали приложения от Razer, SteelSeries и других компаний. Причина – известная уязвимость в драйвере, позволяющая повысить привилегии в системе В течение последних нескольких дней различные пользователи в сети сообщали, что их приложения для управления вентиляторами и мониторинга оборудования ПК помечаются антивирусной программой Microsoft Defender как вредоносные. Среди затронутых программ есть приложения от Razer, SteelSeries и многих других компаний. Эти приложения помечаются из-за базового системного драйвера «WinRing0x64.sys», который Microsoft помечает как...

Пользователи мессенджера Telegram подверглись волне фишинговых атак. Мошеннические сообщения, содержащие поддельные ссылки на подписку Premium, отправляются через личные сообщения и заманивают на фишинговые ресурсы, похожие на страницу авторизации в мессенджере. Как избежать ловушки и что делать, если попался? Беда пришла откуда не ждали. Мессенджер Telegram традиционно считается надежным ресурсом, и, вероятно, именно его популярность привлекла злоумышленников. Суть мошеннической схемы проста: пользователь получает сообщение в Telegram, в котором утверждается, что ему предоставили «бесплатную подписку Telegram Premium» или «подарок» от компании или другого пользователя. Ссылка якобы ведет на страницу с активированным бонусом. После...

Специалисты компании ESET сообщили, что исправленная в этом месяце уязвимость нулевого дня в подсистеме ядра Windows Win32 использовалась злоумышленниками в атаках с марта 2023 года. Уязвимость получила идентификатор CVE-2025-24983 (7 баллов по шкале CVSS) и связана с повышением привилегий в подсистеме ядра Windows Win32. По информации Microsoft, эта use-after-free проблема позволяет локальным злоумышленникам получить привилегии SYSTEM, спровоцировав состояние гонки и успешно его эксплуатировав. Баг был устранен в рамках мартовского «вторника обновлений» ранее на этой неделе. Как сообщают представители ESET, обнаружившие эту уязвимость, 0-day эксплоит для CVE-2025-24983 был впервые замечен еще в марте 2023 года в системах...

Эксперты Lookout обнаружили новое шпионское ПО для Android под названием KoSpy. Этот вредонос связан с северокорейскими хакерами и был найден в официальном магазине Google Play и стороннем магазине APKPure в составе как минимум пяти приложений. По данным исследователей, спайварь связана с северокорейской группировкой APT37 (она же ScarCruft). Кампания с использованием этого вредоноса активна с марта 2022 года, причем судя по образцам малвари, хакеры активно совершенствуют свою разработку. Шпионская кампания нацелена в основном на корейских и англоязычных пользователей. KoSpy маскируется под файловые менеджеры, защитные инструменты и обновления для различного ПО. Суммарно эксперты Lookout обнаружили пять приложений: 휴대폰 관리자 (Phone...

Не менее 400 организаций пострадали за последние три года от действий шифровальной группировки Medusa. Злоумышленники используют «партнерскую» модель, но сохраняют контроль над операцией в целом Ведают, что творят Агентство по защите киберпространства и критической инфраструктуры США (CISA) опубликовало очередной бюллетень - на этот раз в партнерстве с ФБР и Центром анализа и обмена информацией между штатами (MS-ISAC), в котором утверждается, что шифровальщик Medusa атаковал за последние месяцы не менее 300 организаций, относящихся к критической инфраструктуре. В числе пострадавших - медицинские, образовательные, юридические учреждения, страховые компании, технологический и производственный сектор. Интересно, что под названием Medusa...

В популярном беспроводном контроллере ESP32 от китайской компании Espressif, который установлен более чем на миллиарде устройств, обнаружена скрытая уязвимость в виде бэкдора. Эта маленькая лазейка, о которой почти никто не знал, позволяет атакующим выдавать себя за доверенные устройства, красть данные и закрепляться в системе надолго, по сути навсегда. Источник изображения: bleepingcomputer.com Два испанских исследователя, Мигель Тараско Акунья (Miguel Tarascó Acuña) и Антонио Васкес Бланко (Antonio Vázquez Blanco) из компании Tarlogic Security, решили копнуть глубже и обнаружили, что в этом чипе есть команды, позволяющие выполнять различные вредоносные действия. Например, выдавать себя за доверенные устройства, красть данные и даже...

Microsoft пресекла масштабную вредоносную рекламную кампанию, затронувшую миллион Windows ПК через пиратские стриминговые сайты. Вредоносное ПО доставлялось через GitHub и использовалось для кражи данных и удалённого доступа. Microsoft прекратила работу с большим количеством репозиториев на GitHub, использовавшихся в масштабной кампании вредоносной рекламы, другими словами малвертайзинга, которая затронула почти один миллион устройств по всему миру. Малвертайзингом (Malvertising) называют использование онлайн-рекламы для распространения вредоносного ПО. Злоумышленники заражают рекламные объявления или внедряют вредоносные скрипты в баннеры, которые затем размещаются на популярных сайтах. При клике на такие объявления пользователи...

Специалисты Google Security Team сообщили детали уязвимости (CVE-2024-56161), позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода в процессорах AMD на базе микроархитектуры от Zen1 до Zen4. Уязвимости присвоен рейтинг опасности CVSS 7,2 балла из 10, что говорит о серьёзности проблемы. «Неправильная проверка подписи в загрузчике исправлений микрокода CPU AMD может позволить злоумышленнику с привилегиями локального администратора загрузить вредоносный микрокод», — говорится в сообщении Google. Исследователи известили AMD об обнаруженной уязвимости 25 сентября 2024 года. Уязвимость, сделавшая возможной загрузку собственных патчей для микрокода процессоров AMD Zen 1-4, вызвана использованием для верификации...

Какие уловки используют киберпреступники 8 марта и как на них не попасться. Перед 8 марта и в сам Международный женский день регулярно профильными ресурсами и правоохранительными органами отмечается стабильный рост активности сетевого фишинга, как и иная деятельность онлайн-мошенников. Но с наступлением 2025 года подобного рода действия продемонстрировали рекордный рост: так почти в 2 раза стало больше фишинговых ресурсов и иных сайтов-обманок при сравнении с 2024 годом. В прошлом году защитные алгоритмы программной платформы «МегаФона» обнаружили появление 17 тыс. доменов в период действия новогодних выходных, 23 февраля и 8 марта. В первый месяц нового года общее число фишинговых порталов перевалило за рубеж 30 тыс. единиц...

Разработанная специалистами SquareX Labs полиморфная атака позволяет вредоносным расширениям для Chrome трансформироваться в другие расширения, включая менеджеры паролей, криптовалютные кошельки и банковские приложения, а затем похищать конфиденциальную информацию. Исследователи предупреждают, что такую атаку можно реализовать даже в последней версии Chrome, и они уже уведомили о проблеме разработчиков Google. Атака начинается с размещения вредоносного полиморфного расширения в Chrome Web Store. В качестве примера исследователи использовали маркетинговый ИИ-инструмент, который действительно предоставлял заявленную функциональность, но обманом заставлял жертву установить и закрепить расширение в своем браузере. Чтобы получить список...

Мартовские обновления устраняют три уязвимости, которые уже применялись в реальных кибератаках. «Баги» позволяют выходить за пределы виртуальных машин и атаковать гипервизор С пометкой «срочно» Broadcom 4 марта 2025 г. выпустил экстренные обновления для всех версий VMware ESX и настоятельной рекомендацией установить их как можно скорее. Обновления устраняют ряд уязвимостей, которые затрагивают пакеты VMware ESX, VMware vSphere, VMware Cloud Foundation и VMware Telco Cloud Platform. Речь главным образом идет о трех уязвимостях, получивших оценки CVSS в диапазоне от 7,1 до 9,3 баллов. К критическому спектру относится только первая из этих уязвимостей - CVE-2025-22224, эксплуатация которой позволяет вызвать состояние переполнения кучи...

Исследователи выявили эксплойт, связанный с уязвимостью CVE-2024-7014, в котором злоумышленники используют Telegram API для распространения вредоносного кода. Файл с расширением ".htm" маскируется под видео, а при попытке его открытия выполняется вредоносный JavaScript-код. Технические детали Evilloader – это загрузчик, позволяющий атакующим скачивать и исполнять дополнительные вредоносные файлы на устройствах жертв. В обновленной версии этого модуля усилены механизмы противодействия анализу. В данном сценарии вредоносная HTML-страница сначала перенаправляет жертву на фальшивую страницу загрузки "Play Protect", затем отправляет ее IP-адрес атакующему. Описание уязвимости Основной причиной проблемы является то, что файлы с расширением...

Google выпустила исправления для 43 уязвимостей в обновлении безопасности для Android за март 2025 года, включая две 0-day, которые использовались в целевых атаках. Одна из них, уязвимость высокой степени серьезности, которая отслеживается как CVE-2024-50302 и приводит к раскрытию информации в драйвере ядра Linux, задействовалась спецслужбами Сербии для разблокировки изъятых в ходе обыска устройств. Уязвимость была использована в составе цепочки эксплойтов для Android, разработанной израильской компанией в сфере цифровой криминалистики Cellebrite. Цепочка эксплойтов, которая также включает 0-day (CVE-2024-53104), исправленную в прошлом месяце, была обнаружена Amnesty International в середине 2024 года в результате анализа логов...

Исследователь обнаружил утечку данных, связанных со сталкерским приложением Spyzie, которое установлено более чем на 500 000 Android-устройств и по меньшей мере 4900 iPhone и iPad. Большинство владельцев взломанных устройств, скорее всего, даже не знают о том, что они скомпрометированы. Анонимный ИБ-исследователь сообщил изданию TechCrunch, что приложение Spyzie уязвимо перед той же проблемой, которую в прошлом месяце обнаружили в Cocospy и Spyic. Эти два почти идентичных сталкерских приложения, ищеющих одинаковый исходный код и «сливающих» данные о более 2 млн человек. Баг позволяет любому желающему получить доступ к информации со взломанных телефонов, включая сообщения, фотографии и данные о местоположении. В случае Spyzie...

Эксперты Netskope обнаружили 260 уникальных доменов, на которых размещено около 5000 PDF-файлов с фишинговыми страницами. В отчёте компании отмечается, что атакующие применяют SEO-оптимизацию для повышения видимости вредоносных страниц в поисковой выдаче. Обычно фишинговые страницы предназначены для кражи данных банковских карт, однако в выявленной вредоносной кампании PDF-файлы содержат поддельные CAPTCHA, которые побуждают пользователей выполнить вредоносные PowerShell-команды. В результате на их устройства загружается Lumma Stealer — инфостилер, способный похищать широкий спектр данных с заражённых Windows-компьютеров. Lumma Stealer функционирует по модели «вредоносное ПО как услуга» (MaaS), предоставляя киберпреступникам...

Microsoft предупреждает о пяти уязвимостях драйвера Paragon Partition Manager BioNTdrv.sys, одна из которых использовалась в качестве 0-day бандами вымогателей в атаках BYOVD для получения привилегий SYSTEM в Windows. Драйвер Biontdrv.sys является частью Hard Disk Manager и других решений, которые на нем основаны, включая такие как Paragon Partition Manager и Backup and Recovery. Среди отслеживаемых проблем: произвольная запись в память ядра (CVE-2025-0288), разыменование нулевого указателя (CVE-2025-0287), произвольная запись в память ядра (CVE-2025-0286), произвольное отображение памяти ядра (CVE-2025-0285) и небезопасный доступ к ресурсам ядра (CVE-2025-0289). Согласно заявлению CERT/CC, злоумышленник, имеющий локальный доступ к...

Аналитики департамента киберразведки F6 Threat Intelligence выявили в даркнете очередную партнерскую программу под названием Anubis. На первый взгляд она напоминает распространенные схемы распространения шифровальщиков по модели Ransomware as a Service (RaaS), однако среди предложений, специалисты F6 обнаружили необычную бизнес-модель, ранее не встречавшуюся под названием Data Ransom. В качестве услуги Data Ransom впервые предлагается уже не сам вирусный софт, а шантаж. Новые схемы сотрудничества Эксперты департамента киберразведки Threat Intelligence компании F6 зафиксировали в даркнете новую партнерскую программу Anubis, об этом CNews сообщили представители F6. Хоть и на первый взгляд партнерская программа напоминает...

Легитимный инструмент превратился в ключевой элемент вредоносных кампаний. Киберпреступники активно используют уязвимый драйвер Windows из защитных продуктов Adlice, чтобы обходить механизмы безопасности и распространять вредоносное ПО Gh0st RAT. По данным Check Point, атакующие модифицировали части исполняемого файла версии 2.0.2 драйвера, сохранив его цифровую подпись, что позволяло обходить методы обнаружения. Эксперты выявили тысячи вредоносных образцов, использующих технику BYOVD, чтобы отключать программные средства защиты. На VirusTotal зарегистрировано уже больше 2500 вариантов уязвимой версии 2.0.2 драйвера RogueKiller Antirootkit (truesight.sys), однако реальная цифра может быть ещё выше. Первый образец, выполняющий функции...