Новости информационной безопасности

Booking.com начала уведомлять клиентов о компрометации данных после того, как "неавторизованные лица" получили доступ к информации о бронированиях. Среди утекших данных: детали бронирований; имена и фамилии; email-адреса; физические адреса; номера телефонов. Фактически — полный набор информации, достаточный для правдоподобной имитации общения от имени отеля. Как произошла атака По данным Microsoft, злоумышленники получили доступ через партнеров Booking.com — отели. Использовалась техника ClickFix — разновидность фишинга, при которой сотрудникам предлагается установить "исправление" системы, замаскированное под полезный инструмент. Атаку связывают с группировкой Storm-1865, которая: атаковала сотрудников отелей по всему миру...

Microsoft выпустила масштабный пакет обновлений безопасности, устраняющий 167 уязвимостей в Windows и сопутствующем ПО. Среди них — zero-day в SharePoint Server и ранее раскрытая уязвимость в Windows Defender под названием BlueHammer. Параллельно Google закрыла уже четвертую zero-day уязвимость в Google Chrome в 2026 году, а Adobe выпустила срочное обновление для Reader, устраняющее активно эксплуатируемую дыру, ведущую к удаленному выполнению кода. Критическая zero-day в SharePoint Microsoft предупредила об активных атаках на уязвимость CVE-2026-32201 в SharePoint Server. По словам Mike Walters (сооснователь Action1), данная уязвимость позволяет: подменять доверенный контент и интерфейсы; вводить в заблуждение сотрудников, партнеров...

В открытый доступ выложен эксплойт для неустраненной уязвимости в Windows, позволяющей повысить привилегии до уровня SYSTEM или администратора. Уязвимость, получившая название BlueHammer, ранее была передана Microsoft в рамках приватного раскрытия. Из-за отсутствия официального патча проблема классифицируется как zero-day по определению Microsoft. Публикация эксплойта и конфликт с MSRC Эксплойт был опубликован исследователем под псевдонимом Chaotic Eclipse, который остался недоволен процессом обработки отчета со стороны Microsoft Security Response Center. В кратком сообщении он отметил: Также исследователь добавил, что не будет объяснять принцип работы уязвимости: 3 апреля Chaotic Eclipse опубликовал репозиторий с PoC-эксплойтом...

Мошенники запустили фишинговую кампанию, в которой поддельный сайт, имитирующий антивирус Avast, убеждает пользователей самостоятельно заразить свои компьютеры. Сайт выглядит правдоподобно: запускает якобы проверку системы и сообщает о множестве угроз. Однако результаты полностью сфабрикованы. При попытке "исправить" проблему пользователю предлагают скачать файл, который на деле является вредоносным ПО — Venom Stealer. Этот троян предназначен для кражи паролей, сессионных cookie и данных криптовалютных кошельков. Это классическая схема "запугать и предложить решение": сначала создается ощущение угрозы, затем предлагается "лечение". В данном случае злоумышленники злоупотребляют доверием к бренду Avast. Фальшивое сканирование с...

В мессенджере MAX зафиксирован резкий всплеск активности киберпреступников, распространяющих опасный Android-вирус «Мамонт», который ворует деньги со смартфонов. Злоумышленники атакуют домовые и родительские чаты, а также сообщества дачных поселков, пользуясь перетоком пользователей из-за ограничений в работе Telegram. Об этом «Газете.Ru» рассказала руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (входит в группу компаний Softline) Кристина Буренкова. В пресс-службе мессенджера MAX опровергли данное сообщение. Со ссылкой на специалистов центра безопасности мессенджера там заявили, что все данные пользователей надежно защищены. «Информация о распространении вируса в MAX не соответствует действительности...

Обнаружена фишинговая кампания, в которой злоумышленники используют поддельную страницу безопасности Google для распространения веб-приложения, способного перехватывать одноразовые коды (OTP), собирать адреса криптовалютных кошельков и проксировать трафик атакующего через браузер жертвы. Атака сочетает возможности Progressive Web App (PWA) и методы социальной инженерии. Пользователя убеждают, что он взаимодействует с легитимной страницей Google Security, и побуждают установить вредоносное приложение. PWA-приложения работают в браузере, но могут устанавливаться с сайта как отдельные программы — они открываются в собственном окне без видимых элементов управления браузером, что усиливает иллюзию легитимности. Браузер жертвы как...

Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством. Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++. Как проходила атака По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++. В расследовании участвовали независимые специалисты по безопасности...

Злоумышленники запускают платную рекламу в Facebook, замаскированную под официальные промо-материалы Microsoft, а затем перенаправляют пользователей на почти идеальные клоны страницы загрузки Windows 11. Нажатие кнопки Download Now вместо обновления Windows приводит к загрузке вредоносного установщика, который в фоновом режиме похищает сохраненные пароли, сессии браузеров и данные криптовалютных кошельков. "Я просто хотел обновить Windows" Атака начинается максимально буднично — с рекламы в Facebook. Объявление выглядит профессионально, использует фирменный стиль Microsoft и предлагает якобы актуальное обновление Windows 11. Для пользователя, который и так планировал обновить систему, это выглядит как удобный и безопасный способ...

Amazon предупреждает, что русскоязычный хакер использовал сразу несколько сервисов генеративного ИИ в рамках кампании, в ходе которой за пять недель были скомпрометированы более 600 межсетевых экранов FortiGate в 55 странах. Согласно новому отчету CJ Moses, CISO подразделения Amazon Integrated Security, атаки происходили в период с 11 января по 18 февраля 2026 года и не опирались на эксплуатацию уязвимостей Fortinet. Вместо этого злоумышленник нацеливался на открытые в интернет интерфейсы управления и слабые учетные данные без защиты MFA, а затем применял ИИ для автоматизации дальнейшего продвижения по сети. По данным Moses, скомпрометированные устройства были зафиксированы в Южной Азии, Латинской Америке, Карибском регионе, Западной...

Когда я прочитал эту статью - возникло много вопросов ( вы догадываетесь к кому ) Статья большая ,здесь опубликую только начало ,а дальше ( кому интересно ) перейдите по ссылке Дисклеймер: это более компактная версия моей оригинальной статьи. Оригинальную статью придётся читать ~80 мин. и она со 116 источниками. Ранее я уже публиковал на Хабре пост-предупреждение, теперь настало время для основной статьи. 1. «Щит» пробит Вводные данные: моя мама, 70 лет. Как бывший бухгалтер, она относится к документам педантично. Когда 1 марта 2025 года вступил в силу закон о самозапрете на кредиты (ФЗ-31), мы были одними из первых, кто выставил полный самозапрет на любые кредиты на Госуслугах. Логика простая: базы данных утекли у всех (от...

Злоумышленники начали использовать DNS-запросы в рамках атак ClickFix с элементами социальной инженерии для доставки вредоносного ПО — это первый известный случай применения DNS в качестве канала распространения в подобных кампаниях. Атаки ClickFix обычно основаны на том, что пользователей убеждают вручную выполнить вредоносные команды под предлогом исправления ошибок, установки обновлений или включения некой функциональности. Однако в новом варианте используется нестандартная техника: DNS-сервер, контролируемый атакующим, передает полезную нагрузку второго этапа через DNS-запросы. DNS-запросы как канал доставки PowerShell-скрипта В новой кампании ClickFix, зафиксированной Microsoft, жертвам предлагается выполнить команду nslookup...

Google выпустила экстренные обновления для устранения уязвимости высокой степени опасности в Chrome, которая уже используется в атаках нулевого дня. Это первая активно эксплуатируемая уязвимость безопасности Chrome, закрытая с начала года. "Google известно о наличии эксплойта для CVE-2026-2441, который используется в реальных атаках", — сообщила компания в бюллетене безопасности, опубликованном в пятницу. Согласно истории коммитов Chromium, уязвимость типа use-after-free (о которой сообщил исследователь безопасности Shaheen Fazim) вызвана ошибкой инвалидирования итератора в CSSFontFeatureValuesMap — реализации значений CSS font-feature в Chrome. Успешная эксплуатация может привести к сбоям браузера, ошибкам отображения, повреждению...

Исследователи кибербезопасности сообщили о возможном сливе данных пользователей WormGPT — ИИ-модели, созданной для выполнения вредоносных задач. Атакующий утверждает, что получил личные данные 19 000 пользователей, включая: Электронные адреса Платежные данные Подписки Идентификаторы пользователей Другие сведения WormGPT — это «черная» LLM-модель, разработанная без ограничений на действия пользователей. Она ориентирована на людей без глубоких навыков взлома и предлагает подписки с ценами от $50 в месяц до $220 за пожизненный доступ. Телеграм-канал WormGPT прямо демонстрирует, на что модель рассчитана. В постах предлагается, например, взломать чужой пароль или доступ к криптокошельку. Другие публикации указывают на возможность...

Эксперты по кибербезопасности раскрыли дополнительные детали масштабной кампании, в рамках которой злоумышленники распространяли модифицированный установщик архиватора 7-Zip через поддельный сайт 7zip[.]com. Ресурс визуально и структурно копировал официальный сайт проекта 7-zip.org, что позволяло эффективно вводить пользователей в заблуждение. Инцидент получил огласку после жалобы пользователя, который скачал архиватор по ссылке из обучающего видео на YouTube. Анализ показал, что загружаемый файл был подписан цифровым сертификатом, выданным на имя Jozeal Network Technology Co., Limited. Несмотря на то что сертификат впоследствии был отозван, на момент распространения он придавал установщику видимость легитимного ПО. При запуске...

Специалисты по кибербезопасности нашли два вредоносных расширения в магазине Chrome Web Store. Эти расширения крадут переписку с ИИ‑чат‑ботами. Расширения также собирают данные о сайтах, которые посещает пользователь. Всю информацию вредоносные приложения отправляют на серверы злоумышленников. Этими расширениями воспользовались 900 тысяч человек. Первое расширение называется ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI. Его установили 600 тысяч пользователей. Второе называется AI Sidebar with Deepseek, ChatGPT, Claude, and more. У него 300 тысяч установок. Оба расширения маскируются под настоящее дополнение Chat with all AI models от компании Aitopia. Одно из вредоносных расширений даже имело статус рекомендованного...

NordVPN отверг обвинения во взломе своих внутренних серверов разработки Salesforce, заявив, что киберпреступники получили лишь "фиктивные данные" из пробной учетной записи на сторонней платформе автоматизированного тестирования. Заявление компании последовало после того, как злоумышленник под ником 1011 в минувшие выходные опубликовал на хакерском форуме утверждение о краже более десяти баз данных с конфиденциальной информацией — включая API-ключи Salesforce и токены Jira. По его словам, данные были получены в результате брутфорс-атаки на сервер разработки NordVPN. Однако, как пояснили в NordVPN, речь идет не о взломе их инфраструктуры, а о данных из временной тестовой среды, развернутой несколько месяцев назад при пробном...

Разработчики популярного текстового редактора EmEditor раскрыли подробности инцидента безопасности, связанного с подменой установочного файла на официальном сайте. По данным компании Emurasoft, в период с 19 по 22 декабря 2025 года кнопка Download Now могла вести на изменённый MSI-установщик, подписанный сторонней организацией WALSHAM INVESTMENTS LIMITED, а не законным издателем. Официальное уведомление было опубликовано 23 декабря. В нём указано, что перенаправление на загрузку, предположительно, было изменено третьей стороной. Пользователям, скачивавшим файл emed64_25.4.3.msi в указанный период, рекомендовано проверить цифровую подпись и контрольную сумму. При этом Emurasoft подчёркивает, что инцидент не затронул: встроенный...

Исследователь ZachXBT сообщил о серии инцидентов с кражей средств у пользователей Trust Wallet. По его данным, в течение нескольких часов были зафиксированы многочисленные случаи опустошения кошельков, включая адреса в сетях EVM, Bitcoin и Solana. ZachXBT опубликовал список адресов, на которые, предположительно, переводились украденные средства. В него вошли адреса в сетях Ethereum (EVM), Bitcoin и Solana. Исследователь призвал пострадавших пользователей связаться с ним напрямую для верификации новых адресов, связанных с кражами. Позже команда Trust Wallet официально подтвердила наличие инцидента безопасности. Согласно заявлению компании, проблема затрагивает только браузерное расширение Trust Wallet версии 2.68. Пользователям этой...

Пользователи сети выявили поддельный домен, который выдавал себя за официальный ресурс MAS (Microsoft Activation Scripts) — инструмента проекта Massgrave, предназначенного для активации продуктов Microsoft. Злоумышленники использовали этот домен для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался загрузчик вредоносного ПО под названием Cosmali Loader. Как сообщает издание Bleeping Computer, на текущей неделе участники Reddit начали делиться сообщениями о необычных всплывающих окнах, появлявшихся в системе. Уведомления утверждали, что компьютер заражён Cosmali Loader, а причиной заражения якобы стала ошибка в адресе при вводе команды для активации Windows. В одном из случаев...

В популярной NoSQL‑базе данных MongoDB Server обнаружена и закрыта критическая уязвимость, связанная с обработкой сжатого трафика через библиотеку zlib. Проблема получила идентификатор CVE‑2025‑14847 и позволяет неаутентифицированному злоумышленнику прочитать неинициализированную память сервера (heap memory) через специально сформированные сетевые запросы. Специалисты предупреждают, что такие утечки памяти могут в теории привести к раскрытию внутренних данных сервера — включая фрагменты ранее обработанных сообщений, ключи, служебную информацию или другие чувствительные данные, которые не должны были быть отправлены клиенту. Проблема затрагивает широкий диапазон релизов MongoDB, в том числе: Серии 3.6, 4.0, 4.2, 4.4.x (до 4.4.29)...