Новости информационной безопасности

В мессенджере MAX зафиксирован резкий всплеск активности киберпреступников, распространяющих опасный Android-вирус «Мамонт», который ворует деньги со смартфонов. Злоумышленники атакуют домовые и родительские чаты, а также сообщества дачных поселков, пользуясь перетоком пользователей из-за ограничений в работе Telegram. Об этом «Газете.Ru» рассказала руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (входит в группу компаний Softline) Кристина Буренкова. В пресс-службе мессенджера MAX опровергли данное сообщение. Со ссылкой на специалистов центра безопасности мессенджера там заявили, что все данные пользователей надежно защищены. «Информация о распространении вируса в MAX не соответствует действительности...

Обнаружена фишинговая кампания, в которой злоумышленники используют поддельную страницу безопасности Google для распространения веб-приложения, способного перехватывать одноразовые коды (OTP), собирать адреса криптовалютных кошельков и проксировать трафик атакующего через браузер жертвы. Атака сочетает возможности Progressive Web App (PWA) и методы социальной инженерии. Пользователя убеждают, что он взаимодействует с легитимной страницей Google Security, и побуждают установить вредоносное приложение. PWA-приложения работают в браузере, но могут устанавливаться с сайта как отдельные программы — они открываются в собственном окне без видимых элементов управления браузером, что усиливает иллюзию легитимности. Браузер жертвы как...

Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством. Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++. Как проходила атака По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++. В расследовании участвовали независимые специалисты по безопасности...

Злоумышленники запускают платную рекламу в Facebook, замаскированную под официальные промо-материалы Microsoft, а затем перенаправляют пользователей на почти идеальные клоны страницы загрузки Windows 11. Нажатие кнопки Download Now вместо обновления Windows приводит к загрузке вредоносного установщика, который в фоновом режиме похищает сохраненные пароли, сессии браузеров и данные криптовалютных кошельков. "Я просто хотел обновить Windows" Атака начинается максимально буднично — с рекламы в Facebook. Объявление выглядит профессионально, использует фирменный стиль Microsoft и предлагает якобы актуальное обновление Windows 11. Для пользователя, который и так планировал обновить систему, это выглядит как удобный и безопасный способ...

Amazon предупреждает, что русскоязычный хакер использовал сразу несколько сервисов генеративного ИИ в рамках кампании, в ходе которой за пять недель были скомпрометированы более 600 межсетевых экранов FortiGate в 55 странах. Согласно новому отчету CJ Moses, CISO подразделения Amazon Integrated Security, атаки происходили в период с 11 января по 18 февраля 2026 года и не опирались на эксплуатацию уязвимостей Fortinet. Вместо этого злоумышленник нацеливался на открытые в интернет интерфейсы управления и слабые учетные данные без защиты MFA, а затем применял ИИ для автоматизации дальнейшего продвижения по сети. По данным Moses, скомпрометированные устройства были зафиксированы в Южной Азии, Латинской Америке, Карибском регионе, Западной...

Когда я прочитал эту статью - возникло много вопросов ( вы догадываетесь к кому ) Статья большая ,здесь опубликую только начало ,а дальше ( кому интересно ) перейдите по ссылке Дисклеймер: это более компактная версия моей оригинальной статьи. Оригинальную статью придётся читать ~80 мин. и она со 116 источниками. Ранее я уже публиковал на Хабре пост-предупреждение, теперь настало время для основной статьи. 1. «Щит» пробит Вводные данные: моя мама, 70 лет. Как бывший бухгалтер, она относится к документам педантично. Когда 1 марта 2025 года вступил в силу закон о самозапрете на кредиты (ФЗ-31), мы были одними из первых, кто выставил полный самозапрет на любые кредиты на Госуслугах. Логика простая: базы данных утекли у всех (от...

Злоумышленники начали использовать DNS-запросы в рамках атак ClickFix с элементами социальной инженерии для доставки вредоносного ПО — это первый известный случай применения DNS в качестве канала распространения в подобных кампаниях. Атаки ClickFix обычно основаны на том, что пользователей убеждают вручную выполнить вредоносные команды под предлогом исправления ошибок, установки обновлений или включения некой функциональности. Однако в новом варианте используется нестандартная техника: DNS-сервер, контролируемый атакующим, передает полезную нагрузку второго этапа через DNS-запросы. DNS-запросы как канал доставки PowerShell-скрипта В новой кампании ClickFix, зафиксированной Microsoft, жертвам предлагается выполнить команду nslookup...

Google выпустила экстренные обновления для устранения уязвимости высокой степени опасности в Chrome, которая уже используется в атаках нулевого дня. Это первая активно эксплуатируемая уязвимость безопасности Chrome, закрытая с начала года. "Google известно о наличии эксплойта для CVE-2026-2441, который используется в реальных атаках", — сообщила компания в бюллетене безопасности, опубликованном в пятницу. Согласно истории коммитов Chromium, уязвимость типа use-after-free (о которой сообщил исследователь безопасности Shaheen Fazim) вызвана ошибкой инвалидирования итератора в CSSFontFeatureValuesMap — реализации значений CSS font-feature в Chrome. Успешная эксплуатация может привести к сбоям браузера, ошибкам отображения, повреждению...

Исследователи кибербезопасности сообщили о возможном сливе данных пользователей WormGPT — ИИ-модели, созданной для выполнения вредоносных задач. Атакующий утверждает, что получил личные данные 19 000 пользователей, включая: Электронные адреса Платежные данные Подписки Идентификаторы пользователей Другие сведения WormGPT — это «черная» LLM-модель, разработанная без ограничений на действия пользователей. Она ориентирована на людей без глубоких навыков взлома и предлагает подписки с ценами от $50 в месяц до $220 за пожизненный доступ. Телеграм-канал WormGPT прямо демонстрирует, на что модель рассчитана. В постах предлагается, например, взломать чужой пароль или доступ к криптокошельку. Другие публикации указывают на возможность...

Эксперты по кибербезопасности раскрыли дополнительные детали масштабной кампании, в рамках которой злоумышленники распространяли модифицированный установщик архиватора 7-Zip через поддельный сайт 7zip[.]com. Ресурс визуально и структурно копировал официальный сайт проекта 7-zip.org, что позволяло эффективно вводить пользователей в заблуждение. Инцидент получил огласку после жалобы пользователя, который скачал архиватор по ссылке из обучающего видео на YouTube. Анализ показал, что загружаемый файл был подписан цифровым сертификатом, выданным на имя Jozeal Network Technology Co., Limited. Несмотря на то что сертификат впоследствии был отозван, на момент распространения он придавал установщику видимость легитимного ПО. При запуске...

Специалисты по кибербезопасности нашли два вредоносных расширения в магазине Chrome Web Store. Эти расширения крадут переписку с ИИ‑чат‑ботами. Расширения также собирают данные о сайтах, которые посещает пользователь. Всю информацию вредоносные приложения отправляют на серверы злоумышленников. Этими расширениями воспользовались 900 тысяч человек. Первое расширение называется ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI. Его установили 600 тысяч пользователей. Второе называется AI Sidebar with Deepseek, ChatGPT, Claude, and more. У него 300 тысяч установок. Оба расширения маскируются под настоящее дополнение Chat with all AI models от компании Aitopia. Одно из вредоносных расширений даже имело статус рекомендованного...

NordVPN отверг обвинения во взломе своих внутренних серверов разработки Salesforce, заявив, что киберпреступники получили лишь "фиктивные данные" из пробной учетной записи на сторонней платформе автоматизированного тестирования. Заявление компании последовало после того, как злоумышленник под ником 1011 в минувшие выходные опубликовал на хакерском форуме утверждение о краже более десяти баз данных с конфиденциальной информацией — включая API-ключи Salesforce и токены Jira. По его словам, данные были получены в результате брутфорс-атаки на сервер разработки NordVPN. Однако, как пояснили в NordVPN, речь идет не о взломе их инфраструктуры, а о данных из временной тестовой среды, развернутой несколько месяцев назад при пробном...

Разработчики популярного текстового редактора EmEditor раскрыли подробности инцидента безопасности, связанного с подменой установочного файла на официальном сайте. По данным компании Emurasoft, в период с 19 по 22 декабря 2025 года кнопка Download Now могла вести на изменённый MSI-установщик, подписанный сторонней организацией WALSHAM INVESTMENTS LIMITED, а не законным издателем. Официальное уведомление было опубликовано 23 декабря. В нём указано, что перенаправление на загрузку, предположительно, было изменено третьей стороной. Пользователям, скачивавшим файл emed64_25.4.3.msi в указанный период, рекомендовано проверить цифровую подпись и контрольную сумму. При этом Emurasoft подчёркивает, что инцидент не затронул: встроенный...

Исследователь ZachXBT сообщил о серии инцидентов с кражей средств у пользователей Trust Wallet. По его данным, в течение нескольких часов были зафиксированы многочисленные случаи опустошения кошельков, включая адреса в сетях EVM, Bitcoin и Solana. ZachXBT опубликовал список адресов, на которые, предположительно, переводились украденные средства. В него вошли адреса в сетях Ethereum (EVM), Bitcoin и Solana. Исследователь призвал пострадавших пользователей связаться с ним напрямую для верификации новых адресов, связанных с кражами. Позже команда Trust Wallet официально подтвердила наличие инцидента безопасности. Согласно заявлению компании, проблема затрагивает только браузерное расширение Trust Wallet версии 2.68. Пользователям этой...

Пользователи сети выявили поддельный домен, который выдавал себя за официальный ресурс MAS (Microsoft Activation Scripts) — инструмента проекта Massgrave, предназначенного для активации продуктов Microsoft. Злоумышленники использовали этот домен для распространения вредоносных PowerShell-скриптов. В результате на компьютеры с Windows устанавливался загрузчик вредоносного ПО под названием Cosmali Loader. Как сообщает издание Bleeping Computer, на текущей неделе участники Reddit начали делиться сообщениями о необычных всплывающих окнах, появлявшихся в системе. Уведомления утверждали, что компьютер заражён Cosmali Loader, а причиной заражения якобы стала ошибка в адресе при вводе команды для активации Windows. В одном из случаев...

В популярной NoSQL‑базе данных MongoDB Server обнаружена и закрыта критическая уязвимость, связанная с обработкой сжатого трафика через библиотеку zlib. Проблема получила идентификатор CVE‑2025‑14847 и позволяет неаутентифицированному злоумышленнику прочитать неинициализированную память сервера (heap memory) через специально сформированные сетевые запросы. Специалисты предупреждают, что такие утечки памяти могут в теории привести к раскрытию внутренних данных сервера — включая фрагменты ранее обработанных сообщений, ключи, служебную информацию или другие чувствительные данные, которые не должны были быть отправлены клиенту. Проблема затрагивает широкий диапазон релизов MongoDB, в том числе: Серии 3.6, 4.0, 4.2, 4.4.x (до 4.4.29)...

Проект Anna’s Archive сообщил о создании масштабного открытого архива музыки Spotify, который, по утверждению авторов, охватывает практически весь каталог стримингового сервиса. Архив распространяется через BitTorrent и включает около 256 млн треков в виде метаданных и порядка 86 млн аудиофайлов, общий объем которых составляет чуть менее 300 ТБ. В опубликованном на сайте проекта материале говорится, что выгрузка данных велась в течение продолжительного времени с использованием масштабируемого скрейпинга Spotify. В результате, по оценке Anna’s Archive, удалось собрать метаданные примерно по 99,9% треков сервиса, а сами аудиофайлы охватывают около 99,6% всех прослушиваний на платформе. Данные сгруппированы по популярности, что позволило...

Google объявила о прекращении поддержки инструмента отчета о пользовательских данных в даркнете, который позволял отслеживать, не попала ли личная информация пользователя в нелегальные базы данных. С 15 января 2026 года в отчете перестанут появляться сведения о новых утечках, а с 16 февраля 2026 года инструмент будет полностью отключён, а все связанные с ним данные — удалены. В компании пояснили, что отчет предоставлял лишь обобщённую информацию и, по отзывам пользователей, не давал достаточного понимания дальнейших действий. В связи с этим Google решила сосредоточиться на развитии инструментов, которые предлагают более конкретные и практичные рекомендации по защите персональных данных в интернете. При этом Google подчёркивает, что...

Google обновила стабильную ветку браузера Chrome до версии 143.0.7499.109/.110 для Windows и macOS и 143.0.7499.109 для Linux. Распространение обновления будет происходить поэтапно в течение ближайших дней и недель. Полный список изменений доступен в журнале разработчиков. Исправления безопасности В новой версии устранены три уязвимости. Google традиционно ограничивает доступ к подробностям, пока большинство пользователей не установит обновление или если проблема затрагивает сторонние библиотеки. Выделены следующие исправления, найденные внешними исследователями: CVE-2025-14372 (Medium) — Use-after-free в Password Manager. Ошибка обнаружена исследователем Weipeng Jiang (@Krace) из VRI (14 ноября 2025 года). Награда: $2000...

Роскомнадзор сообщил о блокировке видеосервиса FaceTime и мессенджера Snapchat, заявив, что эти платформы используются для координации террористической деятельности, вербовки исполнителей преступлений и совершения мошенничества в отношении российских граждан. В опубликованном в четверг заявлении ведомство утверждает: "По данным правоохранительных органов, сервис FaceTime используется для организации и осуществления террористических актов в стране, вербовки их исполнителей, совершения мошеннических и иных преступлений против наших граждан". При этом о блокировке Snapchat Роскомнадзор официально объявил только сейчас, хотя ограничение было введено ещё 10 октября "в соответствии с правилами централизованного управления сетью связи общего...