Новости информационной безопасности

Исследователи наткнулись на очередной пример коммерческого сталкерского софта для Android, который не только мастерски скрывается на устройствах, но и делает процесс удаления почти невозможным, требуя от пользователя специальный пароль. Приложение маскируется под стандартные системные настройки, скрывая свою иконку на главном экране и используя функции Android, предназначенные для администрирования устройств и наложения окон. Оно запрашивает разрешение на «наложение окон поверх других приложений», а затем блокирует попытки удаления, выводя всплывающее окно с запросом пароля, который использовался при установке приложения. При попытке деактивировать или удалить программу через системные настройки, жертва сталкивается с запросом...

В России зафиксировали новую схему атак на клиентов банков. Всё происходит почти незаметно: человек устанавливает безобидное на вид приложение, а в результате — теряет контроль над телефоном, а иногда и деньгами. Всё дело в связке двух вредоносных программ — CraxsRAT и NFCGate. По данным специалистов по кибербезопасности из компании F6, в марте 2025 года в России уже больше 180 тысяч смартфонов оказались заражены этими двумя программами. И это не просто случайности — за схемой стоит продуманный подход: одна программа помогает установить другую, и вместе они превращают смартфон в удобный инструмент для кражи денег. CraxsRAT — это троян, который проникает на телефон под видом обычного приложения: фотоархива, документа, обновления...

Когда простой офисный принтер превращается в потайную дверь для хакеров. Исследователи из команды Microsoft MORSE, занимающейся наступательной безопасностью, сообщили Canon о критической уязвимости , обнаруженной в драйверах для принтеров. Под угрозой оказались устройства, используемые как в офисной, так и в производственной среде. Canon признала проблему и выпустила предупреждение для пользователей. Уязвимость отслеживается под идентификатором CVE-2025-1268 и получила высокий балл по шкале CVSS — 9.4. Она связана с обработкой EMF-файлов в ряде драйверов, включая Generic Plus PCL6, UFR II, LIPS4, LIPSXL и PS. Проблема затрагивает версии драйверов 3.12 и более ранние. Ошибка представляет собой выход за границы допустимой памяти, что...

В архиваторе WinRAR обнаружена уязвимость , позволяющая обойти механизм безопасности Windows «Mark of the Web» (MotW), что могло привести к выполнению вредоносного кода. Об этом сообщил координационный центр JPCERT/CC после анализа компании Mitsui Bussan Secure Directions. Проблема затронула версии WinRAR до 7.11. Суть уязвимости заключалась в том, что при открытии символической ссылки на исполняемый файл в системе Windows не срабатывало стандартное предупреждение о запуске загруженного из интернета файла. В обычных условиях Windows помечает файлы, полученные из ненадёжных источников, специальным флагом, который активирует предупреждение о потенциальной опасности. Однако при использовании символической ссылки эта проверка обходилась...

Специалисты Group-IB опубликовали отчет о деятельности вымогательской хак-группы Hunters International. Хакеры считают, что использование шифровальщиков стало слишком рискованным, и меняют тактику. По данным аналитиков Group-IB, в настоящее время руководство группировки готовит новый проект, который будет направлен исключительно на вымогательство и кражу данных. Однако старая группировка тоже по-прежнему активна. Исследователи обратили внимание, что еще в ноябре прошлого года руководство Hunters International объявило своей команде о закрытии проекта, сообщив, что «ребрендинг» в World Leaks уже идет полным ходом. Группа World Leaks запустила сайт в даркнете 1 января текущего года и сосредоточена исключительно на краже информации, то...

800 сотрудников получили вредоносные ZIP-архивы от хакеров. В марте 2025 года группа Head Mare провела серию целевых атак на российские промышленные предприятия, о чём сообщила «Лаборатория Касперского». По её данным, рассылку с вредоносным вложением получили более 800 сотрудников из примерно 100 организаций. Среди пострадавших оказались компании, занятые в приборостроении и машиностроении. Атака осуществлялась через электронные письма, которые приходили от имени некоего секретариата. В письмах содержалась просьба подтвердить получение информации и ознакомиться с вложенной «заявкой», представленной в виде ZIP-архива. Открытие архива приводило к запуску вредоносного файла, маскирующегося под официальный документ с запросом на ремонт...

ИБ-специалисты сорвали планы крупнейших киберпреступников. Специалисты Resecurity нашли уязвимость на даркнет-сайте группировки BlackLock и взломали инфраструктуру злоумышленников. Действия аналитиков привели к фактическому краху группировки. Группа BlackLock (также известная как El Dorado) стремительно набирала силу на киберпреступной арене с весны 2024 года и к концу года уже входила в десятку самых активных вымогателей. Уязвимость на сайте BlackLock оказалась критической — ошибка Local File Include позволила посторонним получить доступ к скрытым внутренним файлам сервера. С помощью ошибки исследователи получили данные о конфигурации, логах, SSH-доступе, истории команд и другим чувствительным элементам управления. Одним из...

Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App. RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp. Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации. Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208. Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk...

Разработчики CrushFTP предупреждают клиентов о критической уязвимости неавторизованного доступа к порту HTTP(S) и призывают немедленно установить исправления на серверы. Свежая уязвимость получила идентификатор CVE-2025-2825 и позволяет злоумышленникам получить неавторизованный доступ к уязвимым серверам, если те доступны через интернет по протоколу HTTP(S). При этом специалисты Rapid7 обратили внимание, что хотя в письме говорится о том, что уязвимость затрагивает только версии CrushFTP v11, в выпущенном в тот же день бюллетене безопасности уязвимыми названы CrushFTP v10 и v11. Всем, кто по какой-то причине не может немедленно обновить CrushFTP до версий 10.8.4+ и 11.3.1+, рекомендуется включить DMZ, чтобы защитить свой CrushFTP до...

Исследователи выявили платформу Morphing Meerkat, предоставляющую услуги фишинга как сервиса. Она маскируется с помощью DNS-over-HTTPS и подделывает страницы входа для 114 сервисов, включая Gmail и Outlook, избегая обнаружения стандартными средствами Исследователи выявили новую операцию типа «фишинг как услуга» (phishing-as-a-service, PhaaS), которая получила название Morphing Meerkat. Злоумышленники используют протокол DNS over HTTPS (DoH), чтобы обойти системы обнаружения. Платформа использует DNS-записи обмена электронной почтой (MX) для определения почтового провайдера жертвы и динамической подгрузки поддельных страниц входа более чем для 114 почтовых провайдеров. Платформа Morphing Meerkat активна как минимум с 2020 года. Ее...

Национальный киберщит США ослабевает под натиском растущего числа атак. Национальная база данных уязвимостей США (NVD) продолжает сталкиваться с нарастающими трудностями — несмотря на усилия по восстановлению прежнего темпа обработки информации, отставание от графика публикации записей об уязвимостях (CVE) продолжает увеличиваться. Об этом говорится в последней сводке новостей Национального института стандартов и технологий США (NIST), опубликованной 19 марта 2025 года. По информации института, на текущий момент CVE обрабатываются в объёмах, сопоставимых с теми, что фиксировались до весенне-летнего спада 2024 года. Однако сам объём новых уязвимостей за 2024 год вырос на 32%, и прежние темпы обработки уже не справляются с нагрузкой...

Вредонос написан на С++ и работает в ОС Windows, Linux, BSD, ARM. В Сети появилась новая программа-шифровальщик, действующая по RaaS-системе. Причем авторы вредоносного кода запрещают её использовать на жертвах из СНГ. Профильные специалисты фирм Cyfimra и Check Point Research провели расследование и опубликовали результаты, в которых указано, что создатели VanHelsing являются членами русскоязычной хакерской группы. Сама программа, чей код написан на языке C++, кроссплатформенная, выполняющая свое отрицательное действие в ОС Windows, Linux, BSD, ARM. Первые атаки с использованием шифровальщика были проведены 16 марта. Для использования софта-вредоноса от хакеров необходимо согласие на 20% комиссию в случае успешности атаки. Эта сумма...

Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz. Источник изображения: threatlabz.zscaler.com Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader...

Особо опасный картель, который прятался в зашифрованных сетях, разоблачен. В Ирландии и Испании полиция накрыла крупную преступную группировку благодаря взлому зашифрованного мессенджера Ghost. Шестерых подозреваемых взяли в Ирландии, еще шестерых – на испанской территории. Банда, которую органы классифицировали как особо опасную, наладила поставки кокаина и марихуаны из Испании на острова. Они маскировали груз в специальных отсеках автомобилей, на которые устанавливали клонированные номерные знаки. По данным Европола, который поддерживал расследование, свои следы в цифровом пространстве преступники заметали очень тщательно: применяли сложные схемы шифрования и распределяли общение между разными платформами. "Изощренность их...

От фишинга до кредитов: как мошенники превращали смартфоны в ловушку. Сотрудники управления по борьбе с киберпреступностью МВД России совместно с полицейскими из Саратовской, Тульской и Ульяновской областей пресекли деятельность по созданию и распространению вредоносного программного обеспечения. Об этом сообщила официальный представитель МВД России Ирина Волк в своем Telegram-канале. По предварительным данным, трое жителей Саратова подозреваются в разработке и распространении вредоносной программы под названием «Мамонт». Это ПО распространялось через Telegram-каналы под видом безопасных мобильных приложений и видеофайлов. После установки на устройство оно позволяло получить доступ к смс-банкингу и переводить денежные средства с...

Группировка RedCurl, обычно специализирующаяся на скрытом корпоративном шпионаже, начала использовать шифровальщик QWCrypt, предназначенный для атак на виртуальные машины Hyper-V. Впервые русскоязычная хак-группа RedCurl была обнаружена специалистами Group-IB в 2020 году. Исследователи писали, что группировка активна как минимум с 2018 года, и уже тогда злоумышленники совершили ряд целевых атак на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации. Жертвы группировки находились в России, Украине, Великобритании, Германии, Канаде и Норвегии, но в прошлом году стало известно, что RedCurl расширила географию своих...

Аналитики Solar 4RAYS ГК «Солар» предупредили, что одна из самых активных группировок последних лет, Shedding Zmiy, стала использовать в атаках руткт Puma, целью которого является перехват управления атакованной системой. За счет сложных механизмов заражения присутствие Puma практически невозможно обнаружить. Первую атаку Shedding Zmiy с использованием этого инструмента эксперты обнаружили в конце 2024 года, оказывая помощь в расследовании инцидента. Жертвой злоумышленников стала неназванная российская ИТ-компания, в сети которой злоумышленники находились почти 1,5 года. Расследование инцидента началось с того, что служба безопасности атакованной компании заметила подозрительные обращения к сторонним серверам из корпоративной сети...

ИБ-компания Resecurity сообщила, что ее специалисты взломали инфраструктуру вымогательской группировки BlackLock и передали все собранные данные властям, которые использовали эту информацию для помощи жертвам хакеров. Исследователи Resecurity рассказали, что они приняли непосредственное участие в ликвидации сайта группировки BlackLock, которая произошла на прошлой неделе. Дело в том, что эксперты обнаружили и эксплуатировали уязвимость на onion-сайте, который злоумышленники использовали для слива данных своих жертв. По состоянию на 10 февраля 2025 года было выявлено 46 жертв BlackLock, в число которых вошли организации из разных сегментов экономики, включая: электронику, научные круги, религиозные организации, оборонные предприятия...

Mozilla выпустила Firefox 136.0.4 для устранения критической уязвимости (CVE-2025-2857), позволяющей атакующим обойти песочницу браузера в Windows. Что известно об уязвимости? Ошибка связана с неправильной обработкой дескрипторов, что может привести к утечке привилегий из главного процесса браузера в дочерние. Уязвимость обнаружил разработчик Mozilla Эндрю МакКрайт. Затрагивает стандартную и ESR-версии (долгосрочная поддержка) Firefox. Исправлено в: Firefox 136.0.4 Firefox ESR 115.21.1 и 128.8.1 Mozilla не раскрыла технических подробностей, но сравнила CVE-2025-2857 с недавним Chrome zero-day (CVE-2025-2783), который активно использовался хакерами. Аналогичная уязвимость в Chrome использовалась в кибератаках Исследователи...

Несмотря на отрицание Oracle касательно взлома серверов Oracle Cloud SSO и утечки данных 6 миллионов пользователей, BleepingComputer подтвердил подлинность слитых данных, связавшись с несколькими компаниями, чьи учетные записи оказались в утечке. Что произошло? На прошлой неделе хакер под ником rose87168 заявил о взломе серверов Oracle Cloud и выставил на продажу: Данные аутентификации 6 миллионов пользователей. Зашифрованные пароли для SSO и LDAP. Список из 140 621 домена компаний и госорганизаций, якобы пострадавших от утечки. Некоторые домены выглядели тестовыми, но в целом база данных содержала реальные рабочие учетные записи. Oracle отрицает утечку Oracle заявила, что никакого взлома не было, а опубликованные учетные данные не...