Новости информационной безопасности

Специалисты Silent Push заметили новую фишинговую кампанию, направленную на игроков Counter-Strike 2. Мошенники используют атаки browser-in-the-browser, которые отображают реалистично выглядящее окно, имитирующее страницу входа в Steam. В своих атаках злоумышленники маскируются под известную киберспортивную команду Navi, чтобы привлечь внимание ее поклонников и придать фишинговой странице видимую легитимность за счет использования известного бренда. Хакеры используют фишинговую технику browser-in-the-browser («браузер в браузере»), из-за чего фейки практически невозможно отличить от оригинальных страниц. Впервые эту технику еще в 2022 году описал ИБ-исследователь, известный под псевдонимом mr.d0x. Тогда специалист продемонстрировал...

Известный ИБ-эксперт и основатель агрегатора утечек Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что стал жертвой фишинговой атаки. Злоумышленники получили доступ к списку рассылки в Mailchimp и данным 16 000 человек. По словам Ханта, все участники скомпрометированного списка рассылки вскоре получат уведомления и письма с извинениями. Причем около половины записей (7535 из 16 000) принадлежат людям, которые уже отписались от рассылки. Хант пишет, что не знает, по какой причине Mailchimp сохраняет данные об отписавшихся пользователях, и обещает выяснить, не было ли проблем с конфигурацией на его стороне. Хант принес пользователям извинения и сообщил, что «очень расстроен тем, что попался на эту удочку». По его словам, фишинговая...

Компания F6, в марте этого года зафиксировала новый сценарий онлайн-мошенничества со знакомствами, в котором приманкой служит бесплатное посещение салона красоты. Скамеры отправляют девушкам «подарочный промокод» и ссылку на онлайн-запись, но в итоге получают контроль над смартфоном: угроза распространяется как на Android-устройства, так и на iPhone. Только за одну неделю от действий мошеннической группы, которая использует эту схему, пострадали более 190 пользователей, у которых злоумышленники похитили 2,7 млн рублей. Аватарка мечты В отличие от классической схемы Fake Date, в которой злоумышленники действуют под масками привлекательных женщин, в новом сценарии скамеры изображают успешных мужчин, обычно в возрасте 30-35 лет. Для...

Один вредоносный SCF-файл ставит на кон всю систему жертвы. Новая уязвимость нулевого дня в Windows позволяет злоумышленникам похищать NTLM-хэши пользователей, просто заставив их открыть вредоносный файл в проводнике. Обнаруженная специалистами ACROS Security ошибка пока не получила официального идентификатора CVE, но уже признана опасной — она затрагивает все версии Windows, начиная с Windows 7 и заканчивая последними сборками Windows 11, а также серверные выпуски от Server 2008 R2 до Server 2025. Суть уязвимости заключается в возможности организовать утечку NTLM-учётных данных, если пользователь просто просмотрит папку, в которой находится специально созданный SCF-файл. Так, при открытии флешки, сетевой папки или даже локального...

Исследователи Akamai предупреждают о попадании критической уязвимости в фреймворке разработки приложений Next.js под прицел хакеров. Первые попытки эксплуатации критически важной уязвимости в Next.js были зафиксированы менее чем через неделю после выпуска исправлений. Речь идет о CVE-2025-29927 (CVSS 9,1), которая была публично раскрыта 21 марта, через неделю после того, как были выпущены исправления в версиях Next.js 15.2.3 и 14.2.25. Исправления также были включены в версии 13.5.9 и 12.3.5, которые появились на выходных. Next.js использует промежуточное ПО для обработки HTTP-запросов, которое также отвечает за аутентификацию, авторизацию и установку заголовков безопасности, а внутренний заголовок x-middleware-subrequest...

Волна массовых перезагрузок маршрутизаторов DrayTek по всему миру может быть связана с эксплуатацией уязвимости. Пользователи по всему миру жалуются на то, что маршрутизаторы тайваньского производителя сетевого оборудования стали периодически уходить в перезагрузку, что приводит к проблемам с подключениями. Больше всего сообщений поступает из Великобритании и Австралии, но также инциденты фиксируются в Германии, Вьетнаме и других странах, затрагивая при этом различные модели маршрутизаторов. Как отмечают в ISPreview, проблема остро коснулась провайдеров ШПД в Великобритании, которые сообщают о серьезных сбоях с подключением клиентов из-за постоянных перезагрузок устройств DrayTek. В свою очередь, DrayTek уклоняется от комментариев...

На хакерский форум выложен на продажу солидный массив данных, якобы угнанных из серверов корпорации Oracle. Косвенные признаки свидетельствуют о том, что какой-то взлом действительно имел место, но вендор это отрицает. Шипованный стебель Некий хакер под никнеймом rose87168 опубликовал большое количество текстовых файлов, содержимое которых якобы украдено с серверов авторизации Oracle Cloud. В самой корпорации Oracle это отрицают. В текстовых файлах, опубликованных хакером, содержится фрагмент базы данных, сведения LDAP (протокола авторизации Lightweight directory access protocol), а также список компаний, чьи токены SSO (схемы единой авторизации) якобы украдены из платформы в Oracle Cloud. В качестве доказательства доступа к серверам...

В середине марта 2025 года технологии «Лаборатории Касперского» распознали волну заражений ранее неизвестным сложным вредоносным ПО. Заражение происходило сразу после того, как жертва открывала ссылку из фишингового письма в браузере Google Chrome. При этом никаких дополнительных действий от нее не требовалось. Все вредоносные ссылки были персонализированы и имели очень короткий срок жизни, однако технологии «Лаборатории Касперского» по обнаружению и защите от эксплойтов смогли идентифицировать эксплойт нулевого дня, который использовался для побега из песочницы Google Chrome. Мы быстро проанализировали код эксплойта, восстановили логику его работы и убедились, что эксплойт основан на уязвимости нулевого дня (присутствующей в том числе...

VMware выпустила срочное исправление для уязвимости обхода аутентификации, влияющей на его набор утилит VMware Tools for Windows. Это набор утилит и драйверов, который повышает производительность и управляемость виртуальных машин, обеспечивая такие функции, как улучшенная графика, интеграция мыши и синхронизация времени между хостовой и гостевой операционными системами. Закрытая уязвимость отслеживается как CVE-2025-22230 и позволяет злоумышленнику с неадминистративными привилегиями на гостевой виртуальной машине Windows выполнять определенные высокопривилегированные операции в этой виртуальной машине. Согласно бюллетеню VMware, ошибка обхода аутентификации вызвана ненадлежащим контролем доступа и имеет оценку серьезности CVSS...

Компания Keenetic Limited сообщила, что данные пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года, могли быть скомпрометированы из-за несанкционированного доступа к базе данных. Хронология событий 15 марта 2023 года независимый исследователь в области ИБ уведомил Keenetic о потенциальном несанкционированном доступе. Уязвимость была устранена в тот же день, а исследователь заверил, что данные не передавались третьим лицам и были удалены. Однако 28 февраля 2025 года стало известно, что часть информации была передана независимому СМИ. Это означает, что компания не может гарантировать полное уничтожение данных, и некоторая информация могла оказаться вне её контроля. Какие данные "могли утечь" Возможный доступ...

Киберпреступники используют сервис Microsoft Trusted Signing для подписания вредоносных исполняемых файлов, используя краткосрочные сертификаты сроком действия всего три дня. Как злоумышленники используют Trusted Signing? Подписанное вредоносное ПО воспринимается системой безопасности как легитимное, что позволяет: Обходить фильтры безопасности, которые блокируют неподписанные файлы. Повышать уровень доверия к файлам за счёт сертификатов. Особенно ценными для атакующих считаются EV-сертификаты (Extended Validation), так как они: Получают дополнительное доверие в SmartScreen. Помогают избежать предупреждений при запуске неизвестных файлов. Но получить EV-сертификаты сложно, так как они требуют либо: Кражи у легитимных компаний...

В мессенджере WhatsApp исправили уязвимость нулевого дня, которая использовалась для установки шпионского ПО Graphite компании Paragon. Израильский разработчик шпионского ПО Paragon Solutions Ltd. был основан в 2019 году. По данным СМИ, в декабре 2024 года компанию поглотила инвестиционная группа AE Industrial Partners из Флориды. В отличие от своих конкурентов (таких как NSO Group), Paragon утверждает, что продает свои инструменты для наблюдения только правоохранительным и разведывательным органам демократических стран, которым требуется отслеживать опасных преступников. 31 января 2025 года, после устранения zero-click уязвимости, представители WhatsApp уведомили примерно 90 пользователей Android из 20 стран мира (включая...

Operation Zero, компания, которая приобретает и продает уязвимости нулевого дня (zero-day) исключительно российскому правительству и локальным российским компаниям, объявила в четверг, что ищет эксплойты для популярного мессенджера Telegram и готова предложить за них до $4 миллионов. Брокер эксплойтов предлагает до $500 000 за эксплойт удаленного выполнения кода (RCE) типа "one-click" (требующий одного клика); до $1,5 миллиона за RCE-эксплойт типа "zero-click" (не требующий взаимодействия с пользователем); и до $4 миллионов за полную цепочку эксплойтов ("full chain"), предположительно имея в виду серию уязвимостей, которые позволяют хакерам получить доступ не только к Telegram жертвы, но и ко всей операционной системе или устройству...

Госдума обсуждает неожиданное предложение – включать пострадавших от мошенников в специальную базу данных, что затруднит им переводы и оформление кредитов. По мнению депутата Анатолия Аксакова, если человек хоть раз попался на уловки аферистов, есть высокая вероятность, что это повторится. Поэтому ему будет сложнее совершать финансовые операции – банки начнут проводить дополнительные проверки, а переводы могут задерживаться на 30 минут или дольше. Предполагается, что ФинЦЕРТ будет фиксировать «доверчивых клиентов», чтобы защитить их от дальнейших махинаций. Однако критики уже называют идею спорной: пострадавших фактически наказывают за то, что они стали жертвами. Некоторые эксперты опасаются, что отсутствие четких критериев приведет к...

Киберпреступники больше не ломают пароли вручную – теперь за них это делает фишинг на заказ (PhaaS). Лидером среди атакующих платформ стал Tycoon 2FA, захвативший 89% рынка. Этот сервис позволяет любому новичку красть логины и пароли с минимальными усилиями. Вместо сложных хакерских техник – готовые решения: вредоносные скрипты маскируются с помощью шифра Цезаря и невидимых символов Unicode, а украденные данные передаются прямо в Telegram. Помимо Tycoon 2FA, активны еще два сервиса – EvilProxy и Sneaky 2FA. EvilProxy использует обратный прокси, обманывая даже опытных пользователей: жертва вводит пароль на поддельной странице, а преступники тут же получают доступ к аккаунту. Sneaky 2FA специализируется на взломе Microsoft 365 – его...

Италия усиливает борьбу с пиратством, и теперь Google попал под удар. Суд в Милане приказал компании начать «отравлять» свои общедоступные DNS-серверы, чтобы заблокировать сайты, которые незаконно показывают футбольные матчи. Это часть строгого закона, который заставляет интернет-компании быстро закрывать доступ к пиратским трансляциям. «Отравление DNS» — это когда меняют адреса сайтов в своей системе так, чтобы люди попадали не на пиратский сайт, а, например, на пустую страницу. Итальянский регулятор AGCOM уже давно требовал от Google блокировать такие сайты за 30 минут, но компания не торопилась это делать. Суд решил, что это нарушение, и теперь Google может грозить штраф до 10 тысяч евро в день, если они не подчинятся. Раньше...

Сам по себе сценарий не нов. Но раньше злоумышленники использовали фото певцов или блогеров. Сейчас же впервые аналитики F6 зафиксировали схему с неправомерным использованием образов популярных актеров. Рекламу со знаменитостью мошенники публикуют в интернете — продвигают розыгрыши или лотереи. Переходя по ссылке, жертва попадает на ресурс, где ей предлагают открывать коробочки с призами. Обычно первые две попытки безуспешны, а на третий раз выпадает денежный выигрыш в валюте. Вот что происходит дальше. 〰️Чтобы получить деньги, жертва должна ввести данные карты. 〰️Сайт выдает ошибку отправки, объясняя это необходимостью конвертации валюты, которая обойдется в определенную сумму. 〰️Каждый раз у жертвы запрашивают новые платежи для...

Valve убрала из Steam демо-версию игры под названием Sniper: Phantom’s Resolution после жалоб игроков. Пользователи заметили, что бесплатная пробная версия, которую можно было скачать на Steam, заражала компьютеры вредоносной программой. Это уже второй случай за последние два месяца, когда Valve приходится удалять игры из-за таких проблем. © Valve Sniper: Phantom’s Resolution обещала игрокам «реалистичный шутер от первого лица с динамичным сюжетом и опасными миссиями», но вместо этого демо-версия оказалась ловушкой. Игроки на Reddit первыми забили тревогу, обнаружив подозрительные файлы после установки. Valve быстро отреагировала и убрала игру из магазина. В прошлом месяце похожая история случилась с игрой PirateFi — она тоже...

Производитель роутеров Keenetic Limited предупредил пользователей мобильного приложения Keenetic, зарегистрировавшихся до 16 марта 2023 года, о взломе базы данных, в связи с чем сторонние лица могли получить доступ к их персональной информации. Источник изображения: Keenetic В 2023 году 15 марта в Keenetic поступило сообщение независимого исследователя по ИТ-безопасности о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic, после чего в тот же день проблема была устранена. Исследователь по ИТ-безопасности заверил компанию, что данные о взломе он никому не передавал и уничтожил их. И до конца февраля 2025 года не было никаких признаков того, что база была скомпрометирована или кто-либо пользователь...

Злоумышленники распространяют скрытый майнер через несколько сайтов, предлагающих ознакомиться с литературными произведениями. В их числе — ресурсы, внешне похожие на известную некоммерческую пиратскую библиотеку. Ссылки на эти сайты появляются среди первых результатов поисковой выдачи. Схему выявили специалисты Kaspersky GReAT — подразделения «Лаборатории Касперского», занимающегося исследованием киберугроз. По их данным, атаки майнера с середины февраля 2025 года были заблокированы более чем на тысяче компьютеров в России, однако реальное количество пострадавших может быть значительно выше. На ряде сайтов с бесплатными фрагментами электронных книг эксперты обнаружили вредоносный скрипт, перехватывающий пароли, которые пользователи...