Новости информационной безопасности

Какие уловки используют киберпреступники 8 марта и как на них не попасться. Перед 8 марта и в сам Международный женский день регулярно профильными ресурсами и правоохранительными органами отмечается стабильный рост активности сетевого фишинга, как и иная деятельность онлайн-мошенников. Но с наступлением 2025 года подобного рода действия продемонстрировали рекордный рост: так почти в 2 раза стало больше фишинговых ресурсов и иных сайтов-обманок при сравнении с 2024 годом. В прошлом году защитные алгоритмы программной платформы «МегаФона» обнаружили появление 17 тыс. доменов в период действия новогодних выходных, 23 февраля и 8 марта. В первый месяц нового года общее число фишинговых порталов перевалило за рубеж 30 тыс. единиц...

Разработанная специалистами SquareX Labs полиморфная атака позволяет вредоносным расширениям для Chrome трансформироваться в другие расширения, включая менеджеры паролей, криптовалютные кошельки и банковские приложения, а затем похищать конфиденциальную информацию. Исследователи предупреждают, что такую атаку можно реализовать даже в последней версии Chrome, и они уже уведомили о проблеме разработчиков Google. Атака начинается с размещения вредоносного полиморфного расширения в Chrome Web Store. В качестве примера исследователи использовали маркетинговый ИИ-инструмент, который действительно предоставлял заявленную функциональность, но обманом заставлял жертву установить и закрепить расширение в своем браузере. Чтобы получить список...

Мартовские обновления устраняют три уязвимости, которые уже применялись в реальных кибератаках. «Баги» позволяют выходить за пределы виртуальных машин и атаковать гипервизор С пометкой «срочно» Broadcom 4 марта 2025 г. выпустил экстренные обновления для всех версий VMware ESX и настоятельной рекомендацией установить их как можно скорее. Обновления устраняют ряд уязвимостей, которые затрагивают пакеты VMware ESX, VMware vSphere, VMware Cloud Foundation и VMware Telco Cloud Platform. Речь главным образом идет о трех уязвимостях, получивших оценки CVSS в диапазоне от 7,1 до 9,3 баллов. К критическому спектру относится только первая из этих уязвимостей - CVE-2025-22224, эксплуатация которой позволяет вызвать состояние переполнения кучи...

Исследователи выявили эксплойт, связанный с уязвимостью CVE-2024-7014, в котором злоумышленники используют Telegram API для распространения вредоносного кода. Файл с расширением ".htm" маскируется под видео, а при попытке его открытия выполняется вредоносный JavaScript-код. Технические детали Evilloader – это загрузчик, позволяющий атакующим скачивать и исполнять дополнительные вредоносные файлы на устройствах жертв. В обновленной версии этого модуля усилены механизмы противодействия анализу. В данном сценарии вредоносная HTML-страница сначала перенаправляет жертву на фальшивую страницу загрузки "Play Protect", затем отправляет ее IP-адрес атакующему. Описание уязвимости Основной причиной проблемы является то, что файлы с расширением...

Google выпустила исправления для 43 уязвимостей в обновлении безопасности для Android за март 2025 года, включая две 0-day, которые использовались в целевых атаках. Одна из них, уязвимость высокой степени серьезности, которая отслеживается как CVE-2024-50302 и приводит к раскрытию информации в драйвере ядра Linux, задействовалась спецслужбами Сербии для разблокировки изъятых в ходе обыска устройств. Уязвимость была использована в составе цепочки эксплойтов для Android, разработанной израильской компанией в сфере цифровой криминалистики Cellebrite. Цепочка эксплойтов, которая также включает 0-day (CVE-2024-53104), исправленную в прошлом месяце, была обнаружена Amnesty International в середине 2024 года в результате анализа логов...

Исследователь обнаружил утечку данных, связанных со сталкерским приложением Spyzie, которое установлено более чем на 500 000 Android-устройств и по меньшей мере 4900 iPhone и iPad. Большинство владельцев взломанных устройств, скорее всего, даже не знают о том, что они скомпрометированы. Анонимный ИБ-исследователь сообщил изданию TechCrunch, что приложение Spyzie уязвимо перед той же проблемой, которую в прошлом месяце обнаружили в Cocospy и Spyic. Эти два почти идентичных сталкерских приложения, ищеющих одинаковый исходный код и «сливающих» данные о более 2 млн человек. Баг позволяет любому желающему получить доступ к информации со взломанных телефонов, включая сообщения, фотографии и данные о местоположении. В случае Spyzie...

Эксперты Netskope обнаружили 260 уникальных доменов, на которых размещено около 5000 PDF-файлов с фишинговыми страницами. В отчёте компании отмечается, что атакующие применяют SEO-оптимизацию для повышения видимости вредоносных страниц в поисковой выдаче. Обычно фишинговые страницы предназначены для кражи данных банковских карт, однако в выявленной вредоносной кампании PDF-файлы содержат поддельные CAPTCHA, которые побуждают пользователей выполнить вредоносные PowerShell-команды. В результате на их устройства загружается Lumma Stealer — инфостилер, способный похищать широкий спектр данных с заражённых Windows-компьютеров. Lumma Stealer функционирует по модели «вредоносное ПО как услуга» (MaaS), предоставляя киберпреступникам...

Microsoft предупреждает о пяти уязвимостях драйвера Paragon Partition Manager BioNTdrv.sys, одна из которых использовалась в качестве 0-day бандами вымогателей в атаках BYOVD для получения привилегий SYSTEM в Windows. Драйвер Biontdrv.sys является частью Hard Disk Manager и других решений, которые на нем основаны, включая такие как Paragon Partition Manager и Backup and Recovery. Среди отслеживаемых проблем: произвольная запись в память ядра (CVE-2025-0288), разыменование нулевого указателя (CVE-2025-0287), произвольная запись в память ядра (CVE-2025-0286), произвольное отображение памяти ядра (CVE-2025-0285) и небезопасный доступ к ресурсам ядра (CVE-2025-0289). Согласно заявлению CERT/CC, злоумышленник, имеющий локальный доступ к...

Аналитики департамента киберразведки F6 Threat Intelligence выявили в даркнете очередную партнерскую программу под названием Anubis. На первый взгляд она напоминает распространенные схемы распространения шифровальщиков по модели Ransomware as a Service (RaaS), однако среди предложений, специалисты F6 обнаружили необычную бизнес-модель, ранее не встречавшуюся под названием Data Ransom. В качестве услуги Data Ransom впервые предлагается уже не сам вирусный софт, а шантаж. Новые схемы сотрудничества Эксперты департамента киберразведки Threat Intelligence компании F6 зафиксировали в даркнете новую партнерскую программу Anubis, об этом CNews сообщили представители F6. Хоть и на первый взгляд партнерская программа напоминает...

Легитимный инструмент превратился в ключевой элемент вредоносных кампаний. Киберпреступники активно используют уязвимый драйвер Windows из защитных продуктов Adlice, чтобы обходить механизмы безопасности и распространять вредоносное ПО Gh0st RAT. По данным Check Point, атакующие модифицировали части исполняемого файла версии 2.0.2 драйвера, сохранив его цифровую подпись, что позволяло обходить методы обнаружения. Эксперты выявили тысячи вредоносных образцов, использующих технику BYOVD, чтобы отключать программные средства защиты. На VirusTotal зарегистрировано уже больше 2500 вариантов уязвимой версии 2.0.2 драйвера RogueKiller Antirootkit (truesight.sys), однако реальная цифра может быть ещё выше. Первый образец, выполняющий функции...

Компания Mozilla столкнулась с волной критики со стороны пользователей после того, как изменила свои принципы, связанные с защитой от рекламы. Ранее Mozilla обещала, что ее браузеры, включая Firefox, никогда не будут показывать рекламу и будут активно защищать пользователей от сторонних рекламодателей. Однако недавние изменения в политике привели к тому, что это обещание было отозвано, что вызвало бурю недовольства среди сообщества. Пользователи выражают разочарование, заявляя, что Mozilla больше не является "хорошим парнем" в мире технологий. Многие, в том числе давние пользователи Firefox, напоминают, что именно это обещание стало основным фактором для выбора браузера. Комментарии вроде "Теперь все меняется, и Firefox больше не тот"...

Как произошла крупнейшая кража криптовалюты в истории Группа Lazarus, связанная с Северной Кореей, похитила $1,5 млрд с криптовалютной биржи Bybit после взлома устройства разработчика мультисиг-кошелька Safe{Wallet}. По данным расследований Sygnia и Verichains, атака началась с компрометации инфраструктуры Safe{Wallet}. Специалисты считают, что утекли или были скомпрометированы учетные данные AWS S3 или CloudFront Safe{Wallet}, что позволило хакерам подменить код. Детали атаки 19 февраля хакеры внедрили вредоносный код в файлы JavaScript на сервере Safe{Wallet}. 21 февраля в 12:30 UTC во время запланированного перевода ETH между кошельками Bybit код перехватил транзакцию и перенаправил средства на адрес атакующих. Через две минуты...

Исследователи опубликовали два эксплоита для непропатченной уязвимости повышения привилегий в Parallels Desktop. Проблема позволяет получить root-доступ на затронутых устройствах под управлением macOS. На прошлой неделе ИБ-эксперт Микки Джин (Mickey Jin) опубликовал PoC-эксплоиты, которые демонстрируют обход патчей для исправленной в сентябре прошлого года проблемы CVE-2024-34331, связанной с повышением привилегий. Исходно эта уязвимость была обнаружена в мае 2024 года и возникает в силу отсутствия проверки подписи кода в Parallels Desktop для Mac. Исходный патч Parallels стремился предотвратить выполнение недоверенного кода, проверяя, подписан ли createinstallmedia, прежде чем предоставить ему root-привилегии. Однако Джин...

Сервис Have I Been Pwned (HIBP) обновил свою базу, добавив 284 миллиона аккаунтов, украденных инфостилером и найденных в Telegram-канале «ALIEN TXTBASE». Также загружены 244 млн новых паролей в Pwned Passwords. Теперь операторы сайтов могут искать утекшие учетные данные по домену или сайту Сервис уведомлений о нарушениях безопасности Have I Been Pwned добавил более 284 миллионов аккаунтов, украденных программой для кражи информации, обнаруженных на Telegram-канале. Основатель сервиса HIBP, Трой Хант (Troy Hunt), заявил, что обнаружил 284 132 969 скомпрометированных аккаунтов, проанализировав 1,5 ТБ логов инфостилера, вероятно собранных из различных источников и размещенных на Telegram-канале под названием «ALIEN TXTBASE». Хант...

Исследователи безопасности из компании SecurityScorecard обвинили китайских хакеров в проведении массовых скоординированных атак методом распыления паролей на учетные записи Microsoft 365. Обычно распыление паролей блокируется системами безопасности, однако эта кампания нацелена на неинтерактивные входы, используемые для аутентификации между службами, которые не всегда генерируют оповещения безопасности. Источник изображения: pexels.com Распыление паролей — это один из методов взлома, который предполагает использование списка часто используемых паролей для массовой атаки на множество учётных записей. Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно...

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные. Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности. Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования. По словам экспертов, атакованная...

Специалисты F6 предупреждают о новых атаках кибергруппировки ReaverBits на российские компании. Исследователи зафиксировали рассылку фишинговых писем от имени МВД России с темой «СК РФ Вызов на допрос». В ходе анализа этой атаки был обнаружен ранее неизвестный бэкдор, получивший имя ReaverDoor. Группировка ReaverBits активна с конца 2023 года и нацелена исключительно на российские организации. Основными объектами атак являются компании в сфере биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финансового сектора. Отличительными чертами деятельности группы являются: Использование методов спуфинга в фишинговых кампаниях. Применение программ класса «стилер» для кражи данных. Маскировка вредоносных...

Опубликованы детали уязвимостей, недавно пропатченных в рамках работы над повышением безопасности кода GRUB2. Суммарно в загрузчике выявлена и решена 21 проблема, многие грозят обходом UEFI Secure Boot. Почти все закрытые уязвимости связаны с ошибками по памяти (переполнение буфера, отсутствие проверки выделения памяти, целочисленное переполнение, use-after-free и т. п.). Уровень угрозы почти во всех случаях признан умеренным. Наиболее опасна уязвимость CVE-2025-0624, вызванная возможностью записи за границами буфера при выполнении функции grub_net_search_config_file(). Специалисты NIST NVD оценили ее в 7,6 балла по шкале CVSS. Все новые патчи доступны в Git-репозитории GRUB2. Устранение уязвимостей в Linux-дистрибутивах...

Шпионское приложение для Android, получившее имя SpyLend, проникло на смартфоны более 100 тысяч пользователей из официального магазина Google Play. Злоумышленники замаскировали его под софт для финансов. SpyLend входит в семейство зловредов для мобильных устройств — SpyLoan, отличительной чертой которых является маскировка под финансовые приложения или сервисы для займа. Как правило, такой софт пытается зацепить пользователей лёгкими и быстрыми займами с минимальными требованиями к документам и привлекательными условиями. Однако после установки вредоносы запрашивают разрешения, позволяющие им перехватывать конфиденциальную информацию, включая журналы вызовов, СМС-сообщения, фотографии и геолокацию. После этого все собранные данные...

Компания Apple отключила функцию Advanced Data Protection (ADP) для пользователей iCloud в Великобритании, после того как правительство потребовало обеспечить бэкдор для доступа к зашифрованным данным. Это решение, как сообщает Bloomberg, стало опасным прецедентом и серьёзным изменением позиции Apple в вопросах защиты конфиденциальности пользователей. ADP — функциональность, обеспечивающая доступ к ключам шифрования только с доверенных устройств пользователя. Она открывает доступ к данным, хранящимся в iCloud: резервные копии, фотографии, заметки, голосовые записи и данные приложений. При использовании этой функции данные защищаются сквозным шифрованием (E2EE), поэтому расшифровать их может только сам пользователь на доверенном...