Привет! У тебя отличный ник @etoyaudachnozashel, хочу купить его у тебя для своего бизнеса за 3000 $. Сделку проведем официально, готов продать?

Все чаще пользователи Telegram получают подобные сообщения. И, как правило, они от мошенников. Отметим, что схема не новая, но только за последние пару недель с такими «выгодными» предложениями столкнулись несколько наших коллег. Рассказываем, как все устроено.

1️⃣ Вы получаете «письмо счастья» от якобы заинтересованного покупателя (пример на скриншотах). Которому на самом деле все равно, какой у вас никнейм (короткий, длинный, красивый, брендовый). Его цель — предложить интересную цену и убедить вас, что все будет сделано «официально», чтобы притупить вашу бдительность.

2️⃣ «Покупатель» предлагает провести сделку через Fragment. Это платформа, где действительно можно легально приобрести никнейм в Telegram за криптовалюту. С одним важным «но» — никнеймы продаются в формате аукциона.

3️⃣ Мошенник сообщает, что создаст «прямой запрос», чтобы сделка состоялась без аукциона. Таким образом вы якобы получите деньги сразу, а «покупателю» никто не сможет перебить ставку. На этом шаге злоумышленник генерирует для вас фишинговую ссылку.

4️⃣ Депозит. Вам приходит сообщение от бота или «покупателя», по ссылке из которого вы переходите в мини-приложение, по интерфейсу очень схожее с платформой Fragment. И здесь вам предлагается внести депозит или заплатить комиссию от сделки в 5%, чтобы завершить ее и получить всю сумму. Стоит отметить, что Fragment действительно берет 5% комиссии от суммы продажи никнейма, но в данном случае страница поддельная, и эти 5% улетают в кошелек мошенникам.

5️⃣ Вы с никнеймом, но на 150 $ беднее (если вам изначально предлагали 3000 $).

Это только один путь, которым может завершиться начальное предложение. В других вариантах мошенники могут прислать фишинговые ссылки для передачи аккаунта иным путем, где от вас потребуется ввести логин и пароль или вас могут попросить прислать код из сообщения. В таком случае вы можете потерять доступ к своему аккаунту, за возвращение которого с вас могут потребовать выкуп.

«Чтобы вернуть доступ к аккаунту или никнейм, следует обратиться в поддержку мессенджера. Telegram может вернуть доступ или ник при наличии убедительных доказательств владения. Однако Telegram не проводит финансовых расследований и обычно не участвует в возврате денег — его роль состоит преимущественно в восстановлении аккаунта или ника.
Кроме того, есть ряд действий, которые жертва может предпринять самостоятельно: завершить все чужие сессии, включить двухэтапную верификацию и сменить пароль, обратиться в банк с запросом о блокировке платежа мошенникам», — рассказала Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies.

Отметим, что любая сделка, где вас в спешке просят сообщить код, перейти в сторонний бот или сделать предоплату, почти наверняка является мошеннической. Обращайте внимание на названия ботов, написание URL в ссылках и сравнивайте их с официальными.

@Positive_Technologies

🎱 Эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей

Среди них недостатки безопасности в архиваторах файлов WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Эти уязвимости требуют оперативного устранения или принятия компенсирующих мер.

Пользователи MaxPatrol VM уже в курсе этих недостатков: информация о трендовых уязвимостях поступает в систему в течение 12 часов с момента их появления.

🗄 Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, оценка по CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, оценка по CVSS — 8,8)

Потенциально уязвимы все устройства под управлением Windows с версиями WinRAR до 7.13. Чтобы защититься, рекомендуется вручную установить исправленную версию, поскольку WinRAR (загруженный более 500 миллионов раз по всему миру) не имеет функции автоматического обновления.

Уязвимости связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки. Это может позволить злоумышленнику обойти стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями.

В случае успеха атакующий cможет перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.

📁 Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, оценка по CVSS — 3,6)

В мире скачано около 430 миллионов копий программы. Потенциально уязвимы все устройства, на которых установлены версии 7-Zip до 25.01 (чтобы защититься, рекомендуется обновить программу до актуальной версии).

Уязвимость связана с некорректной обработкой символических ссылок при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе. В первую очередь недостаток затрагивает ОС семейства Linux, но эксплуатация возможна и на устройствах на базе Windows.

💻 Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, SAP NetWeaver
PT-2025-20812 (CVE-2025-42999, оценка по CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, оценка по CVSS — 10,0)

Visual Composer в SAP NetWeaver позволяет создавать компоненты приложений без программирования. По оценкам «Т1 Интеграции», около 2000 российских организаций продолжают использовать программные продукты SAP.

Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.

Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды ОС с правами администратора, что приводит к полной компрометации системы. Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства.

🎦 Уязвимости в платформе для проведения видеоконференций TrueConf Server
PT-2025-36231 (BDU:2025-10114, оценка по CVSS — 7,5), PT-2025-36232 (BDU:2025-10115, оценка по CVSS — 7,5), PT-2025-36233 (BDU:2025-10116, оценка по CVSS — 9,8)

Все три уязвимости обнаружил эксперт PT SWARM Никита Петров. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к сети организации. Подробнее о них мы рассказали ранее в нашей публикации.

📖 Детальнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в сентябрьском дайджесте.

Узнавать об актуальных недостатках безопасности можно на нашей странице трендовых уязвимостей и на портале dbugs.

#втрендеVM
@Positive_Technologies

😀 Сегодня весь интернет отмечает День смайлика

Отцом всем известных текстовых смайлов (эмотиконов) :-) и :-( считается Скотт Фалман, профессор информатики Университета Карнеги — Меллона.

Сорок три года назад, 19 сентября 1982 года, он отправил коллегам электронное сообщение, в котором предложил помечать шутки комбинацией из двоеточия, дефиса и закрывающей скобки.

«На деле более экономно будет помечать не шутки, судя по происходящему. Для них используйте :-(», — иронично добавил Фалман.

🙂 Автором желтого улыбающегося смайлика — прародителя всех остальных — стал американский художник Харви Болл, который в 1963 году на заказ создал графическое изображение для поднятия духа сотрудников компании.

😉 А первый набор из 176 эмодзи появился в 1999-м, его разработал японский дизайнер Сигэтака Курита. Позже они были включены в стандарт Unicode и с 2010 года доступны на устройствах Apple и Android.

Казалось бы, смайлы созданы для радости и простоты, но и до них добрались хакеры и все испортили 🤬

Так, в феврале этого года инженер-программист Пол Батлер обнаружил уязвимость в Unicode, которая позволяет прятать в обычном на вид наборе эмодзи скрытую информацию. К примеру, если добавить такой код в обычное почтовое сообщение, можно будет проследить по нему всю цепочку переписки и взломать политику конфиденциальности организации 👀󠇀󠆀󠇀󠆣󠇀󠆠󠄜󠄐󠇀󠆯󠇀󠆮󠇀󠆯󠇀󠆠󠇀󠆫󠇀󠆨󠇁󠅱󠇁󠅼󠄑󠄐󠇀󠆑󠇀󠆥󠇀󠆩󠇁󠅷󠇀󠆠󠇁󠅱󠄐󠇁󠅽󠇁󠅲󠇀󠆮󠄐󠇁󠅰󠇀󠆮󠇀󠆧󠇁󠅻󠇀󠆣󠇁󠅰󠇁󠅻󠇁󠅸󠄜󠄐󠇀󠆠󠄐󠇁󠅵󠇀󠆠󠇀󠆪󠇀󠆥󠇁󠅰󠇁󠅻󠄐󠇀󠆬󠇀󠆮󠇀󠆣󠇁󠅳󠇁󠅲󠄐󠇀󠆯󠇀󠆥󠇁󠅰󠇀󠆥󠇀󠆤󠇀󠆠󠇁󠅲󠇁󠅼󠄐󠇀󠆧󠇀󠆤󠇀󠆥󠇁󠅱󠇁󠅼󠄐󠇀󠆢󠇁󠅱󠇀󠆥󠄜󠄐󠇁󠅷󠇁󠅲󠇀󠆮󠄐󠇁󠅳󠇀󠆣󠇀󠆮󠇀󠆤󠇀󠆭󠇀󠆮󠄞󠄐󠇀󠆁󠇁󠅳󠇀󠆤󠇁󠅼󠇁󠅲󠇀󠆥󠄐󠇀󠆮󠇁󠅱󠇁󠅲󠇀󠆮󠇁󠅰󠇀󠆮󠇀󠆦󠇀󠆭󠇀󠆥󠇀󠆥󠄐󠄪󠄝󠄙︊︊︊︊

А летом прошлого года стало известно о новом типе атак, в которых хакеры использовали эмодзи, чтобы удаленно управлять вредоносной программой Disgomoji на компьютерах жертв.

Злоумышленники подключали удаленный компьютер к определенному каналу в Discord и отдавали команды:

📸 — сделать скриншот экрана и отправить изображение,
👆 — загрузить на компьютер определенный файл,
🦊 — архивировать все профили пользователей браузера Firefox.

Зато из эмодзи получаются крутые безопасные пароли, мы про это уже как-то рассказывали 👱‍♀️🚶‍♂️🛣👅💦.

Пользуйтесь смайликами с удовольствием (и умом) и оставайтесь в кибербезопасности!

@Positive_Technologies

Вредонос летит, вредонос бежит, вредонос в песочнице сидит ⏳

В середине августа мы рассказывали о новой масштабной кампании группировки PhantomCore, обнаруженной департаментом Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI).

Спустя несколько дней после публикации исследования с помощью PT Sandbox удалось предотвратить атаку на российские оборонные и промышленные предприятия, а также банковский сектор, в которой использовалась обфусцированная вариация инструмента PhantomRShell, применяемого PhantomCore.

🗓 Это произошло 24 августа. При этом в открытых системах агрегации сведений о ВПО информация о семплах появилась только утром 25 августа, а еще через сутки вредонос все еще не обнаруживался большинством популярных антивирусных решений.

Атака начиналась с письма от вполне легитимного отправителя — его учетная запись была скомпрометирована. Вложение в формате архива оказалось файлом-полиглотом, собранным из трех последовательно склеенных объектов разных типов: DLL (содержит вредоносную нагрузку типа бэкдор), PDF (для отвлечения внимания) и ZIP-архива (с LNK-файлом внутри для закрепления в системе).

Благодаря анализу трафика бэкдора песочнице удалось соотнести этот семпл с инструментом PhantomRShell, который позволяет злоумышленнику удаленно выполнять произвольный код.

🤨 Подробности атаки и как хакерам удалось отправить эту нагрузку от легитимного отправителя, рассказали в материале на Хабре.

#ti #apt #malware
@ptescalator

⏰ MaxPatrol SIEM: время на вашей стороне

В 2025 году команда нашего флагманского продукта сосредоточилась на повышении стабильности и удобства работы. Главные результаты — рост производительности на 20%, прорывной скачок в детектировании киберугроз и повышение эффективности ML-модуля MaxPatrol BAD. Делимся подробностями 🧐

1️⃣ Экспертиза

Сильная сторона MaxPatrol SIEM — детектирование актуальных угроз. Это достигается ростом как количества, так и качества правил от PT ESC.

• С 2022 по 2025 год число правил корреляции увеличилось в 3,5 раза — с 483 до 1687.

• По публичным данным, MaxPatrol SIEM лидирует в мире по количеству «коробочных» правил корреляции.

• Изменился и сам подход: больше контента в карточке события, выше качество детектов.

Покрытие MITRE ATT&CK продолжает расти. Сегодня MaxPatrol SIEM детектирует 100% популярных инструментов APT-групп и хактивистов. Это стало возможным благодаря получению актуальной информации с проектов от команд Incident Response (PT ESC) и Red Team (PT SWARM).

2️⃣ Производительность

Большое число экспертных правил требует серьезных ресурсов. Чтобы не увеличивать аппаратные требования, мы оптимизировали взаимодействие компонентов (коррелятора, нормализатора, подсистемы обогащения и др.). В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3 (8.5) и 27.4 (8.6) нагрузка на CPU снизилась на 20%.

Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность продукта при пульсации нагрузки, что было важно для многих клиентов.

3️⃣ Эффективность ML-модуля MaxPatrol BAD

Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM.

Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD также может выступать вторым эшелоном защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа.

«Количество и сложность экспертных правил в MaxPatrol SIEM продолжают расти, при этом продукт работает стабильнее при тех же аппаратных характеристиках. История развития MaxPatrol SIEM привела к тому, что нам необходимо изменить множество процессов в условиях архитектурной перестройки. То, что звучит просто на словах, по факту — результат колоссальной работы всей команды. И это только начало.

Например, за год мы снизили в 4 раза количество открытых дефектов. При этом мы остаемся на острие кибератак и повышаем возможности продукта по их детектированию, в этом нам помогает ML-модуль MaxPatrol BAD. Также мы ведем работу по созданию AI-помощника, который сможет писать правила нормализации (функция XPertise). Мы прикладываем все усилия, чтобы сделать лучшую SIEM-систему на рынке, и в первую очередь мы благодарны клиентам, которые делятся с нами обратной связью», — рассказал Денис Лобанов, руководитель продукта MaxPatrol SIEM в Positive Technologies.

4️⃣ Удобство и экономия времени

Все нововведения упростили работу аналитиков и ускорили реакцию на инциденты: для расследования теперь достаточно информации в карточке события. Новые экспертные правила поставляются в MaxPatrol SIEM раз в две недели, а по трендовым уязвимостям — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц.

«Продукту требуется минимум времени (до 10 минут), чтобы уведомить аналитика SOC о подозрительной активности. При условии, что аналитик вовремя среагирует на сработку в продукте, он может за считаные минуты заблокировать действия хакера и остановить кибератаку», — рассказал Кирилл Кирьянов, руководитель экспертизы MaxPatrol SIEM в Positive Technologies.

Узнать подробности о том, как обновился MaxPatrol SIEM, вы можете в материале на нашем сайте.

#MaxPatrolSEIM
@Positive_Technologies

🎬 «Союзмультфильм» усиливает киберзащиту с помощью PT Dephaze

Медиахолдинг и крупнейшая анимационная студия в России протестировала PT Dephaze — систему контролируемых автопентестов. Продукт позволяет быстро и безопасно выявлять уязвимости ИТ-систем до того, как ими воспользуются злоумышленники.

💡 «Союзмультфильм» тщательно подходит к выбору ПО при производстве видеоконтента и уделяет особое внимание защите объектов интеллектуальной собственности. При этом внедренные СЗИ не гарантируют полной безопасности, поэтому компания нуждается в регулярной практической проверке своей защищенности.

Ранее этот процесс требовал от команды кибербезопасности ручного исследования внутренней сети. Благодаря PT Dephaze компании удалось с минимальными временными затратами и участием человека оценить защиту в условиях, максимально приближенных к реальным кибератакам.

Продукт действует как настоящий злоумышленник: пытается извлечь учетные данные и проверяет параметры сетевой инфраструктуры, которые могут дать несанкционированный доступ к сервисам. Если подобные атаки можно довести до инцидента, это указывает на избыточные права пользователей. Их устранение снижает риски для бизнеса, связанные с действиями реальных хакеров.

Среди преимуществ «Союзмультфильм» отметил абсолютную безопасность автопентестов для инфраструктуры, встроенный механизм согласования атак, возможность тестирования методом черного ящика и объединение разных векторов атак в единый сценарий.

«Благодаря PT Dephaze у нас есть возможность проводить автоматический пентест своими силами и выявлять слабые места в защите нашей сети после любых изменений в инфраструктуре, не оказывая существенного влияния на бизнес-процессы. Сейчас мы заключаем договор на приобретение продукта», — отмечает Кирилл Фролов, специалист по кибербезопасности, «Союзмультфильм».

Проект охватил пользовательский и ИТ-сегменты сети, все потенциально рискованные действия согласовывались в интерфейсе PT Dephaze, что исключило риски неконтролируемой работы автопентеста.

«Постоянная оценка защищенности состояния критически важных для бизнеса сегментов — это зрелый подход, если использовать ее после изменений в инфраструктуре. Например, при добавлении новых устройств, изменений правил ИБ или внедрении новых средств защиты. Это позволит следить за актуальным состоянием и видеть то, какие угрозы для бизнеса существуют», — отмечает Ярослав Бабин, директор по продуктам для симуляции атак, Positive Technologies.

В дальнейшем медиахолдинг планирует масштабировать автопентест на другие сегменты инфраструктуры.

👉 Посмотреть PT Dephaze в действии можно оставив заявку на сайте.

#PTDephaze
@Positive_Technologies