500 тыс. аккаунтов в VK утекли из-за вредоносного аддона для Chrome
13 февраля. / Anti-Malware /. Исследователи раскрыли масштабную вредоносную кампанию с участием расширений для Chrome, которая затронула более 500 тысяч аккаунтов во «ВКонтакте». Под видом безобидных инструментов для оформления профиля злоумышленник годами продвигал расширения, которые на деле превращали браузер жертвы в часть управляемой инфраструктуры.
Одним из самых популярных дополнений было VK Styles Themes for vk.com — расширение с примерно 400 тысячами установок и положительными отзывами.
Формально оно меняло оформление соцсети. А фактически внедряло код на каждую посещаемую страницу VK и подключалось к скрытой системе управления.
Расследование началось с того, что специалисты заметили подозрительную вставку рекламных скриптов «Яндекса» на страницах пользователей. При дальнейшем анализе выяснилось, что расширение использовало динамически вычисляемый идентификатор счётчика, чтобы обходить статические проверки.
Это стало отправной точкой для обнаружения ещё четырёх связанных расширений — в общей сложности около 502 тысяч установок. Два из них уже удалены из Chrome Web Store.
Архитектура оказалась многоступенчатой и довольно изобретательной. Расширение не содержало жёстко прописанных адресов серверов управления. Вместо этого оно обращалось к обычному профилю во «ВКонтакте» — vk.com/m0nda — и извлекало оттуда закодированные параметры из HTML-метатегов. Далее загружался следующий этап вредоносного кода с Pages (аккаунт 2vk, репозиторий с лаконичным названием «-»), а также подключались рекламные скрипты.
По сути, обычный VK-профиль выполнял роль командного центра (C2), а GitHub — площадки для размещения полезной нагрузки. Такая схема усложняет блокировку: трафик к VK и GitHub выглядит легитимным.
Кампания активна как минимум с июня 2025 года и эволюционировала до января 2026-го. По истории коммитов видно, что автор последовательно расширял функциональность: от манипуляций с CSRF-cookie и работы с VK API до автоматической подписки пользователей на нужную группу с вероятностью 75% при каждом заходе во «ВКонтакте».
В результате заражённые аккаунты автоматически вступали в группу -168874636 (сообщество VK Styles), которая сейчас насчитывает более 1,4 млн подписчиков. Кроме того, расширение каждые 30 дней сбрасывало настройки пользователя — сортировку ленты, тему сообщений и другие параметры, чтобы сохранять контроль.
Также код вмешивался в работу защитных механизмов VK, изменяя cookie remixsec_redir, что позволяло выполнять действия от имени пользователя так, будто они инициированы легитимно. Отдельный модуль отслеживал статус подписки VK Donut и в зависимости от этого активировал или ограничивал определённые функции, то есть схема имела и элемент монетизации.
Главная особенность кампании — гибкость. Поскольку логика загружалась динамически через профиль VK и GitHub, злоумышленник мог менять поведение аддона без обновления самого пакета в магазине. А так как Chrome-расширения обновляются автоматически, новая вредоносная логика быстро распространялась на сотни тысяч устройств.
13 февраля. / Anti-Malware /. Исследователи раскрыли масштабную вредоносную кампанию с участием расширений для Chrome, которая затронула более 500 тысяч аккаунтов во «ВКонтакте». Под видом безобидных инструментов для оформления профиля злоумышленник годами продвигал расширения, которые на деле превращали браузер жертвы в часть управляемой инфраструктуры.
Одним из самых популярных дополнений было VK Styles Themes for vk.com — расширение с примерно 400 тысячами установок и положительными отзывами.
Формально оно меняло оформление соцсети. А фактически внедряло код на каждую посещаемую страницу VK и подключалось к скрытой системе управления.
Расследование началось с того, что специалисты заметили подозрительную вставку рекламных скриптов «Яндекса» на страницах пользователей. При дальнейшем анализе выяснилось, что расширение использовало динамически вычисляемый идентификатор счётчика, чтобы обходить статические проверки.
Это стало отправной точкой для обнаружения ещё четырёх связанных расширений — в общей сложности около 502 тысяч установок. Два из них уже удалены из Chrome Web Store.
Архитектура оказалась многоступенчатой и довольно изобретательной. Расширение не содержало жёстко прописанных адресов серверов управления. Вместо этого оно обращалось к обычному профилю во «ВКонтакте» — vk.com/m0nda — и извлекало оттуда закодированные параметры из HTML-метатегов. Далее загружался следующий этап вредоносного кода с Pages (аккаунт 2vk, репозиторий с лаконичным названием «-»), а также подключались рекламные скрипты.
По сути, обычный VK-профиль выполнял роль командного центра (C2), а GitHub — площадки для размещения полезной нагрузки. Такая схема усложняет блокировку: трафик к VK и GitHub выглядит легитимным.
Кампания активна как минимум с июня 2025 года и эволюционировала до января 2026-го. По истории коммитов видно, что автор последовательно расширял функциональность: от манипуляций с CSRF-cookie и работы с VK API до автоматической подписки пользователей на нужную группу с вероятностью 75% при каждом заходе во «ВКонтакте».
В результате заражённые аккаунты автоматически вступали в группу -168874636 (сообщество VK Styles), которая сейчас насчитывает более 1,4 млн подписчиков. Кроме того, расширение каждые 30 дней сбрасывало настройки пользователя — сортировку ленты, тему сообщений и другие параметры, чтобы сохранять контроль.
Также код вмешивался в работу защитных механизмов VK, изменяя cookie remixsec_redir, что позволяло выполнять действия от имени пользователя так, будто они инициированы легитимно. Отдельный модуль отслеживал статус подписки VK Donut и в зависимости от этого активировал или ограничивал определённые функции, то есть схема имела и элемент монетизации.
Главная особенность кампании — гибкость. Поскольку логика загружалась динамически через профиль VK и GitHub, злоумышленник мог менять поведение аддона без обновления самого пакета в магазине. А так как Chrome-расширения обновляются автоматически, новая вредоносная логика быстро распространялась на сотни тысяч устройств.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
13 февраля. / CYBER MEDIA /. Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта». Эти расширения, установленные по меньшей мере 260 000 пользователями, внедряют в страницы скрытые iframe-окна, загружающие удалённый интерфейс и позволяющие злоумышленникам контролировать действия в браузере и собирать данные.
Расширения выдавали себя за инструменты для чат-ботов, суммаризации текстов, помощи с Gmail и другими задачами - якобы использующие ChatGPT, Claude, Gemini, Grok и другие популярные AI-сервисы. На самом деле их интерфейс был реализован через удалённый iframe, загружавшийся с серверов атакующих, а не через код, проверенный при установке из Chrome Web Store. Такой механизм позволяет злоумышленникам в любое время менять поведение расширения без обновления в магазине и вводить новые функции в обход проверок платформы.
Кампания включала по крайней мере 30 различных расширений, все они имели одинаковую архитектуру, права доступа и серверную инфраструктуру, несмотря на разные названия и ID. Некоторые из них даже получали отметку «Recommended» в Chrome Web Store, что увеличивало число установок и доверие пользователей.
Технически вредоносные расширения рендерили полноэкранные iframe, загружающие интерфейс с удалённого домена (например, tapnetic.pro), что дало злоумышленникам возможность изменять логику поведения на стороне сервера и собирать контент активных вкладок, включая данные, видимые на экране пользователя.
Эксперты предупреждают, что такие кампании демонстрируют серьёзную слабость модели доверия к расширениям, маскирующимся под популярные AI-инструменты. Вредоносный код может незаметно собирать личные данные, текст сообщений, API-ключи и другую чувствительную информацию, которую затем передаёт на серверы атакующих.
Рекомендации по защите включают немедленное удаление всех подозрительных AI-расширений, проверку прав доступа у установленных дополнений и использование механизмов мониторинга активности расширений для выявления скрытых iframe и других признаков удалённого управления со стороны внешних серверов. Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта». Эти расширения, установленные по меньшей мере 260 000 пользователями, внедряют в страницы скрытые iframe-окна, загружающие удалённый интерфейс и позволяющие злоумышленникам контролировать действия в браузере и собирать данные.
Расширения выдавали себя за инструменты для чат-ботов, суммаризации текстов, помощи с Gmail и другими задачами - якобы использующие ChatGPT, Claude, Gemini, Grok и другие популярные AI-сервисы. На самом деле их интерфейс был реализован через удалённый iframe, загружавшийся с серверов атакующих, а не через код, проверенный при установке из Chrome Web Store. Такой механизм позволяет злоумышленникам в любое время менять поведение расширения без обновления в магазине и вводить новые функции в обход проверок платформы.
Кампания включала по крайней мере 30 различных расширений, все они имели одинаковую архитектуру, права доступа и серверную инфраструктуру, несмотря на разные названия и ID. Некоторые из них даже получали отметку «Recommended» в Chrome Web Store, что увеличивало число установок и доверие пользователей.
Технически вредоносные расширения рендерили полноэкранные iframe, загружающие интерфейс с удалённого домена (например, tapnetic.pro), что дало злоумышленникам возможность изменять логику поведения на стороне сервера и собирать контент активных вкладок, включая данные, видимые на экране пользователя.
13 февраля. / CYBER MEDIA /. Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта». Эти расширения, установленные по меньшей мере 260 000 пользователями, внедряют в страницы скрытые iframe-окна, загружающие удалённый интерфейс и позволяющие злоумышленникам контролировать действия в браузере и собирать данные.
Расширения выдавали себя за инструменты для чат-ботов, суммаризации текстов, помощи с Gmail и другими задачами - якобы использующие ChatGPT, Claude, Gemini, Grok и другие популярные AI-сервисы. На самом деле их интерфейс был реализован через удалённый iframe, загружавшийся с серверов атакующих, а не через код, проверенный при установке из Chrome Web Store. Такой механизм позволяет злоумышленникам в любое время менять поведение расширения без обновления в магазине и вводить новые функции в обход проверок платформы.
Кампания включала по крайней мере 30 различных расширений, все они имели одинаковую архитектуру, права доступа и серверную инфраструктуру, несмотря на разные названия и ID. Некоторые из них даже получали отметку «Recommended» в Chrome Web Store, что увеличивало число установок и доверие пользователей.
Технически вредоносные расширения рендерили полноэкранные iframe, загружающие интерфейс с удалённого домена (например, tapnetic.pro), что дало злоумышленникам возможность изменять логику поведения на стороне сервера и собирать контент активных вкладок, включая данные, видимые на экране пользователя.
Эксперты предупреждают, что такие кампании демонстрируют серьёзную слабость модели доверия к расширениям, маскирующимся под популярные AI-инструменты. Вредоносный код может незаметно собирать личные данные, текст сообщений, API-ключи и другую чувствительную информацию, которую затем передаёт на серверы атакующих.
Рекомендации по защите включают немедленное удаление всех подозрительных AI-расширений, проверку прав доступа у установленных дополнений и использование механизмов мониторинга активности расширений для выявления скрытых iframe и других признаков удалённого управления со стороны внешних серверов. Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта». Эти расширения, установленные по меньшей мере 260 000 пользователями, внедряют в страницы скрытые iframe-окна, загружающие удалённый интерфейс и позволяющие злоумышленникам контролировать действия в браузере и собирать данные.
Расширения выдавали себя за инструменты для чат-ботов, суммаризации текстов, помощи с Gmail и другими задачами - якобы использующие ChatGPT, Claude, Gemini, Grok и другие популярные AI-сервисы. На самом деле их интерфейс был реализован через удалённый iframe, загружавшийся с серверов атакующих, а не через код, проверенный при установке из Chrome Web Store. Такой механизм позволяет злоумышленникам в любое время менять поведение расширения без обновления в магазине и вводить новые функции в обход проверок платформы.
Кампания включала по крайней мере 30 различных расширений, все они имели одинаковую архитектуру, права доступа и серверную инфраструктуру, несмотря на разные названия и ID. Некоторые из них даже получали отметку «Recommended» в Chrome Web Store, что увеличивало число установок и доверие пользователей.
Технически вредоносные расширения рендерили полноэкранные iframe, загружающие интерфейс с удалённого домена (например, tapnetic.pro), что дало злоумышленникам возможность изменять логику поведения на стороне сервера и собирать контент активных вкладок, включая данные, видимые на экране пользователя.
Эксперты предупреждают, что такие кампании демонстрируют серьёзную слабость модели доверия к расширениям, маскирующимся под популярные AI-инструменты. Вредоносный код может незаметно собирать личные данные, текст сообщений, API-ключи и другую чувствительную информацию, которую затем передаёт на серверы атакующих.
Рекомендации по защите включают немедленное удаление всех подозрительных AI-расширений, проверку прав доступа у установленных дополнений и использование механизмов мониторинга активности расширений для выявления скрытых iframe и других признаков удалённого управления со стороны внешних серверов.
Рекомендации по защите включают немедленное удаление всех подозрительных AI-расширений, проверку прав доступа у установленных дополнений и использование механизмов мониторинга активности расширений для выявления скрытых iframe и других признаков удалённого управления со стороны внешних серверов.
securitymedia.org
Новости
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта». Эти расширения, установленные по меньшей мере 260 000 пользователями…
Android запретит доступ к экрану «лишним» приложениям
13 февраля. / anti-malware.ru /. Google, похоже, готовит ещё одно нововведение по части безопасности Android. В тестовой сборке Android Canary 2602 обнаружена новая функция для Advanced Protection Mode — режима «максимальной защиты», который компания представила в Android 16.
Теперь Advanced Protection Mode может ограничивать работу приложений, использующих AccessibilityService API, если они не классифицированы как инструменты для доступности.
AccessibilityService API — это мощный механизм Android, изначально созданный для помощи людям с ограниченными физическими возможностями. С его помощью приложения могут читать содержимое экрана, отслеживать действия пользователя и даже выполнять жесты от его имени.
Именно поэтому этот API часто становился инструментом атакующих. За последние годы многие приложения — от автоматизаторов и лаунчеров до «оптимизаторов» и антивирусов — использовали его для обхода системных ограничений. Формально ради удобства, однако на деле получая очень широкие права.
Google постепенно ужесточала политику. Приложения, действительно предназначенные для помощи людям с ограниченными возможностями, должны указывать специальный атрибут isAccessibilityTool. К ним относятся экранные дикторы, системы управления жестами, голосовой ввод, брайлевские интерфейсы и другие специализированные инструменты.
По данным аналитиков, в новой версии Android Canary при включении Advanced Protection Mode система:
🔹запрещает выдавать разрешение Accessibility Service приложениям, не признанным Accessibility Tools;
🔹автоматически отзывает уже выданные разрешения у таких приложений.
13 февраля. / anti-malware.ru /. Google, похоже, готовит ещё одно нововведение по части безопасности Android. В тестовой сборке Android Canary 2602 обнаружена новая функция для Advanced Protection Mode — режима «максимальной защиты», который компания представила в Android 16.
Теперь Advanced Protection Mode может ограничивать работу приложений, использующих AccessibilityService API, если они не классифицированы как инструменты для доступности.
AccessibilityService API — это мощный механизм Android, изначально созданный для помощи людям с ограниченными физическими возможностями. С его помощью приложения могут читать содержимое экрана, отслеживать действия пользователя и даже выполнять жесты от его имени.
Именно поэтому этот API часто становился инструментом атакующих. За последние годы многие приложения — от автоматизаторов и лаунчеров до «оптимизаторов» и антивирусов — использовали его для обхода системных ограничений. Формально ради удобства, однако на деле получая очень широкие права.
Google постепенно ужесточала политику. Приложения, действительно предназначенные для помощи людям с ограниченными возможностями, должны указывать специальный атрибут isAccessibilityTool. К ним относятся экранные дикторы, системы управления жестами, голосовой ввод, брайлевские интерфейсы и другие специализированные инструменты.
По данным аналитиков, в новой версии Android Canary при включении Advanced Protection Mode система:
🔹запрещает выдавать разрешение Accessibility Service приложениям, не признанным Accessibility Tools;
🔹автоматически отзывает уже выданные разрешения у таких приложений.
150 взломов, а в архивах — пусто. Что не так с «грозными» хакерами из 0APT
14 февраля. / securitylab.ru /. В начале 2026 года в киберпространстве появился новый игрок — группировка 0APT, заявившая о создании собственной платформы «вымогательство как услуга». За несколько недель она успела наделать шума, спровоцировав настоящую панику в службах информационной безопасности ряда компаний. Между тем специалисты Intel 471 установили, что большинство заявлений группировки, скорее всего, являются ложью.
0APT появилась в январе 2026 года и стремительно опубликовала на своём сайте утечек в сети Tor список из более чем 150 якобы взломанных организаций. Именно скорость и масштаб заявлений насторожили аналитиков. Файлы, которые группировка представила как доказательства кражи данных, достигали нескольких терабайт каждый, однако при частичной загрузке оказывались заполнены повторяющимися нулевыми байтами — то есть не содержали никаких полезных данных. Сами «жертвы» в большинстве своём не поддавались проверке и выглядели как искусственно сгенерированные.
Ситуация обострилась, когда среди перечисленных целей начали появляться названия реальных компаний. Некоторые из них уже успели запустить внутренние процедуры реагирования на инциденты. Тем не менее Intel 471 пришла к выводу, что убедительных доказательств реальных атак нет: обнаруженный образец вредоносного программного обеспечения группировки оказался скорее незавершённой разработкой, нежели полноценным инструментом шифрования.
Для сравнения: в январе 2026 года наибольшее число подтверждённых атак совершила группировка Qilin — свыше 100 случаев. В 2023 году группа CLOP эксплуатировала уязвимости в серверах управляемой передачи файлов и атаковала около 130 жертв. В отличие от 0APT, обе группировки имеют доказанную историю реальных операций.
Несмотря на то, что нынешняя активность 0APT расценивается как недостоверная, Intel 471 не исключает, что группировка тестирует инфраструктуру для будущих атак. В связи с этим команда разработала набор инструментов для поиска угроз, ориентированных на поведение, характерное для 0APT: подозрительная активность PowerShell, создание архивов WinRAR, удалённые команды WMI, нестандартное SMB-взаимодействие и удаление теневых копий.
Специалисты рекомендуют не инициировать масштабное реагирование на основании одного лишь появления названия организации на сайте утечек — сначала необходимо убедиться в подлинности представленных доказательств. Если данные выглядят сгенерированными или повреждёнными, к заявлениям стоит относиться скептически. Своевременное информирование внутренних заинтересованных сторон о природе подобных фейковых угроз позволяет избежать паники и сберечь ресурсы команды безопасности.
14 февраля. / securitylab.ru /. В начале 2026 года в киберпространстве появился новый игрок — группировка 0APT, заявившая о создании собственной платформы «вымогательство как услуга». За несколько недель она успела наделать шума, спровоцировав настоящую панику в службах информационной безопасности ряда компаний. Между тем специалисты Intel 471 установили, что большинство заявлений группировки, скорее всего, являются ложью.
0APT появилась в январе 2026 года и стремительно опубликовала на своём сайте утечек в сети Tor список из более чем 150 якобы взломанных организаций. Именно скорость и масштаб заявлений насторожили аналитиков. Файлы, которые группировка представила как доказательства кражи данных, достигали нескольких терабайт каждый, однако при частичной загрузке оказывались заполнены повторяющимися нулевыми байтами — то есть не содержали никаких полезных данных. Сами «жертвы» в большинстве своём не поддавались проверке и выглядели как искусственно сгенерированные.
Ситуация обострилась, когда среди перечисленных целей начали появляться названия реальных компаний. Некоторые из них уже успели запустить внутренние процедуры реагирования на инциденты. Тем не менее Intel 471 пришла к выводу, что убедительных доказательств реальных атак нет: обнаруженный образец вредоносного программного обеспечения группировки оказался скорее незавершённой разработкой, нежели полноценным инструментом шифрования.
Для сравнения: в январе 2026 года наибольшее число подтверждённых атак совершила группировка Qilin — свыше 100 случаев. В 2023 году группа CLOP эксплуатировала уязвимости в серверах управляемой передачи файлов и атаковала около 130 жертв. В отличие от 0APT, обе группировки имеют доказанную историю реальных операций.
Несмотря на то, что нынешняя активность 0APT расценивается как недостоверная, Intel 471 не исключает, что группировка тестирует инфраструктуру для будущих атак. В связи с этим команда разработала набор инструментов для поиска угроз, ориентированных на поведение, характерное для 0APT: подозрительная активность PowerShell, создание архивов WinRAR, удалённые команды WMI, нестандартное SMB-взаимодействие и удаление теневых копий.
Специалисты рекомендуют не инициировать масштабное реагирование на основании одного лишь появления названия организации на сайте утечек — сначала необходимо убедиться в подлинности представленных доказательств. Если данные выглядят сгенерированными или повреждёнными, к заявлениям стоит относиться скептически. Своевременное информирование внутренних заинтересованных сторон о природе подобных фейковых угроз позволяет избежать паники и сберечь ресурсы команды безопасности.
Скачали модный ChatGPT-клон из Chrome Store? Поздравляем — все ваши логины и пароли уже на серверах мошенников
16 февраля. / securitylab.ru /. Исследователи обнаружили скоординированную кампанию с вредоносными расширениями для Google Chrome, которые выдают себя за ИИ-помощников для пересказа текстов, переписки, написания сообщений и работы с Gmail. На первый взгляд это обычные сервисы с функциями искусственного интеллекта. Но устроены они иначе. Основные функции работают не внутри расширения, а на удаленных серверах, а само дополнение выступает как проводник с широкими правами доступа к возможностям браузера.
Специалисты проанализировали 30 расширений Chrome с разными названиями и идентификаторами. В общей сложности их установили более 260 000 пользователей. Внешне это разные продукты, но внутри у них одна и та же кодовая база, одинаковый набор разрешений и общая серверная инфраструктура. То, как такое расширение ведет себя в работе, зависит не столько от проверки в Chrome Web Store, сколько от того, какой интерфейс и сценарии в конкретный момент подгружает внешний сервер.
Все найденные дополнения оформлены как отдельные инструменты, хотя фактически относятся к одной кампании. Часть из них даже получила отметку Featured в Chrome Web Store, что обычно повышает доверие и видимость в каталоге. Операторы используют схему массовой публикации. Один и тот же продукт выпускают под разными именами. Если одно расширение удаляют, в магазине остаются другие или быстро появляются копии с новым идентификатором. В описаниях фигурируют разные ИИ-бренды, включая Claude, ChatGPT, Gemini и Grok, а также разнообразные помощники для Gmail, но все они подключаются к одной серверной системе.
Механизм работы хорошо виден на примере расширения AI Assistant с идентификатором nlhpidbjmmffhoogcennoiopekbiglbp. Его интерфейс загружается не из локального кода, а через встроенный полноэкранный iframe с домена claude.tapnetic.pro. Этот iframe перекрывает открытую страницу и выглядит как собственное окно расширения. Поскольку содержимое приходит снаружи, оператор может в любой момент поменять внешний вид и логику без обновления в магазине. Новые возможности добавляются незаметно для пользователя.
Зафиксированы и попытки обхода модерации Chrome Web Store. Одно из расширений кампании с идентификатором fppbiomdkfbhgjjdmojlogeceejinadg удалили из каталога 6 февраля 2025 года. Меньше чем через две недели появилась полная копия под новым именем и идентификатором gghdfkafnhfpaooiolhncejnlgglhkhe с датой публикации 20 февраля. Код, разрешения, схема с iframe и серверные адреса у них совпадают. Такой подход позволяет быстро вернуть продукт в магазин после блокировки.
Исследователи отмечают, что расчет сделан на узнаваемые ИИ-бренды и доверие к ним. Под этим прикрытием распространяются расширения, которые фактически обходят привычную модель безопасности браузера. Полноэкранный удаленный интерфейс вместе с доступом к привилегированным API дает оператору возможность собирать данные, отслеживать действия пользователя и менять поведение инструмента без обновлений. На фоне роста интереса к генеративному ИИ ожидается появление новых кампаний по той же схеме. Дополнения, у которых ключевые функции подгружаются с внешних серверов, требуют отдельного внимания и проверки.
16 февраля. / securitylab.ru /. Исследователи обнаружили скоординированную кампанию с вредоносными расширениями для Google Chrome, которые выдают себя за ИИ-помощников для пересказа текстов, переписки, написания сообщений и работы с Gmail. На первый взгляд это обычные сервисы с функциями искусственного интеллекта. Но устроены они иначе. Основные функции работают не внутри расширения, а на удаленных серверах, а само дополнение выступает как проводник с широкими правами доступа к возможностям браузера.
Специалисты проанализировали 30 расширений Chrome с разными названиями и идентификаторами. В общей сложности их установили более 260 000 пользователей. Внешне это разные продукты, но внутри у них одна и та же кодовая база, одинаковый набор разрешений и общая серверная инфраструктура. То, как такое расширение ведет себя в работе, зависит не столько от проверки в Chrome Web Store, сколько от того, какой интерфейс и сценарии в конкретный момент подгружает внешний сервер.
Все найденные дополнения оформлены как отдельные инструменты, хотя фактически относятся к одной кампании. Часть из них даже получила отметку Featured в Chrome Web Store, что обычно повышает доверие и видимость в каталоге. Операторы используют схему массовой публикации. Один и тот же продукт выпускают под разными именами. Если одно расширение удаляют, в магазине остаются другие или быстро появляются копии с новым идентификатором. В описаниях фигурируют разные ИИ-бренды, включая Claude, ChatGPT, Gemini и Grok, а также разнообразные помощники для Gmail, но все они подключаются к одной серверной системе.
Механизм работы хорошо виден на примере расширения AI Assistant с идентификатором nlhpidbjmmffhoogcennoiopekbiglbp. Его интерфейс загружается не из локального кода, а через встроенный полноэкранный iframe с домена claude.tapnetic.pro. Этот iframe перекрывает открытую страницу и выглядит как собственное окно расширения. Поскольку содержимое приходит снаружи, оператор может в любой момент поменять внешний вид и логику без обновления в магазине. Новые возможности добавляются незаметно для пользователя.
Зафиксированы и попытки обхода модерации Chrome Web Store. Одно из расширений кампании с идентификатором fppbiomdkfbhgjjdmojlogeceejinadg удалили из каталога 6 февраля 2025 года. Меньше чем через две недели появилась полная копия под новым именем и идентификатором gghdfkafnhfpaooiolhncejnlgglhkhe с датой публикации 20 февраля. Код, разрешения, схема с iframe и серверные адреса у них совпадают. Такой подход позволяет быстро вернуть продукт в магазин после блокировки.
Исследователи отмечают, что расчет сделан на узнаваемые ИИ-бренды и доверие к ним. Под этим прикрытием распространяются расширения, которые фактически обходят привычную модель безопасности браузера. Полноэкранный удаленный интерфейс вместе с доступом к привилегированным API дает оператору возможность собирать данные, отслеживать действия пользователя и менять поведение инструмента без обновлений. На фоне роста интереса к генеративному ИИ ожидается появление новых кампаний по той же схеме. Дополнения, у которых ключевые функции подгружаются с внешних серверов, требуют отдельного внимания и проверки.
📚500 000 аккаунтов под угрозой: вредоносные Chrome-расширения перехватывают страницы ВК
16 февраля. / CYBER MEDIA /. Исследователи сообщили о масштабной кампании, в рамках которой вредоносные расширения для Google Chrome заразили более 500 000 пользователей и использовались для перехвата аккаунтов ВКонтакте.
По данным расследования, расширения маскировались под инструменты для кастомизации интерфейса и улучшения пользовательского опыта во ВКонтакте. После установки они внедряли в страницы социальной сети собственный код и фактически получали возможность контролировать сессию пользователя. Это позволяло злоумышленникам перехватывать токены авторизации, выполнять действия от имени владельца аккаунта и распространять вредоносный контент дальше по цепочке.
Отдельную опасность представляло то, что расширения проходили модерацию и были доступны в Chrome Web Store, что повышало уровень доверия со стороны пользователей. После установки они запрашивали расширенные права доступа к данным на сайте vk.com, что давало им техническую возможность вмешиваться в работу страницы и изменять содержимое.
Эксперты отмечают, что подобные атаки демонстрируют уязвимость модели доверия к браузерным расширениям. Даже внешне безобидные дополнения могут получить полный контроль над веб-сессией, если пользователь предоставляет им соответствующие разрешения. Пользователям рекомендуется проверить список установленных расширений и удалить все инструменты, связанные с изменением интерфейса или «стилями» для ВКонтакте, если их источник вызывает сомнения.
16 февраля. / CYBER MEDIA /. Исследователи сообщили о масштабной кампании, в рамках которой вредоносные расширения для Google Chrome заразили более 500 000 пользователей и использовались для перехвата аккаунтов ВКонтакте.
По данным расследования, расширения маскировались под инструменты для кастомизации интерфейса и улучшения пользовательского опыта во ВКонтакте. После установки они внедряли в страницы социальной сети собственный код и фактически получали возможность контролировать сессию пользователя. Это позволяло злоумышленникам перехватывать токены авторизации, выполнять действия от имени владельца аккаунта и распространять вредоносный контент дальше по цепочке.
Отдельную опасность представляло то, что расширения проходили модерацию и были доступны в Chrome Web Store, что повышало уровень доверия со стороны пользователей. После установки они запрашивали расширенные права доступа к данным на сайте vk.com, что давало им техническую возможность вмешиваться в работу страницы и изменять содержимое.
Эксперты отмечают, что подобные атаки демонстрируют уязвимость модели доверия к браузерным расширениям. Даже внешне безобидные дополнения могут получить полный контроль над веб-сессией, если пользователь предоставляет им соответствующие разрешения. Пользователям рекомендуется проверить список установленных расширений и удалить все инструменты, связанные с изменением интерфейса или «стилями» для ВКонтакте, если их источник вызывает сомнения.
securitymedia.org
Новости
Исследователи сообщили о масштабной кампании, в рамках которой вредоносные расширения для Google Chrome заразили более 500 000 пользователей и использовались для перехвата аккаунтов ВКонтакте. По данным расследования, расширения маскировались под инструменты…
Подержанные ноутбуки, смартфоны и кофеварки в России продаются с вирусами и участвуют в DDoS-атаках. Пылесосы тоже заражены
16 февраля. / C.NEWS /.
В России эпидемия подержанной бытовой техники, зараженной вредоносным ПО. Гаджеты с «начинкой» продаются на вторичном рынке, а покупатели даже не подозревают, что только что купленный ноутбук, пылесос или кофеварка могут таить в себе опасный софт. Хакеры используют такие устройства для DDoS-атак.
Бесплатный «бонус»
На российском рынке подержанной электроники возникла крупномасштабная проблема – покупатели стали массово жаловаться на то, что в купленной ими подержанной технике имеется встроенное вредоносное ПО. Это касается не только компьютеров и ноутбуков, где проблема чаще всего полностью устраняется переустановкой операционной системы и реже – перепрошивкой BIOS, и даже не только смартфонов, где можно выполнить сброс к заводским настройкам.
Киберпреступники научились встраивать опасный софт даже в бытовую технику. Такие программы россияне все чаще обнаруживают в прошивках, к примеру, роботов-пылесосов и кофеварок.
Цель хакеров часто заключается не столько в краже пользовательской информации, сколько в приобщении зараженных устройств к ботнетам. В дальнейшем эта электронная «армия» используется для проведения массированных DDoS-атак – многие российские компании в последние четыре года на регулярной основе подвергаются таким нападкам со стороны злоумышленников.
Случайности не случайны
Существует вероятность, что продавцы зараженных устройств сами не подозревают, что в их технике есть постороннее опасное ПО. Но опрошенные изданием эксперты не исключает, что продажа такой техники ведется намеренно, с целью расширения собственной ботнет-сети.
Такого мнения придерживается, в частности, руководитель группы продуктов «Гарда Anti-DDoS» компании «Гарда» Вадим Солдатенков. По его словам, киберпреступник закупает партию недорогих устройств, внедряет в их прошивку вредоносное ПО, а затем публикует объявления об их продаже на вторичном рынке.
Помогать хакерам годами
По словам Вадима Солдатенкова, покупатели подержанных зараженных устройств могут годами не знать, что в их гаджете стоит вредоносное ПО. По его словам, чаще всего хакеры заражают роутеры, NAS (сетевые хранилища), IP-камеры и другие устройства интернета вещей.
16 февраля. / C.NEWS /.
В России эпидемия подержанной бытовой техники, зараженной вредоносным ПО. Гаджеты с «начинкой» продаются на вторичном рынке, а покупатели даже не подозревают, что только что купленный ноутбук, пылесос или кофеварка могут таить в себе опасный софт. Хакеры используют такие устройства для DDoS-атак.
Бесплатный «бонус»
На российском рынке подержанной электроники возникла крупномасштабная проблема – покупатели стали массово жаловаться на то, что в купленной ими подержанной технике имеется встроенное вредоносное ПО. Это касается не только компьютеров и ноутбуков, где проблема чаще всего полностью устраняется переустановкой операционной системы и реже – перепрошивкой BIOS, и даже не только смартфонов, где можно выполнить сброс к заводским настройкам.
Киберпреступники научились встраивать опасный софт даже в бытовую технику. Такие программы россияне все чаще обнаруживают в прошивках, к примеру, роботов-пылесосов и кофеварок.
Цель хакеров часто заключается не столько в краже пользовательской информации, сколько в приобщении зараженных устройств к ботнетам. В дальнейшем эта электронная «армия» используется для проведения массированных DDoS-атак – многие российские компании в последние четыре года на регулярной основе подвергаются таким нападкам со стороны злоумышленников.
Случайности не случайны
Существует вероятность, что продавцы зараженных устройств сами не подозревают, что в их технике есть постороннее опасное ПО. Но опрошенные изданием эксперты не исключает, что продажа такой техники ведется намеренно, с целью расширения собственной ботнет-сети.
Такого мнения придерживается, в частности, руководитель группы продуктов «Гарда Anti-DDoS» компании «Гарда» Вадим Солдатенков. По его словам, киберпреступник закупает партию недорогих устройств, внедряет в их прошивку вредоносное ПО, а затем публикует объявления об их продаже на вторичном рынке.
Помогать хакерам годами
По словам Вадима Солдатенкова, покупатели подержанных зараженных устройств могут годами не знать, что в их гаджете стоит вредоносное ПО. По его словам, чаще всего хакеры заражают роутеры, NAS (сетевые хранилища), IP-камеры и другие устройства интернета вещей.
Microsoft закручивает гайки: закрыт самый популярный способ скачивания Windows
16 февраля. / CYBER MEDIA /. Корпорация Microsoft ограничила возможность скачивания ISO-образов Windows через сторонние сервисы и инструменты. На изменения обратили внимание журналисты Neowin после жалоб пользователей программы Windows Insider.
12 февраля пользователь форума под ником ChronoVore сообщил, что не смог скачать ISO-образ Windows с сайта Microsoft для установки операционной системы на компьютер. Его заявление подтвердили и другие участники сообщества. Проблему также признал разработчик популярной утилиты Rufus Пит Батард, с помощью которой пользователи создают загрузочные флешки из ISO-образов Windows.
По данным Neowin, сами ISO-файлы по-прежнему доступны на официальном сайте Microsoft, однако привычный для многих способ загрузки через сторонние программы, включая Rufus, перестал работать. Предполагается, что компания изменила механизм скачивания, фактически заблокировав такой сценарий.
Пит Батард заявил, что для Microsoft не составляет труда нарушить работу подобных инструментов, поскольку проекты с открытым исходным кодом позволяют легко анализировать их механику. «Я почти уверен, что Microsoft заплатила одному из своих сотрудников за то, чтобы он придумал способ сделать это», — отметил разработчик.
Официальных комментариев от Microsoft пока не последовало. Информация о проблеме зарегистрирована в системе обратной связи компании. По мнению журналистов Neowin, изменения могут быть направлены на то, чтобы пользователи загружали Windows исключительно с помощью фирменных инструментов Microsoft.
16 февраля. / CYBER MEDIA /. Корпорация Microsoft ограничила возможность скачивания ISO-образов Windows через сторонние сервисы и инструменты. На изменения обратили внимание журналисты Neowin после жалоб пользователей программы Windows Insider.
12 февраля пользователь форума под ником ChronoVore сообщил, что не смог скачать ISO-образ Windows с сайта Microsoft для установки операционной системы на компьютер. Его заявление подтвердили и другие участники сообщества. Проблему также признал разработчик популярной утилиты Rufus Пит Батард, с помощью которой пользователи создают загрузочные флешки из ISO-образов Windows.
По данным Neowin, сами ISO-файлы по-прежнему доступны на официальном сайте Microsoft, однако привычный для многих способ загрузки через сторонние программы, включая Rufus, перестал работать. Предполагается, что компания изменила механизм скачивания, фактически заблокировав такой сценарий.
Пит Батард заявил, что для Microsoft не составляет труда нарушить работу подобных инструментов, поскольку проекты с открытым исходным кодом позволяют легко анализировать их механику. «Я почти уверен, что Microsoft заплатила одному из своих сотрудников за то, чтобы он придумал способ сделать это», — отметил разработчик.
Официальных комментариев от Microsoft пока не последовало. Информация о проблеме зарегистрирована в системе обратной связи компании. По мнению журналистов Neowin, изменения могут быть направлены на то, чтобы пользователи загружали Windows исключительно с помощью фирменных инструментов Microsoft.
📚Шесть серверов и 5000 IP-адресов. Бастрыкин рассказал, как поймали взломщика «Детского мира»
17 февраля. / securitylab.ru /. СКР сообщил о приговоре по делу об атаке на информационную систему «Детского мира», в результате которой злоумышленники похитили более семи тысяч электронных подарочных сертификатов. Как рассказал «Интерфаксу» председатель Следственного комитета Александр Бастрыкин, Эмиль Галеев получил пять лет лишения свободы и штраф 500 тысяч рублей.
По словам Бастрыкина, уголовное дело расследовали в Главном следственном управлении СК. Следствие считает, что в 2022 году Галеев и двое сообщников арендовали шесть виртуальных серверов, установили на них инструменты анонимизации, разработали вредоносные программы и в течение 12 дней использовали их для атаки на инфраструктуру компании. Злоумышленники, как утверждается, преодолели средства защиты информации, подобрали пароли к семи тысячам сертификатов и скопировали их в собственную базу данных на одном из серверов.
Глава СК отметил, что установить действия группы помог «глубокий технический анализ» массива цифровых данных, включавшего свыше 5 тысяч IP-адресов, а также код и алгоритмы применявшихся вредоносных программ. По этим данным следствие восстановило посекундную последовательность действий, сетевые идентификаторы и используемое оборудование.
Двое предполагаемых соучастников скрылись, объявлены в международный розыск и заочно арестованы.
По словам Бастрыкина, за последние три года Следственный комитет расследовал 36,6 тысячи дел о преступлениях в сфере IT. Из них 9,5 тысячи связаны с хищениями, 6,1 тысячи с преступлениями в сфере экономической деятельности, 4,3 тысячи с незаконным оборотом наркотиков, 2,6 тысячи с преступлениями против половой неприкосновенности, более 2 тысяч с мошенничеством. Отдельно он отметил рост наркопреступлений и мошенничеств, совершаемых в онлайне, и добавил, что ведомство делает ставку на развитие методов фиксации цифровых следов и внедрение нового технического инструментария.
17 февраля. / securitylab.ru /. СКР сообщил о приговоре по делу об атаке на информационную систему «Детского мира», в результате которой злоумышленники похитили более семи тысяч электронных подарочных сертификатов. Как рассказал «Интерфаксу» председатель Следственного комитета Александр Бастрыкин, Эмиль Галеев получил пять лет лишения свободы и штраф 500 тысяч рублей.
По словам Бастрыкина, уголовное дело расследовали в Главном следственном управлении СК. Следствие считает, что в 2022 году Галеев и двое сообщников арендовали шесть виртуальных серверов, установили на них инструменты анонимизации, разработали вредоносные программы и в течение 12 дней использовали их для атаки на инфраструктуру компании. Злоумышленники, как утверждается, преодолели средства защиты информации, подобрали пароли к семи тысячам сертификатов и скопировали их в собственную базу данных на одном из серверов.
Глава СК отметил, что установить действия группы помог «глубокий технический анализ» массива цифровых данных, включавшего свыше 5 тысяч IP-адресов, а также код и алгоритмы применявшихся вредоносных программ. По этим данным следствие восстановило посекундную последовательность действий, сетевые идентификаторы и используемое оборудование.
Двое предполагаемых соучастников скрылись, объявлены в международный розыск и заочно арестованы.
По словам Бастрыкина, за последние три года Следственный комитет расследовал 36,6 тысячи дел о преступлениях в сфере IT. Из них 9,5 тысячи связаны с хищениями, 6,1 тысячи с преступлениями в сфере экономической деятельности, 4,3 тысячи с незаконным оборотом наркотиков, 2,6 тысячи с преступлениями против половой неприкосновенности, более 2 тысяч с мошенничеством. Отдельно он отметил рост наркопреступлений и мошенничеств, совершаемых в онлайне, и добавил, что ведомство делает ставку на развитие методов фиксации цифровых следов и внедрение нового технического инструментария.
Взлом «Детского мира» раскрыт: следствие связало атаку с серией киберпреступлений
18 февраля. / CYBER MEDIA /. Инцидент с предполагаемым взломом сети «Детский мир», о котором стало известно еще в 2024 году, получил развитие. По данным следствия, атака была раскрыта, а действия злоумышленников квалифицированы в рамках расследования серии киберпреступлений. Главный исполнитель получил 5 лет тюрьмы.
Ранее на хакерских площадках появились заявления о якобы полученном доступе к инфраструктуре компании и утечке данных. После проверки правоохранительные органы установили обстоятельства инцидента и провели необходимые процессуальные действия.
В интервью «Интерфаксу» председатель Следственного комитета России Александр Бастрыкин сообщил, что расследование преступлений в сфере ИТ требует сложного анализа цифровых следов и взаимодействия с иностранными провайдерами. Он отметил, что киберпреступления нередко носят трансграничный характер, а злоумышленники используют анонимные серверы и вредоносное ПО.
Подробности технической стороны атаки официально не раскрываются. В правоохранительных органах подчеркивают, что подобные дела требуют глубокой цифровой экспертизы и координации между ведомствами.
18 февраля. / CYBER MEDIA /. Инцидент с предполагаемым взломом сети «Детский мир», о котором стало известно еще в 2024 году, получил развитие. По данным следствия, атака была раскрыта, а действия злоумышленников квалифицированы в рамках расследования серии киберпреступлений. Главный исполнитель получил 5 лет тюрьмы.
Ранее на хакерских площадках появились заявления о якобы полученном доступе к инфраструктуре компании и утечке данных. После проверки правоохранительные органы установили обстоятельства инцидента и провели необходимые процессуальные действия.
В интервью «Интерфаксу» председатель Следственного комитета России Александр Бастрыкин сообщил, что расследование преступлений в сфере ИТ требует сложного анализа цифровых следов и взаимодействия с иностранными провайдерами. Он отметил, что киберпреступления нередко носят трансграничный характер, а злоумышленники используют анонимные серверы и вредоносное ПО.
Подробности технической стороны атаки официально не раскрываются. В правоохранительных органах подчеркивают, что подобные дела требуют глубокой цифровой экспертизы и координации между ведомствами.
👀 Полезные Telegram-каналы различной тематики
@pensionfondrf Пенсионный Фонд РФ
@smz422 Самозанятость
@ip_na_usn ИП на УСН / АУСН / ПСН
@fondgkh Фонд ЖКХ
@mosmetroru Московский метрополитен
@GovInfo Государство в Telegram
@mesmax Мессенджер MAX
@roskomnadzorro Роскомнадзорро⚡️
@rostourism Новости Ростуризма
@ruminfin Финансы России
@finamnews Новости компаний
@economicsru Экономика России
@fstecru Новости информационной безопасности
@magnit_cosmetic Магнит Косметик
@culturerus Новости культуры
@tretyakov_gallery Третьяковская галерея
@archivesru Новости Росархива
@teleradiofond Гостелерадиофонд
Также Вы можете подписаться на все эти каналы сразу, добавив себе нашу папку "Полезное".
➡️ Вот ссылка на папку: https://news.1rj.ru/str/addlist/ld0JgyNXuD9lYzBi
Просто нажмите на неё и добавьте все нужные Вам каналы нажатием одной кнопки!
@pensionfondrf Пенсионный Фонд РФ
@smz422 Самозанятость
@ip_na_usn ИП на УСН / АУСН / ПСН
@fondgkh Фонд ЖКХ
@mosmetroru Московский метрополитен
@GovInfo Государство в Telegram
@mesmax Мессенджер MAX
@roskomnadzorro Роскомнадзорро⚡️
@rostourism Новости Ростуризма
@ruminfin Финансы России
@finamnews Новости компаний
@economicsru Экономика России
@fstecru Новости информационной безопасности
@magnit_cosmetic Магнит Косметик
@culturerus Новости культуры
@tretyakov_gallery Третьяковская галерея
@archivesru Новости Росархива
@teleradiofond Гостелерадиофонд
Также Вы можете подписаться на все эти каналы сразу, добавив себе нашу папку "Полезное".
➡️ Вот ссылка на папку: https://news.1rj.ru/str/addlist/ld0JgyNXuD9lYzBi
Просто нажмите на неё и добавьте все нужные Вам каналы нажатием одной кнопки!
ФСТЭК нашла 12 типовых ошибок в настройке ПО, которые помогают хакерам
18 февраля. / Интернет газета "ЖУК" /. Ведомство выпустило рекомендации по итогам анализа киберинцидентов 2024–2025 годов.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала рекомендации по устранению типовых ошибок конфигурации программного обеспечения. Документ разбирает проблемы настройки, которые позволяют злоумышленникам красть данные и атаковать компании, сообщается на сайте ведомства.
Ведомство перечислило двенадцать уязвимостей, которые позволяют злоумышленникам реализовывать угрозы при целевых компьютерных атаках. Первая проблема — использование слабых пользовательских паролей, что облегчает подбор и компрометацию учётных записей. Вторая связана с отсутствием обязательной аутентификации для доступа к базам данных, что ведёт к утечкам.
В операционных системах Windows специалисты нашли устаревшие протоколы SMBv1 и NTLMv1, которые создают угрозы несанкционированного доступа. Ещё одна опасность — наличие учётной записи «Гость» в локальной группе «Администраторы», что даёт злоумышленникам повышенные привилегии.
Рекомендации также касаются хранения учётных данных в открытом виде, открытых неиспользуемых портов и активированного автоматического входа на серверах Windows. Ведомство обратило внимание на настройки SSH-серверов, которые разрешают вход по паролю и привилегированный доступ. Опасность представляют отсутствие прав доступа к файлам, а также неиспользуемые службы, компоненты и учётные записи с избыточными правами.
18 февраля. / Интернет газета "ЖУК" /. Ведомство выпустило рекомендации по итогам анализа киберинцидентов 2024–2025 годов.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала рекомендации по устранению типовых ошибок конфигурации программного обеспечения. Документ разбирает проблемы настройки, которые позволяют злоумышленникам красть данные и атаковать компании, сообщается на сайте ведомства.
Ведомство перечислило двенадцать уязвимостей, которые позволяют злоумышленникам реализовывать угрозы при целевых компьютерных атаках. Первая проблема — использование слабых пользовательских паролей, что облегчает подбор и компрометацию учётных записей. Вторая связана с отсутствием обязательной аутентификации для доступа к базам данных, что ведёт к утечкам.
В операционных системах Windows специалисты нашли устаревшие протоколы SMBv1 и NTLMv1, которые создают угрозы несанкционированного доступа. Ещё одна опасность — наличие учётной записи «Гость» в локальной группе «Администраторы», что даёт злоумышленникам повышенные привилегии.
Рекомендации также касаются хранения учётных данных в открытом виде, открытых неиспользуемых портов и активированного автоматического входа на серверах Windows. Ведомство обратило внимание на настройки SSH-серверов, которые разрешают вход по паролю и привилегированный доступ. Опасность представляют отсутствие прав доступа к файлам, а также неиспользуемые службы, компоненты и учётные записи с избыточными правами.
Хакеры сорвались с цепи. На Россию обрушились сотни тысяч DDoS-атак длительностью в месяцы, и их число растет
18 февраля. / C.NEWS /. В 2025 г. против России было проведено свыше 140 тыс. DDoS-атак, одна из которых длилась без перерыва больше месяца. Более 7000 атак в месяц пришлось всего лишь на одну компанию. Хакеры явно наращивают давление на российский бизнес – всего за год DDoS-атак стало больше на 30 тыс., а их суммарная продолжительность выросла почти вдвое.
Излюбленная цель хакеров
Россия в 2025 г. стала еще более важной и приоритетной целью для хакеров, чем была годом ранее. Киберпреступники провели против российского бизнеса более 140 тыс. DDoS-атак, масштабно нарастив не только их количество, но и продолжительность.
Количество DDoS-атак тоже стремительно растет – 140,6 тыс. в 2025 г. против 112,2 тыс. в 2024 г. Иными словами, хакеры наращивают давление на российский бизнес.
Ни дня отдыха
Киберпреступники атакуют российские компании почти без перерыва. В среднем в России каждый месяц фиксировалось более 11 тыс. DDoS-атак, а это около 367 в сутки или более 15 каждый час.
Некоторые компании привлекают внимание хакеров чаще других. Для примера, одна из организаций, название которой не раскрывается, в 2025 г. пережила почти 7200 атак. Этот показатель вырос на 73% год к году.
Один сервер, чтобы править всеми
Игорь Бедеров сообщил «Ведомостям» об изменениях в предпочтениях киберпреступников, атакующих российский бизнес. По его словам, в своей работе они все чаще используют ботнеты, состоящие из зараженных домашних устройств – роутеров, ТВ-приставок, бытовой электроники, колонок и пр. CNews писал, что гаджеты со встроенными вредоносами активно продаются на вторичном рынке, а в ряде случаев опасное ПО встраивают в новые устройства прямо на производстве.
Официальная статистика
Роскомнадзор приводит отличающуюся статистику. По его данным, в 2021 г. в России было зафиксировано около 21 тыс. отраженных DDoS-атак.
При этом регулятор подчеркивает, что это число растет. Отраженных DDoS-атак в 2025 г. в России было более чем вдвое больше, нежели в 2024 г.
Различие в статистиках масштабов хакерской деятельности, развернутой против российского бизнеса, объясняется тем, что Роскомнадзор учитывает исключительно атаки, зафиксированные его системами, отметили «Ведомости».
По данным Positive Technologies 47% хакерских атак, проведенных в 2025 г., достигли своей цели и привели к проблемам в работе компаний.
18 февраля. / C.NEWS /. В 2025 г. против России было проведено свыше 140 тыс. DDoS-атак, одна из которых длилась без перерыва больше месяца. Более 7000 атак в месяц пришлось всего лишь на одну компанию. Хакеры явно наращивают давление на российский бизнес – всего за год DDoS-атак стало больше на 30 тыс., а их суммарная продолжительность выросла почти вдвое.
Излюбленная цель хакеров
Россия в 2025 г. стала еще более важной и приоритетной целью для хакеров, чем была годом ранее. Киберпреступники провели против российского бизнеса более 140 тыс. DDoS-атак, масштабно нарастив не только их количество, но и продолжительность.
Количество DDoS-атак тоже стремительно растет – 140,6 тыс. в 2025 г. против 112,2 тыс. в 2024 г. Иными словами, хакеры наращивают давление на российский бизнес.
Ни дня отдыха
Киберпреступники атакуют российские компании почти без перерыва. В среднем в России каждый месяц фиксировалось более 11 тыс. DDoS-атак, а это около 367 в сутки или более 15 каждый час.
Некоторые компании привлекают внимание хакеров чаще других. Для примера, одна из организаций, название которой не раскрывается, в 2025 г. пережила почти 7200 атак. Этот показатель вырос на 73% год к году.
Один сервер, чтобы править всеми
Игорь Бедеров сообщил «Ведомостям» об изменениях в предпочтениях киберпреступников, атакующих российский бизнес. По его словам, в своей работе они все чаще используют ботнеты, состоящие из зараженных домашних устройств – роутеров, ТВ-приставок, бытовой электроники, колонок и пр. CNews писал, что гаджеты со встроенными вредоносами активно продаются на вторичном рынке, а в ряде случаев опасное ПО встраивают в новые устройства прямо на производстве.
Официальная статистика
Роскомнадзор приводит отличающуюся статистику. По его данным, в 2021 г. в России было зафиксировано около 21 тыс. отраженных DDoS-атак.
При этом регулятор подчеркивает, что это число растет. Отраженных DDoS-атак в 2025 г. в России было более чем вдвое больше, нежели в 2024 г.
Различие в статистиках масштабов хакерской деятельности, развернутой против российского бизнеса, объясняется тем, что Роскомнадзор учитывает исключительно атаки, зафиксированные его системами, отметили «Ведомости».
По данным Positive Technologies 47% хакерских атак, проведенных в 2025 г., достигли своей цели и привели к проблемам в работе компаний.
«Суверенный» Linux через VPN: Роскомнадзор случайно отрезал доступ к обновлениям российских ОС
19 февраля. / CYBER MEDIA /. В России разработчики отечественных операционных систем столкнулись с проблемами доступа к репозиториям Linux из-за блокировок, связанных с борьбой с VPN-трафиком. Об этом сообщает Digital Report.
По данным издания, сбои затронули инфраструктуру, необходимую для получения обновлений ядра Linux и пакетов из официальных зарубежных репозиториев. Речь идет о проектах, на базе которых строятся российские ОС, включая решения для госсектора. Разработчики фиксировали недоступность ресурсов kernel.org и ряда европейских зеркал.
Эксперты связывают ситуацию с новыми алгоритмами блокировок, направленными на ограничение VPN-протоколов и сопутствующей инфраструктуры. Под раздачу, как отмечается, могли попасть CDN-сети и IP-диапазоны, используемые для распространения обновлений Linux.
В результате часть компаний была вынуждена использовать VPN для получения критических обновлений безопасности, что создало парадоксальную ситуацию: разработчики «суверенного» ПО применяют инструменты обхода блокировок для поддержания его актуальности.
В публикации приводится комментарий представителей «Группы Астра», согласно которому обновления безопасности Astra Linux формируются в рамках собственной разработки и совместной работы с участниками профильного консорциума. Компания заявила, что проблем с обеспечением защищенности используемых клиентами систем в настоящее время нет.
Ситуация вызвала обсуждение в профессиональном сообществе, поскольку подчеркивает зависимость отечественных дистрибутивов от глобальной экосистемы open source и чувствительность инфраструктуры к широким сетевым блокировкам.
19 февраля. / CYBER MEDIA /. В России разработчики отечественных операционных систем столкнулись с проблемами доступа к репозиториям Linux из-за блокировок, связанных с борьбой с VPN-трафиком. Об этом сообщает Digital Report.
По данным издания, сбои затронули инфраструктуру, необходимую для получения обновлений ядра Linux и пакетов из официальных зарубежных репозиториев. Речь идет о проектах, на базе которых строятся российские ОС, включая решения для госсектора. Разработчики фиксировали недоступность ресурсов kernel.org и ряда европейских зеркал.
Эксперты связывают ситуацию с новыми алгоритмами блокировок, направленными на ограничение VPN-протоколов и сопутствующей инфраструктуры. Под раздачу, как отмечается, могли попасть CDN-сети и IP-диапазоны, используемые для распространения обновлений Linux.
В результате часть компаний была вынуждена использовать VPN для получения критических обновлений безопасности, что создало парадоксальную ситуацию: разработчики «суверенного» ПО применяют инструменты обхода блокировок для поддержания его актуальности.
В публикации приводится комментарий представителей «Группы Астра», согласно которому обновления безопасности Astra Linux формируются в рамках собственной разработки и совместной работы с участниками профильного консорциума. Компания заявила, что проблем с обеспечением защищенности используемых клиентами систем в настоящее время нет.
Ситуация вызвала обсуждение в профессиональном сообществе, поскольку подчеркивает зависимость отечественных дистрибутивов от глобальной экосистемы open source и чувствительность инфраструктуры к широким сетевым блокировкам.
🔸Северокорейцы придумали идеальное резюме: вы думаете, что нанимаете, а они уже внутри
19 февраля. / securitylab.ru /. Северокорейские злоумышленники пытаются подменять расширение криптокошелька MetaMask прямо на компьютере жертвы, и в успешном сценарии это может выглядеть для пользователя незаметно. Технику описали в рамках кампании Contagious Interview, которую исследователи связывают с актором из КНДР. Основные цели — IT-специалисты и разработчики из криптовалютной, Web3 и ИИ-сферы.
Заражение обычно начинается с фиктивного технического собеседования. Кандидату предлагают выполнить тестовое задание и запустить NPM-пакет. Внутри оказывается вредоносный JavaScript, который связывается с управляющей инфраструктурой, подтверждает запуск маячком и подтягивает следующий этап. Далее на машину загружаются дополнительные компоненты, в том числе два JavaScript-модуля с разными задачами и Python-бэкдор InvisibleFerret, который эта кампания использует уже несколько лет.
Один из JavaScript-компонентов отвечает за поиск и эксфильтрацию данных: он методично обходит файловую систему по набору шаблонов и выкачивает файлы, которые могут содержать секреты, — от данных браузера и менеджеров паролей до файлов криптокошельков и ключей. Второй компонент работает как легковесный бэкдор и принимает команды с C2. В анализе отдельно отмечена команда, которая подгружает ещё один скрипт для манипуляций с расширениями Chromium-браузеров.
Дальше атакующие могут попытаться заменить MetaMask в Chrome или Brave на троянизированную сборку. Скрипт ищет установленный кошелёк в профилях браузера, скачивает архив с вредоносным расширением и подменяет содержимое каталога. Критическая часть атаки основана на модификации файлов Preferences и Secure Preferences: злоумышленники меняют настройки расширения, переключают его на загрузку из локальной папки, включают режим разработчика и подставляют значения MAC, которые Chrome использует для проверки целостности конфигурации на базе HMAC-SHA256. Конфиг с MAC приходит с сервера атакующих, а механизм генерации валидных значений под конкретную систему в исследовании остаётся невыясненным. Чтобы принудительно загрузить подменённый код, скрипт также удаляет каталоги, связанные с Service Worker, и завершает процесс браузера.
19 февраля. / securitylab.ru /. Северокорейские злоумышленники пытаются подменять расширение криптокошелька MetaMask прямо на компьютере жертвы, и в успешном сценарии это может выглядеть для пользователя незаметно. Технику описали в рамках кампании Contagious Interview, которую исследователи связывают с актором из КНДР. Основные цели — IT-специалисты и разработчики из криптовалютной, Web3 и ИИ-сферы.
Заражение обычно начинается с фиктивного технического собеседования. Кандидату предлагают выполнить тестовое задание и запустить NPM-пакет. Внутри оказывается вредоносный JavaScript, который связывается с управляющей инфраструктурой, подтверждает запуск маячком и подтягивает следующий этап. Далее на машину загружаются дополнительные компоненты, в том числе два JavaScript-модуля с разными задачами и Python-бэкдор InvisibleFerret, который эта кампания использует уже несколько лет.
Один из JavaScript-компонентов отвечает за поиск и эксфильтрацию данных: он методично обходит файловую систему по набору шаблонов и выкачивает файлы, которые могут содержать секреты, — от данных браузера и менеджеров паролей до файлов криптокошельков и ключей. Второй компонент работает как легковесный бэкдор и принимает команды с C2. В анализе отдельно отмечена команда, которая подгружает ещё один скрипт для манипуляций с расширениями Chromium-браузеров.
Дальше атакующие могут попытаться заменить MetaMask в Chrome или Brave на троянизированную сборку. Скрипт ищет установленный кошелёк в профилях браузера, скачивает архив с вредоносным расширением и подменяет содержимое каталога. Критическая часть атаки основана на модификации файлов Preferences и Secure Preferences: злоумышленники меняют настройки расширения, переключают его на загрузку из локальной папки, включают режим разработчика и подставляют значения MAC, которые Chrome использует для проверки целостности конфигурации на базе HMAC-SHA256. Конфиг с MAC приходит с сервера атакующих, а механизм генерации валидных значений под конкретную систему в исследовании остаётся невыясненным. Чтобы принудительно загрузить подменённый код, скрипт также удаляет каталоги, связанные с Service Worker, и завершает процесс браузера.
SecurityLab.ru
Северокорейцы придумали идеальное резюме: вы думаете, что нанимаете, а они уже внутри
Хакеры из КНДР научились незаметно подменять расширения в Chrome.
Пять кликов до взлома: как один госслужащий целый год давал хакерам доступ к системе
19 февраля. / CYBER MEDIA /. Сотрудник одного из российских госучреждений в течение года неоднократно открывал фишинговые письма и тем самым предоставил злоумышленникам доступ к внутренней инфраструктуре организации. Об инциденте сообщили эксперты по кибербезопасности, расследовавшие атаку.
По данным специалистов центра исследований киберугроз Solar 4RAYS ГК «Солар», атака велась группировкой Cloud Atlas, известной шпионскими кампаниями против государственных структур в разных странах. В данном случае злоумышленники использовали целевые фишинговые рассылки с вредоносными документами Microsoft Office.
Первое проникновение произошло после открытия файла с темой «О сотрудничестве». Документ при запуске загружал удалённый шаблон с сервера атакующих, который эксплуатировал уязвимость офисного пакета и инициировал выполнение вредоносного кода. Затем происходила загрузка дополнительного файла, применявшегося для развития атаки внутри сети.
Как установили аналитики, один и тот же сотрудник открывал подобные письма как минимум пять раз. Тематика сообщений варьировалась от предложений о сотрудничестве до обсуждения бюджета и оптимизации процессов. В одном из эпизодов пользователь даже переслал подозрительный файл коллегам, пытаясь выяснить, почему документ «не открывается». В результате заражению подверглись и другие рабочие станции.
Эксперты отмечают, что атака строилась не только на технических уязвимостях, но и на психологических факторах. Письма маскировались под деловую переписку, содержали архивы с файлами, визуально выглядевшими как PDF или официальные документы, иногда с двойным расширением, скрытым стандартными настройками системы.
По словам специалистов, кибератаки на госсектор часто начинаются именно с фишинга. Злоумышленники изучают структуру организаций, имена руководителей и внутренние процессы, после чего формируют письма, максимально похожие на реальные рабочие запросы. Получив доступ к одному почтовому ящику, они используют его для дальнейшего распространения вредоносных вложений внутри ведомства.
Аналитики подчёркивают, что подобные инциденты демонстрируют необходимость постоянного обучения сотрудников правилам кибергигиены. Даже при наличии технических средств защиты человеческий фактор остаётся одним из ключевых каналов проникновения в инфраструктуру государственных и корпоративных организаций.
19 февраля. / CYBER MEDIA /. Сотрудник одного из российских госучреждений в течение года неоднократно открывал фишинговые письма и тем самым предоставил злоумышленникам доступ к внутренней инфраструктуре организации. Об инциденте сообщили эксперты по кибербезопасности, расследовавшие атаку.
По данным специалистов центра исследований киберугроз Solar 4RAYS ГК «Солар», атака велась группировкой Cloud Atlas, известной шпионскими кампаниями против государственных структур в разных странах. В данном случае злоумышленники использовали целевые фишинговые рассылки с вредоносными документами Microsoft Office.
Первое проникновение произошло после открытия файла с темой «О сотрудничестве». Документ при запуске загружал удалённый шаблон с сервера атакующих, который эксплуатировал уязвимость офисного пакета и инициировал выполнение вредоносного кода. Затем происходила загрузка дополнительного файла, применявшегося для развития атаки внутри сети.
Как установили аналитики, один и тот же сотрудник открывал подобные письма как минимум пять раз. Тематика сообщений варьировалась от предложений о сотрудничестве до обсуждения бюджета и оптимизации процессов. В одном из эпизодов пользователь даже переслал подозрительный файл коллегам, пытаясь выяснить, почему документ «не открывается». В результате заражению подверглись и другие рабочие станции.
Эксперты отмечают, что атака строилась не только на технических уязвимостях, но и на психологических факторах. Письма маскировались под деловую переписку, содержали архивы с файлами, визуально выглядевшими как PDF или официальные документы, иногда с двойным расширением, скрытым стандартными настройками системы.
По словам специалистов, кибератаки на госсектор часто начинаются именно с фишинга. Злоумышленники изучают структуру организаций, имена руководителей и внутренние процессы, после чего формируют письма, максимально похожие на реальные рабочие запросы. Получив доступ к одному почтовому ящику, они используют его для дальнейшего распространения вредоносных вложений внутри ведомства.
Аналитики подчёркивают, что подобные инциденты демонстрируют необходимость постоянного обучения сотрудников правилам кибергигиены. Даже при наличии технических средств защиты человеческий фактор остаётся одним из ключевых каналов проникновения в инфраструктуру государственных и корпоративных организаций.
Please open Telegram to view this post
VIEW IN TELEGRAM
📚Ваши деньги, но снять их не дадут. Банки тренируются определять, не звонят ли вам «из службы безопасности»
20 февраля. / securitylab.ru /. Схемы телефонных и «курьерских» мошенников заставляют банки искать новые тормоза, даже если они задевают привычное право человека свободно распоряжаться своими деньгами. На финансовом форуме по кибербезопасности 19 февраля банкиры и представители регулятора обсудили две идеи одновременно: как быстрее возвращать украденное жертвам и как сложнее выдавать наличные тем, кого мошенники уже «ведут» по сценарию.
Одна из проблем всплыла на практике, когда банки стали активнее блокировать счета дропов, через которых проходят похищенные деньги. На таких счетах нередко остаются крупные суммы, но вернуть их пострадавшим быстро и без суда сложно. На рынке признают, что из-за юридических ограничений деньги могут лежать замороженными месяцами и дольше, а общий объем таких средств исчисляется миллиардами рублей. При этом сохраняется риск, что злоумышленники попытаются забрать эти деньги обратно, используя формальные основания и документы.
Часть банков, по словам участников обсуждения, уже возвращает пострадавшим деньги, замороженные на счетах дропов, через механизм «Добрая воля» на базе сервисов Национальной системы платежных карт. Но сама процедура до конца не урегулирована, и банки фактически берут на себя юридические риски. Поэтому звучит предложение закрепить понятный внесудебный порядок возврата, чтобы пострадавший получал деньги быстрее, а спорные суммы не зависали на счетах в ожидании решений.
Параллельно обсуждали и наличные. В регуляторе говорят, что мошенники все чаще уходят от переводов на счета дропов к выводу денег наличными, в том числе через курьеров. На этом фоне предложили распространить «период охлаждения» на выдачу средств в кассах банковских отделений, если есть признаки, что клиент действует под давлением мошенников. Также звучала идея ограничивать сумму разовой выдачи, например 50 тысячами рублей, в ситуациях, когда риск выглядит высоким.
Но у таких мер есть очевидная слабая точка. Сложно формально и однозначно определить, что человек действительно находится под воздействием мошенников, а не просто снимает свои деньги по личным причинам. Поэтому даже сторонники подхода признают, что тема чувствительная: с одной стороны, это шанс остановить массовые «снятия под диктовку»; с другой, любое жесткое ограничение в отделении воспринимается как прямое вмешательство в право клиента распоряжаться собственными средствами.
Сейчас дискуссия сводится к одному: рынок хочет более четких правил. И по возврату денег с замороженных счетов, и по тому, как банки могут временно притормозить выдачу наличных, не превращая обычную операцию в конфликт с клиентом и не выходя за рамки закона.
20 февраля. / securitylab.ru /. Схемы телефонных и «курьерских» мошенников заставляют банки искать новые тормоза, даже если они задевают привычное право человека свободно распоряжаться своими деньгами. На финансовом форуме по кибербезопасности 19 февраля банкиры и представители регулятора обсудили две идеи одновременно: как быстрее возвращать украденное жертвам и как сложнее выдавать наличные тем, кого мошенники уже «ведут» по сценарию.
Одна из проблем всплыла на практике, когда банки стали активнее блокировать счета дропов, через которых проходят похищенные деньги. На таких счетах нередко остаются крупные суммы, но вернуть их пострадавшим быстро и без суда сложно. На рынке признают, что из-за юридических ограничений деньги могут лежать замороженными месяцами и дольше, а общий объем таких средств исчисляется миллиардами рублей. При этом сохраняется риск, что злоумышленники попытаются забрать эти деньги обратно, используя формальные основания и документы.
Часть банков, по словам участников обсуждения, уже возвращает пострадавшим деньги, замороженные на счетах дропов, через механизм «Добрая воля» на базе сервисов Национальной системы платежных карт. Но сама процедура до конца не урегулирована, и банки фактически берут на себя юридические риски. Поэтому звучит предложение закрепить понятный внесудебный порядок возврата, чтобы пострадавший получал деньги быстрее, а спорные суммы не зависали на счетах в ожидании решений.
Параллельно обсуждали и наличные. В регуляторе говорят, что мошенники все чаще уходят от переводов на счета дропов к выводу денег наличными, в том числе через курьеров. На этом фоне предложили распространить «период охлаждения» на выдачу средств в кассах банковских отделений, если есть признаки, что клиент действует под давлением мошенников. Также звучала идея ограничивать сумму разовой выдачи, например 50 тысячами рублей, в ситуациях, когда риск выглядит высоким.
Но у таких мер есть очевидная слабая точка. Сложно формально и однозначно определить, что человек действительно находится под воздействием мошенников, а не просто снимает свои деньги по личным причинам. Поэтому даже сторонники подхода признают, что тема чувствительная: с одной стороны, это шанс остановить массовые «снятия под диктовку»; с другой, любое жесткое ограничение в отделении воспринимается как прямое вмешательство в право клиента распоряжаться собственными средствами.
Сейчас дискуссия сводится к одному: рынок хочет более четких правил. И по возврату денег с замороженных счетов, и по тому, как банки могут временно притормозить выдачу наличных, не превращая обычную операцию в конфликт с клиентом и не выходя за рамки закона.
SecurityLab.ru
Ваши деньги, но снять их не дадут. Банки тренируются определять, не звонят ли вам «из службы безопасности»
Подозрительным клиентам предлагают задержку и лимиты, чтобы сорвать сценарий мошенников.
В Сети под видом ПО для бизнеса предлагали купить троян, работающий по подписке за $300 в месяц
20 февраля. / C.NEWS /. В Сети до недавнего времени предлагали купить подписку на новый RMM-инструмент TrustConnect за $300 в месяц, который на деле оказался трояном удаленного доступа. Стоящие за его созданием злоумышленники, чтобы вредонос вызывал доверие, создали очень качественный сайт, в том числе содержащий поддельные отзывы клиентов и документацию к «продукту». Они даже сумели получить EV-сертификат и почти смогли обмануть исследователей в области ИБ, которые едва не поверили в существовании легитимной версии TrustConnect.
Необычный вредонос
Исследователи из компании Proofpoint обнаружили новое коммерческое вредоносное ПО, маскирующееся под легитимный инструмент, пишет The Register. Его создатели выдавали себя за якобы реально существующего вендора софта для удаленного мониторинга и управления (RMM) корпоративного уровня. Для получения доступа к «продукту» предлагалось оформить подписку стоимостью $300 в месяц.
Специалисты Proofpoint признаются, что сами едва не попались на уловку киберпреступников, сперва посчитав TrustConnect легитимным инструментом, который был взят на вооружение злоумышленниками. Чаще всего именно так и происходит: выбравшие модель MaaS операторы, как правило, маскируют вредоносное ПО под хорошо известные программные продукты. Так его легче внедрить в инфраструктуру организации.
Подробнее о TrustConnect
Доменное имя trustconnectsoftware[.]com, привязанный к веб-сайту фейкового вендора, был зарегистрирован 12 января 2026 г. Сайт, вероятно, был создан при помощи инструментов генеративного искусственного интеллекта, полагают в Proofpoint.
«Создатель вредоносного ПО использует [упомянутый ранее] домен в качестве "бизнес-сайта", призванного убедить общественность (включая поставщиков сертификатов) в том, что программное обеспечение является легитимным RMM-приложением. Для этого используются поддельные данные, такие как статистика по клиентам и документация по программному обеспечению», – отмечают эксперты.
Этот же веб-сайт использовался для продаж трояна удаленного доступа другим киберпреступникам за криптовалюту по подписочной модели, предусматривающей ежемесячную оплату. Кроме того, он играл роль командного сервера управления (C2), с помощью которого злоумышленники контролировали работу вредоносного ПО.
Факт наличия домена и качественно оформленного веб-сайта, вероятно, упростил операторам задачу приобретения легитимного EV-сертификата. Соответствующий сертификат был отозван выдавшим его центром 6 февраля 2026 г., однако файлы, подписанные им до наступления этой даты, по-прежнему выглядят как подписанные легитимным сертификатом.
Командный сервер управления на IP-адресе 178[.]128[.]69[.]245 стараниями Proofpoint и ее партнеров прекратил работу 17 февраля 2026 г. Однако, как отмечает The Register, никаких особых проблем у оператора из-за этого не возникло – злоумышленники оперативно развернули новую инфраструктуру и приступили к тестированию новой версии трояна, который претерпел ребрендинг.
Троян удаленного доступа TrustConnect предоставляет злоумышленнику полный контроль над пользовательским вводом, позволяет вести запись и вести трансляцию в Сеть изображение с экрана монитора жертвы, а также предоставляет стандартную для инструментов управления удаленными рабочими столами функциональность: перенос файлов, выполнение системных команд и обход UAC.
Кто стоит за вредоносом
Эксперты Proofpoint связывают TrustConnect с одним из пользователей известного инфостилера RedLine с именем @zacchyy09 в Telegram. Именно его контакты были указаны на сайте TrustConnect в качестве ответственного за поддержку и продажи.
20 февраля. / C.NEWS /. В Сети до недавнего времени предлагали купить подписку на новый RMM-инструмент TrustConnect за $300 в месяц, который на деле оказался трояном удаленного доступа. Стоящие за его созданием злоумышленники, чтобы вредонос вызывал доверие, создали очень качественный сайт, в том числе содержащий поддельные отзывы клиентов и документацию к «продукту». Они даже сумели получить EV-сертификат и почти смогли обмануть исследователей в области ИБ, которые едва не поверили в существовании легитимной версии TrustConnect.
Необычный вредонос
Исследователи из компании Proofpoint обнаружили новое коммерческое вредоносное ПО, маскирующееся под легитимный инструмент, пишет The Register. Его создатели выдавали себя за якобы реально существующего вендора софта для удаленного мониторинга и управления (RMM) корпоративного уровня. Для получения доступа к «продукту» предлагалось оформить подписку стоимостью $300 в месяц.
Специалисты Proofpoint признаются, что сами едва не попались на уловку киберпреступников, сперва посчитав TrustConnect легитимным инструментом, который был взят на вооружение злоумышленниками. Чаще всего именно так и происходит: выбравшие модель MaaS операторы, как правило, маскируют вредоносное ПО под хорошо известные программные продукты. Так его легче внедрить в инфраструктуру организации.
Подробнее о TrustConnect
Доменное имя trustconnectsoftware[.]com, привязанный к веб-сайту фейкового вендора, был зарегистрирован 12 января 2026 г. Сайт, вероятно, был создан при помощи инструментов генеративного искусственного интеллекта, полагают в Proofpoint.
«Создатель вредоносного ПО использует [упомянутый ранее] домен в качестве "бизнес-сайта", призванного убедить общественность (включая поставщиков сертификатов) в том, что программное обеспечение является легитимным RMM-приложением. Для этого используются поддельные данные, такие как статистика по клиентам и документация по программному обеспечению», – отмечают эксперты.
Этот же веб-сайт использовался для продаж трояна удаленного доступа другим киберпреступникам за криптовалюту по подписочной модели, предусматривающей ежемесячную оплату. Кроме того, он играл роль командного сервера управления (C2), с помощью которого злоумышленники контролировали работу вредоносного ПО.
Факт наличия домена и качественно оформленного веб-сайта, вероятно, упростил операторам задачу приобретения легитимного EV-сертификата. Соответствующий сертификат был отозван выдавшим его центром 6 февраля 2026 г., однако файлы, подписанные им до наступления этой даты, по-прежнему выглядят как подписанные легитимным сертификатом.
Командный сервер управления на IP-адресе 178[.]128[.]69[.]245 стараниями Proofpoint и ее партнеров прекратил работу 17 февраля 2026 г. Однако, как отмечает The Register, никаких особых проблем у оператора из-за этого не возникло – злоумышленники оперативно развернули новую инфраструктуру и приступили к тестированию новой версии трояна, который претерпел ребрендинг.
Троян удаленного доступа TrustConnect предоставляет злоумышленнику полный контроль над пользовательским вводом, позволяет вести запись и вести трансляцию в Сеть изображение с экрана монитора жертвы, а также предоставляет стандартную для инструментов управления удаленными рабочими столами функциональность: перенос файлов, выполнение системных команд и обход UAC.
Кто стоит за вредоносом
Эксперты Proofpoint связывают TrustConnect с одним из пользователей известного инфостилера RedLine с именем @zacchyy09 в Telegram. Именно его контакты были указаны на сайте TrustConnect в качестве ответственного за поддержку и продажи.