Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Новая группировка атаковала криптокомпании через фейковые собеседования и вредонос под macOS.
- Скрытый майнер для GPU распространяли через поисковый спам и ИИ-чат-ботов.
- Хакера-мстителя изгнали с GitHub и GitLab после публикаций эксплойтов нулевого дня Microsoft.
- CrowdStrike и Google ликвидировали сеть, нацеленную на разработчиков открытого ПО.
Новая группировка атаковала криптокомпании через фейковые собеседования и вредонос под macOS
Исследователи Wiz раскрыли масштабную кампанию по краже криптовалют, за которой стоит ранее неизвестная группировка JINX-0164.
С середины 2025 года злоумышленники атаковали разработчиков блокчейн-проектов через фейковые онлайн-собеседования. В процессе общения жертву перенаправляли на поддельный сайт видеоконференции. Там под предлогом установки клиента или исправления «технической ошибки» разработчика убеждали скачать зараженный файл.
В арсенале группировки находятся сложные вредоносные программы, адаптированные под архитектуры Intel и Apple Silicon:
- AUDIOFIX. Маскируется под системный аудиодрайвер. Программа крадет пароли, ключи SSH, данные криптокошельков и сессии из Discord и Telegram. Софт позволяет хакерам перемещаться по внутренней сети компании, проникать в инфраструктуру и внедрять вредоносный код в рабочие проекты;
- MiniRAT. Ранее этот инструмент использовался для атаки на цепочку поставок. Он распространялся через зараженную версию легитимного npm-пакета @velora-dex/sdk, используемого в DeFi-проектах. MiniRAT позволяет удаленно выполнять команды и загружать дополнительные модули.
Эксперты отмечают, что тактика JINX-0164 — фокус на криптоиндустрии, таргетинг разработчиков через фальшивый рекрутинг и использование специфических VPN-сервисов (например, Astrill VPN) — напоминает почерк северокорейских группировок вроде BlueNoroff. Однако Wiz не нашла прямых технических совпадений в инфраструктуре, которые позволили бы однозначно связать JINX-0164 с Пхеньяном.
Скрытый майнер для GPU распространяли через поисковый спам и ИИ-чат-ботов
В рамках продолжающейся кампании по скрытому майнингу криптовалют злоумышленники нацелились на высокопроизводительные графические процессоры (GPU). Об этом сообщают специалисты Microsoft.
Заражение происходит через вредоносные страницы загрузки системных утилит, которые обычно устанавливают владельцы мощных ПК. Среди них: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear.
Исследователи Microsoft обнаружили, что атака начинается, когда пользователи ищут одну из вышеупомянутых утилит и переходят по вредоносным ссылкам, поднятым в поисковой выдаче с помощью SEO-оптимизации. Однако некоторые отчеты за апрель указывают на то, что пользователи попадали на вредоносные домены после взаимодействия с ИИ-ассистентами. В этих случаях жертвы, запрашивавшие у чат-бота рекомендации по скачиванию программного обеспечения, получали в сгенерированных ответах зараженные ссылки.
Как только система инфицируется, атакующий получает постоянный доступ путем развертывания стандартного инструмента удаленного управления ScreenConnect. Основная часть вируса маскируется под безобидные приложения вроде плеера VLC и прописывается в автозагрузку. Чтобы обойти защиту, зловред прячет свой код внутри официальных системных файлов Windows и добавляет себя в исключения антивируса.
Как только вредоносное ПО надежно и незаметно закрепилось, оно скачивает и запускает программу для скрытой добычи криптовалюты за счет мощностей видеокарты жертвы. В кампании используются GPU-майнеры gminer, lolMiner и SRBMiner-MULTI.
В Microsoft отметили, что поведение атакующих выделяется своей «стратегией таргетинга и монетизации, спроектированной с нуля для максимизации дохода от майнинга на GPU с каждого скомпрометированного устройства» вместо того, чтобы делать ставку на массовость заражений.
Хакера-мстителя изгнали с GitHub и GitLab после публикаций эксплойтов нулевого дня Microsoft
Корпорация Microsoft заблокировала GitHub-аккаунт исследователя в сфере кибербезопасности под ником Nightmare-Eclipse и удалила его учетную запись Microsoft. Затем и GitLab поддержал инициативу.
Причиной конфликта стали финансовые разногласия и политика раскрытия эксплойтов. Как утверждает Nightmare-Eclipse, Microsoft проигнорировала его отчеты об уязвимостях и отказалась выплачивать вознаграждения по программе MSRC, которые могут достигать $250 000.
В ответ исследователь начал публиковать обнаруженные уязвимости нулевого дня в открытом доступе и заявил, что 14 июля 2026 года выпустит новую порцию.
Он сообщил о:
- BlueHammer. Локально повышает привилегии в Windows Defender. Позволяет злоумышленнику, уже имеющему доступ на уровне обычного пользователя, повысить права до максимального SYSTEM;
- RedSun. Использует иную уязвимость в коде антивируса, чем BlueHammer, но приводит к аналогичному результату;
- UnDefend. Инструмент, направленный на саботаж работы Windows Defender. Эксплойт заставляет систему считать, что конечная точка защищена и антивирус работает корректно, однако фактически лишает Defender способности обнаруживать вредоносный код;
- GreenPlasma. Уязвимость, обеспечивающая получение привилегий SYSTEM через системную службу CTFMon, отвечающую за альтернативный ввод текста и языковые панели;
- MiniPlasma. Эксплойт для локального повышения привилегий через драйвер облачного фильтра Windows cldflt.sys. Успешно дает права SYSTEM даже на полностью обновленных версиях Windows 11;
- YellowKey. Критическая уязвимость в технологии шифрования дисков BitLocker. Позволяет злоумышленнику при наличии физического доступа к устройству обойти механизмы защиты и открыть зашифрованные данные практически без усилий, полностью нивелируя предназначение этой технологии.
Кроме того, Nightmare-Eclipse заявил о создании «переключателя мертвеца» — автоматизированной системы, которая сольет в сеть новые эксплойты в случае его ареста или физического устранения.
CrowdStrike и Google ликвидировали сеть, нацеленную на разработчиков открытого ПО
В ходе совместной операции CrowdStrike, Shadowserver и Google ликвидировали сеть для распространения вредоносов и кражи паролей у разработчиков ПО с открытым исходным кодом.
Целью были хакеры, стоящие за ботнетом Glassworm. Эта группировка на протяжении двух лет атаковала цепочки поставок в OS-экосистеме.
Хакеры Glassworm использовали несколько стратегий для распространения вредоносного кода. Среди них:
- публикация зараженных расширений в маркетплейсах, которыми пользуются разработчики;
- малвертайзинг (вредоносная реклама) — покупка спонсорских ссылок в поисковой выдаче, чтобы обманом заставить жертв скачать вредоносный софт;
- использование учетных данных, украденных в ходе предыдущих взломов, что позволяло присваивать аккаунты разработчиков и внедрять хакерский код непосредственно в их проекты.
По данным CrowdStrike, хакерам удалось «отравить» более 300 репозиториев на GitHub. Специалисты ликвидировали четыре командно-контрольных сервера, опиравшиеся на блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные приватные серверы. Это лишило злоумышленников доступа к зараженным компьютерам и остановило дальнейшую доставку вредоносного ПО.
В Одессе аферисты использовали продвинутые ИИ-технологии для кражи около 2,5 млн гривен
Правоохранители Украины совместно с киберполицией Казахстана разоблачили крупную преступную организацию в Одессе.
Целью телефонных мошенников были граждане Казахстана. По предварительным данным ущерб составил около 2,5 млн гривен (примерно $57 000 по курсу на момент написания).
Аферисты применяли продвинутые инструменты социальной инженерии, включая технологию дипфейк и сгенерированные ИИ-видео. Они представлялись силовиками, сотрудниками банков или телеком-компаний и создавали иллюзию угрозы. Под предлогом «защиты счета» или во избежание вымышленного уголовного преследования злоумышленники убеждали людей устанавливать на смартфоны вредоносное ПО для кражи средств.
По данным следствия, незаконную сеть организовали двое одесситов. Колл-центры функционировали как слаженный системный бизнес с собственной CRM-системой и четким распределением ролей. В штате работали HR-менеджеры, администраторы, IT-специалисты и операторы разного уровня.
В ходе обыска правоохранители задержали девять человек, изъяли технику, записи «черной» бухгалтерии, автомобили и наличные деньги. Им грозит до 12 лет лишения свободы с конфискацией имущества.
Крупнейший круизный оператор Carnival подтвердил утечку данных 6 млн клиентов
Крупнейший мировой оператор круизных лайнеров Carnival Corporation официально подтвердил масштабную утечку информации, затронувшую почти 6 млн человек.
Инцидент произошел 10 апреля 2026 года в результате атаки с использованием социальной инженерии: злоумышленники обманули одного из сотрудников и получили доступ к корпоративным системам. В результате от лица компании началась массовая рассылка уведомлений пострадавшим.
По данным BleepingComputer, ответственность за взлом взяла на себя группировка ShinyHunters. По словам злоумышленников, они похитили терабайты корпоративной информации.
Анализ утечки показал, что хакеры получили базы данных участников программы лояльности бренда Holland America. Среди скомпрометированной информации: имена, даты рождения, адреса электронной почты, пол и географическое положение клиентов.
Для Carnival инцидент стал очередным ударом по репутации: в 2020 и 2021 годах системы круизного оператора уже подвергались успешным атакам хакеров. В результате пострадали личные и финансовые данные пассажиров и экипажа.
Также на ForkLog:
- Хакер перехватил аирдроп GUA на $15 млн.
- Фейковая реклама Uniswap в Google принесла скамерам $400 000.
- В Squid опровергли взлом их контракта на $3 млн.
- Socket выявила атаку на разработчиков криптовалют и ИИ-систем.
- 10 000 критических уязвимостей: Anthropic отчиталась о первых результатах Project Glasswing.
- Стейблкоины EURR и USDR от StablR потеряли привязку после взлома на $2,8 млн.
Что почитать на выходных?
Выходные — повод не только пересмотреть любимые фильмы, но и переосмыслить их. ForkLog начал заранее и разобрался, почему главный герой классической ленты Майка Ли «Обнаженная» Джонни — не просто мизантроп с манчестерским акцентом, а ранний прототип шифропанка без интернета.
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
Источник: forklog.com
Обсуждение: post