Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Хакеры придумали схему незаметной подмены биткоин-адресов.
Новый троян для Android замаскировали под IPTV-приложения.
Пользователям Trezor и Ledger пришли фишинговые бумажные письма.
Исследователь уличил крупные компании в слежке за пользователями Chrome через расширения.
Хакеры придумали схему незаметной подмены биткоин-адресов
Злоумышленники начали незаметно подменять биткоин-адреса под предлогом выгодной сделки по арбитражу криптовалют. Схему обнаружили специалисты BleepingComputer.
Кампания строится на обещаниях огромной прибыли от якобы найденной «уязвимости для арбитража» на платформе обмена криптовалют Swapzone. На деле хакеры запускают вредоносный код, который модифицирует процесс свопа прямо в браузере жертвы.
Обычно атаки в стиле ClickFix нацелены на ОС: пользователей обманом заставляют запускать команды в PowerShell для «исправления ошибок» Windows, что приводит к установке стилеров или шифровальщиков. В данном случае целью стала конкретная сессия в браузере.
По данным СМИ, это один из первых зафиксированных случаев использования механики ClickFix для манипуляции веб-страницами с целью прямой кражи криптовалют.
Для продвижения мошеннической кампании хакеры оставляют комментарии к различным постам на популярном сервисе для хранения текста (строк кода) Pastebin.
Источник: BleepingComputer.
Они рекламируют «утечку документации по взлому», которая якобы позволяет заработать $13 000 за два дня, и прикрепляют ссылку на ресурс. «Руководство» в Google Docs описывает схему получения завышенной суммы обмена в определенных парах BTC.
Наблюдения BleepingComputer показали, что документ постоянно просматривают одновременно от одного до пяти человек, что подтверждает активность схемы.
Источник: BleepingComputer.
В фальшивом руководстве пользователю предложено:
Перейти на сайт Swapzone.
Скопировать JavaScript-код со стороннего ресурса.
Вернуться на вкладку Swapzone, ввести в адресную строку javascript:, вставить скопированный код и нажать Enter.
Этот метод использует функцию браузера javascript: URI, которая позволяет исполнять код в контексте открытого сайта. Анализ показал, что первичный скрипт загружает вторую, сильно запутанную часть нагрузки. Она внедряется в страницу Swapzone, подменяя легитимные сценарии Next.js, отвечающие за проведение транзакций:
подмена адреса. Вредоносный скрипт содержит список биткоин-адресов злоумышленников. Он подставляет один из них вместо реального адреса депозита, сгенерированного биржей;
визуальный обман. Код меняет отображаемые курсы обмена и суммы выплат на экране, чтобы у пользователя создалось впечатление, что «арбитражная схема» действительно работает;
результат. Жертва видит привычный интерфейс легитимного сервиса, но отправляет деньги на биткоин-кошелек хакера.
Новый троян для Android замаскировали под IPTV-приложения
Новое вредоносное ПО для Android выдает себя за приложение для просмотра IPTV для кражи цифровых личностей и доступа к банковским счетам жертвы. Об этом сообщили исследователи кибербезопасности ThreatFabric.
Вирус Massiv использует наложение окон и запись нажатий клавиш для сбора конфиденциальных данных. Он также может устанавливать полное дистанционное управление зараженным устройством.
В ходе кампании Massiv атаковал португальское государственное приложение, связанное с Chave Móvel Digital — национальной системой цифровой аутентификации и подписи. Данные, хранящиеся в этих сервисах, могут быть использованы для обхода процедур верификации личности (KYC), доступа к банковским аккаунтам, а также к другим государственным и частным онлайн-услугам.
По данным ThreatFabric, зафиксированы случаи открытия банковских счетов и сервисов на имя жертвы без ее ведома.
Massiv предоставляет операторам два режима удаленного управления:
стриминг экрана — использует Android MediaProjection API для трансляции происходящего на экране в реальном времени;
режим UI-tree — извлечение структурированных данных через Accessibility Service (Службу специальных возможностей).
Источник: ThreatFabric.
Второй режим позволяет злоумышленникам видеть текст, названия элементов интерфейса и их координаты. Это дает возможность нажимать кнопки и редактировать текстовые поля от имени пользователя. Что еще важнее, метод позволяет обходить защиту от снимков экрана, которая часто встроена в банковские и финансовые приложения.
Исследователи отметили интересную тенденцию: за последние восемь месяцев резко возросло использование IPTV-приложений в качестве «приманки» для заражения Android-устройств.
Источник: ThreatFabric.
Такие приложения часто нарушают авторские права, поэтому их нельзя найти в Google Play. Пользователи привыкли скачивать их в виде APK-файлов из неофициальных источников и устанавливать вручную.
По данным отчета, кампания направлена на жителей Испании, Португалии, Франции и Турции.
Пользователям Trezor и Ledger пришли фишинговые бумажные письма
Пользователи Trezor и Ledger стали получать обычные письма, отправленные злоумышленниками якобы от лица производителей аппаратных криптокошельков.
По словам специалиста по кибербезопасности Дмитрия Смилянца, полученное им письмо выглядело как официальное уведомления отдела безопасности Trezor.
На фирменном бланке клиенту предложили пройти обязательную процедуру: отсканировать QR-код и завершить верификацию на специальном сайте до определенной даты. В случае невыполнения пользователю пригрозили лишением доступа к функциям кошелька.
В комментариях к посту всплыли и другие ранние случаи фишинга якобы от представителей Ledger. Оба письма создавали ощущение срочности, подталкивая жертв к немедленным действиям.
at least they could have worked on a better phishing page 😭😭even plaintext seed words sent to telegram api...trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR— Who said what? (@g0njxa) February 12, 2026
QR-коды из писем вели на вредоносные сайты, имитирующие официальные страницы настройки Trezor и Ledger. На финальном этапе пользователей принуждали ввести сид-фразу для «подтверждения владения устройством».
Исследователь уличил крупные компании в слежке за пользователями Chrome через расширения
Исследователь под ником Q Continuum обнаружил 287 расширений для Chrome, которые передают все данные об истории посещений сторонним компаниям. Их суммарное количество установок превысило 37,4 млн.
С помощью автоматизированной системы тестирования специалист проверил 32 000 плагинов из Chrome Web Store. В итоге удалось обнаружить более 30 компаний, которые собирают данные.
Аналитик считает, что расширения, предлагающие удобные и полезные инструменты, на самом деле необоснованно запрашивают доступ к истории браузера. Некоторые из них дополнительно шифруют данные, затрудняя обнаружение.
По словам специалиста, часть сбора данных формально прописана в политиках конфиденциальности. Однако не все пользователи уделяют им должное внимание.
Исследователь уличил в сборе данных Similarweb, Semrush, Alibaba Group, ByteDance и аффилированную с Similarweb структуру Big Star Labs.
Под подозрением оказались кастомизатор тем Stylish и блокировщики рекламы (Stands AdBlocker и Poper Blocker, CrxMouse), а также расширение самой Similarweb (SimilarWeb: Website Traffic & SEO Checker).
Источник: GitHub пользователя Q Continuum.
Около 20 млн установок из 37,4 млн не удалось привязать к конкретным получателям данных.
В политике конфиденциальности Similarweb сбор данных задокументирован. Компания утверждает, что обезличивает информацию на стороне клиента, хотя здесь же оговаривается, что «часть этих данных может включать персональные и конфиденциальные сведения в зависимости от поисковых запросов и просматриваемого контента».
Утекли данные клиентов популярного производителя игрушек для взрослых
Японская компания Tenga разослала клиентам уведомления о нарушении безопасности данных. Об этом сообщает TechCrunch.
Согласно сообщению, «постороннее лицо получило доступ к профессиональной электронной почте одного из наших сотрудников», что открыло хакеру доступ к содержимому входящих сообщений. Это потенциально позволило ему увидеть и украсть имена клиентов, адреса электронной почты и историю переписки, которая «могла включать детали заказов или обращения в службу поддержки».
Хакер также рассылал спам-сообщения по списку контактов взломанного сотрудника, включая клиентов компании.
После публикации новости представитель Tenga сообщил TechCrunch, что, согласно результатам технической экспертизы, утечка затронула «примерно 600 человек» в США.
Tenga — глобальный поставщик товаров для взрослых. Учитывая характер продукции, детали заказов и обращения в техподдержку, скорее всего, содержат личную информацию, которую многие клиенты предпочли бы не разглашать.
Компания предприняла ряд защитных мер:
сброс учетных данных взломанного сотрудника;
внедрение во всех своих системах многофакторной аутентификации — базовой функции безопасности, которая предотвращает доступ к аккаунтам даже при наличии украденного пароля.
Представитель компании отказался уточнить, была ли включена двухфакторная аутентификация на почтовом аккаунте до взлома.
В Африке арестовали 651 подозреваемого в ходе операции против киберпреступности
Правоохранители африканских стран арестовали 651 подозреваемого и изъяли более $4,3 млн в ходе совместной операции против инвестиционного мошенничества. Об этом сообщает Интерпол.
Целью Red Card 2.0 стали киберпреступные группировки, причастные к финансовым потерям на сумму более $45 млн. Власти 16 стран изъяли 2341 устройство и заблокировали 1442 вредоносных веб-сайта, домена и сервера.
Ключевые результаты по странам:
Нигерия. Полиция ликвидировала сеть инвестиционного мошенничества, которая вербовала молодежь для проведения фишинговых атак, кражи личных данных и реализации фейковых инвестиционных схем. Удалено более 1000 мошеннических аккаунтов в социальных сетях. Также арестованы шесть членов банды, которые использовали украденные учетные данные сотрудников для взлома крупного телекоммуникационного провайдера;
Кения. Задержаны 27 подозреваемых в ходе расследования деятельности группировок, которые через соцсети и мессенджеры заманивали жертв в фиктивные инвестиционные проекты;
Кот-д'Ивуар. Арестованы 58 человек в рамках борьбы с мобильными приложениями для микрозаймов. Они использовали скрытые комиссии и незаконные методы взыскания долгов.
Также на ForkLog:
OpenAI выпустила бенчмарк для оценки способности ИИ-агентов взламывать смарт-контракты.
Вайб-кодинг через Claude Opus привел к взлому DeFi-проекта Moonwell.
Figure признала утечку персональных данных клиентов.
У полиции Южной Кореи из холодного кошелька исчезли 22 BTC.
Что почитать на выходных?
В романе «Ложная слепота» канадский биолог и писатель Питер Уоттс предложил радикальную гипотезу: разум может быть эффективным без сознания. Спустя почти 20 лет после публикации книги этот тезис точно описывает генеративный ИИ.
В новом материале ForkLog разобрался какие ошибки мы совершаем, очеловечивая алгоритмы.
https://forklog.com/exclusive/ai/soznanie-atavizm
