Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Новую Battlefield 6 использовали для кражи криптовалют.
Правоохранители ликвидировали колл-центр в Киеве.
Хакеры использовали Ethereum для стабильности атак.
Фейковые сайты для взрослых уличили в краже данных.
Новую Battlefield 6 использовали для кражи криптовалют
Эксперты Bitdefender Labs выявили масштабные вредоносные кампании, использующие октябрьский релиз шутера Battlefield 6. Хакерское ПО распространяется через фейковый софт для установки пиратских версий игры — «репаков» от популярных команд.
Источник: Electronic Arts.
Злоумышленники активно применяют социальную инженерию и маскируются под известные группы вроде InsaneRamZes и RUNE для доставки инфицированных установщиков со стилерами.
Вредоносные файлы полностью лишены заявленной функциональности и скрывают взлом системы сразу после запуска. Специалисты обнаружили набор хакерского ПО:
примитивный инфостилер для кражи данных криптокошельков и токенов аутентификации Discord;
софт под видом игрового установщика InsaneRamZes — использует продвинутые техники в виде хеширования Windows API, при этом блокируя исполнение хакерского кода для стран СНГ;
фейковый репак от RUNE — развертывает агента для доступа к удаленному серверу посредством системной утилиты regsvr32.exe.
Исследователи Bitdefender рекомендовали загружать ПО исключительно с официальных платформ вроде Steam или EA App.
Правоохранители ликвидировали колл-центр в Киеве
В Киеве раскрыли группу мошенников, похитивших у граждан ЕС деньги под предлогом инвестиций в криптовалюту и акции «перспективных» компаний. Об этом сообщила Киберполиция Украины.
Среди потерпевших — более 30 человек. В ходе спецоперации полиция провела 21 обыск и изъяла более $1,4 млн, свыше 5,8 млн гривен и 17 000 евро наличными.
Источник: Киберполиция Украины.
По оперативным данным, руководитель схемы и двое его пособников организовали колл-центр в Киеве на 20 рабочих мест. «Менеджеры VIP-клиентов» формировали у потерпевших ложное представление об успешных торгах на мировых биржах. С этой целью злоумышленники через удаленный доступ устанавливали на компьютеры «клиентов» специальное ПО.
После получения криптовалюты участники группы обналичивали ее через физические обменники в Киеве. Им грозит до 12 лет лишения свободы.
Хакеры использовали Ethereum для стабильности атак
Специалисты «Лаборатории Касперского» обнаружили ботнет Tsundere, который проникает на устройства с Windows под видом инсталляторов для популярных игр вроде Valorant, CS2 и R6x.
Для атак вредоносное ПО использует смарт-контракты Ethereum, что значительно повышает устойчивость инфраструктуры ботнета. В случае блокировки одного командного сервера система автоматически переключается на резервные, записанные заранее в блокчейн.
Для этого хакеры совершают транзакцию на 0 ETH, внося в переменную состояния контракта новый адрес. Бот обращается к публичным RPC Ethereum, анализирует транзакции и извлекает актуальный путь.
Исследование выявило связь между Tsundere и стилером, распространяемым на хакерских форумах — 123 Stealer. Они используют общую инфраструктуру и аффилированы с пользователем под ником koneko.
Фейковые сайты для взрослых уличили в краже данных
Новая атака JackFix использует поддельные сайты для взрослых и имитацию обновлений Windows для массового внедрения инфостилеров. Об этом сообщает команда Acronis Threat Research Unit.
Злоумышленники распространяют клоны популярных платформ вроде Pornhub, которые при взаимодействии открывают полноэкранное окно с требованием установить «критические обновления безопасности Windows».
Источник: Acronis Threat Research Unit.
По данным аналитиков, атака выполняется внутри браузера жертвы через HTML и JavaScript с попыткой программной блокировки клавиш выхода из полноэкранного режима.
Для обхода систем безопасности хакеры применяют массивы команд и специальные файлы с расширением .odd в целях скрытого запуска вредоносных процессов через интерфейс PowerShell.
Источник: Acronis Threat Research Unit.
Далее скрипт непрерывно атакует пользователя с помощью социальной инженерии до момента получения прав администратора. После этого код прописывает исключения для антивируса и загружает финальную нагрузку с серверов злоумышленников. Фейковые URL-адреса настроены таким образом, что при прямом доступе они перенаправляют исследователей на легитимные ресурсы Google или Steam.
Эксперты заметили, что одна успешная инъекция приводит к загрузке и запуску сразу восьми различных семейств вредоносного ПО, включая новейшие версии стилеров и трояна удаленного доступа RAT (Remote Access Trojan).
Если сайт перешел в полноэкранный режим и заблокировал интерфейс, команда Acronis Threat Research Unit рекомендовала использовать клавишу Esc или F11 для выхода. Если проблема сохраняется, необходимо принудительно закрыть браузер через Alt+F4 или диспетчер задач (Ctrl+Shift+Esc).
Хакерские ChatGPT стали популярны
Неофициальные LLM-модели WormGPT 4 и KawaiiGPT расширяют возможности злоумышленников, сообщили специалисты Unit 42.
По их словам, ИИ генерирует рабочий вредоносный код, в том числе скрипты для шифровальщиков и автоматизации перемещения внутри корпоративных сетей.
WormGPT 4 — возрождение закрытого в 2023 году проекта WormGPT, который вновь обнаружили в сентябре 2025 года. Модель позиционируется как аналог ChatGPT, обученный специально для незаконных операций. ПО распространяется по цене $50 в месяц или $220 за пожизненный доступ.
В ходе эксперимента WormGPT 4 успешно сгенерировала шифровальщик для PDF-файлов на Windows. Скрипт также включал опцию эксфильтрации информации через Tor-сеть для проведения реальных атак.
Эксперты считают, что модель хорошо справляется с написанием «убедительных и устрашающих» записок для вымогателей с упоминанием «военного уровня шифрования» и удвоением выкупа через 72 часа.
Источник: Unit 42.
По данным Unit 42, WormGPT 4 предоставляет «достоверные инструменты лингвистической манипуляции» для компрометации деловой переписки и фишинговых атак, делая сложные операции доступными даже для новичков.
Другой софт — KawaiiGPT 2.5 — обнаружен в июле и распространяется бесплатно. Установка модели на Linux заняла у исследователей около пяти минут. LLM генерирует реалистичные фишинговые письма и готовые к выполнению скрипты.
Несмотря на то, что KawaiiGPT не создала полноценный «вымогатель» в отличие от WormGPT 4, эксперты предупредили — возможность генерации скриптов для удаленного выполнения команд делает ее опасным инструментом для кражи данных.
По словам исследователей, обе модели имеют сотни подписчиков в Telegram-каналах, где пользователи обмениваются опытом и обходными методами.
Amazon: кибератаки служат наводкой для военных ударов
Прогосударственные хакерские группировки перешли от классического шпионажа к тактике «кибернетического обеспечения кинетического целеуказания» для непосредственной поддержки военных ударов. Об этом сообщают специалисты кибербезопасности Amazon Threat Intelligence (ATI).
Согласно ATI, Imperial Kitten якобы внедрилась в навигационные системы и камеры неназванных судов для сбора точных координат морских целей. Полученные данные позволили 1 февраля 2024 года силам хуситов нанести прицельный ракетный удар по отслеживаемому кораблю, утверждают исследователи.
Они призвали к внедрению расширенного моделирования угроз для защиты физических объектов от подобных атак. По мнению ATI, операторы критической инфраструктуры обязаны рассматривать свои системы как потенциальные инструменты наведения.
Также на ForkLog:
Вредоносное расширение для Chrome нацелилось на Solana-трейдеров.
Хакеры похитили $37 млн с южнокорейской биржи Upbit.
Сеть Monad заполонили поддельные транзакции.
Эксперт: квантовые компьютеры сломают политику биткоина.
Что почитать на выходных?
Как и зачем Пекин помогает авторитарным режимам контролировать интернет? В новом материале ForkLog постарался найти ответ в слитых документах китайских технологических компаний Geedge Networks и KnownSec.
https://forklog.com/exclusive/dubinka-na-eksport
