Криптовалюта пользователей TikTok в опасности, уязвимость в Gemini и другие события кибербезопасности

• Гибридная атака на криптовалюту сообщества TikTok.
• Пользователи Firefox потеряли около $1 млн в криптовалюте.
• Программисты под прицелом криптодрейнеров.
• В Gemini нашли серьезную уязвимость.

Гибридная атака на криптовалюту пользователей TikTok

Злоумышленники с помощью шпионской программы SparkKitty, распространяющейся через фальшивые TikTok-магазины, крадут криптовалюту пользователей.

Согласно августовскому отчету CTM360, специалисты по безопасности обнаружили глобальную кампанию по распространению вредоносного ПО — FraudOnTok. Гибридная мошенническая модель совмещает фишинг и вредоносы для обмана покупателей и участников партнерской программы на платформе электронной коммерции TikTok.

После установки ПО проникает в устройство жертвы, получает доступ к фотогалерее и извлекает скриншоты, которые могут содержать данные о криптокошельках.

Одновременное применение фишинга и троянской программы делает FraudOnTok особенно опасным. Мошенничество начинается с имитации маркетплейсов, которые визуально почти неотличимы от официальных TikTok Shop, TikTok Wholesale и TikTok Mall. Пользователей побуждают войти в систему и сделать покупку. На этапе оплаты им предлагают использовать криптовалютные кошельки. Жертвы часто убеждены, что пополняют кошелек TikTok или вносят плату в цифровых активах вроде USDT и ETH.

 По данным CTM360, зафиксировано:

• более 10 000 фейковых сайтов, многие из которых используют дешевые или бесплатные доменные зоны: .top, .shop, .icu;
• около 5000 вредоносов, распространяемых через QR-коды, мессенджеры и загрузки внутри приложений.

Пользователи Firefox потеряли около $1 млн в криптовалюте

Браузер Firefox в результате атаки GreedyBear заразило более 150 вредоносных расширений в официальном магазине Mozilla. Схема позволила мошенникам похитить ~$1 млн в криптовалюте.

По данным Koi Security, злоумышленники маскировали вредоносные расширения под популярные криптокошельки, вроде MetaMask, TronLink и Rabby.

На первом этапе расширения загружались в магазин в безопасной форме, проходя модерацию Firefox. Они собирали фальшивые положительные отзывы после чего злоумышленники внедряли вредоносный код и изменяли оригинальные названия и логотипы.

По словам специалиста из Koi Security Тувала Адмони, вредоносные расширения захватывали данные прямо из интерфейса всплывающего окна и отправляли их на удаленный сервер. Кроме этого вредонос:

• записывал нажатия клавиш и вводимые данные;
• похищал криптокошельки, считывая данные из полей ввода;
• отправлял IP-адреса жертв на сервер злоумышленников.

Фейковые расширения удалены из официального магазина Mozilla. Кампания сопровождалась десятками русскоязычных сайтов с пиратским софтом, где распространялось более 500 вредоносных исполняемых файлов, а также фейковыми сайтами, имитирующими Trezor, Jupiter Wallet и сервисы «починки» кошельков.

По данным экспертов, анализ кода показывает следы генерации с помощью ИИ, что позволяло быстро масштабировать кампанию, маскировать и разнообразить вредоносные нагрузки, а также восстанавливаться после удаления. На момент написания фейковые расширения удалены из официального магазина Mozilla.

Программисты под прицелом криптодрейнеров

4 августа исследователи Safety выявили в экосистеме менеджера пакетов для JavaScript NPM вредонос, нацеленный на кражу криптовалюты.

Подозрительный модуль позиционировался как инструмент для «лицензионного аудита и оптимизации реестра в высоконагруженных Node.js-средах». Он размещен в реестре 28 июля 2025 года и до момента удаления успел набрать более 1500 загрузок.

По словам специалистов, один из компонентов открытого кода был откровенно назван «усиленным скрытым дрейнером криптокошельков», что явно указывало на его назначение.

ПО активировалось автоматически после установки, размещаясь в скрытых системных папках Windows, Linux и macOS. Вредонос проверял систему на наличие криптокошельков. После обнаружения средства автоматически переводились на Solana-адрес злоумышленников.

Эксперты уверены, что мошеннический код был сгенерирован при участии ИИ, предположительно, Claude от Anthropic.

В Gemini нашли серьезную уязвимость

6 августа исследователи в области кибербезопасности опубликовали видео, в котором показали серьезную уязвимость в популярной модели искусственного интеллекта от Google — Gemini.

Контролируемая атака с использованием косвенной инъекции подсказок (promptware), заставила Gemini управлять устройствами умного дома. Ученые таким образом продемонстрировали, как ИИ-система инициирует реальные физические действия через цифровой захват.

Группа исследователей из Тель-Авивского университета, Техниона и компании SafeBreach разработала проект под названием Invitation is all you need. Они внедрили вредоносные инструкции в приглашения Google Calendar. Когда пользователь просил Gemini «подвести итоги календаря», ИИ активировал заранее запрограммированные действия — включал устройства умного дома, несмотря на то, что пользователь этого не просил.

В рамках демонстрации Gemini также:

• открывал жалюзи;
• включал бойлер;
• отправлял спам и оскорбительные сообщения;
• раскрывал содержимое электронной почты;
• запускал видеозвонки в Zoom;
• загружал файлы на устройство.

В ответ на исследование Google усилила защиту Gemini. Среди предпринятых мер:

• фильтрация выходных данных;
• обязательное подтверждение действий пользователя для выполнения чувствительных операций;
• ИИ-анализ подозрительных подсказок и команд.

Десятки крупнейших компаний пострадали от вымогателей

По информации Bleeping Computer от 6 августа, Google пострадала от утечки данных в рамках продолжающейся волны атак на Salesforce CRM.

В июне корпорация сообщила, что некий злоумышленник UNC6040 атакует сотрудников компаний с помощью голосового фишинга (vishing) — вида социальной инженерии. Цель атак — получить доступ к Salesforce и загрузить клиентские данные. Эта информация затем используется для вымогательства: хакеры требуют выкуп в криптовалюте, чтобы не публиковать украденную информацию.

Согласно Bleeping Computer, за атаками стоит известная хакерская группировка ShinyHunters. Организация действует уже много лет и ответственна за целый ряд крупных взломов, включая PowerSchool, Oracle Cloud, атаки на Snowflake, AT&T, NitroPDF, Wattpad, MathWay.

В комментарии изданию хакеры заявили, что взломали множество инстансов Salesforce, и атаки все еще продолжаются. Злоумышленники утверждают, что проникли в компанию с капитализацией в триллион долларов, и рассматривают возможность «просто слить данные без выкупа».

В отношении других компаний хакеры приступили к вымогательству: они рассылают письма с требованиями, угрожая опубликовать данные. По данным Bleeping Computer, одна из компаний уже заплатила 4 BTC.

Среди других пострадавших: Adidas, Qantas, Allianz Life, Cisco, а также дочерние фирмы LVMH — Louis Vuitton, Dior и Tiffany & Co.

Также на ForkLog:

• Команда CrediX исчезла после взлома на $4,5 млн.
• Скамеры атаковали пользователей Aave через Google Ads.
• Основатели HashFlare попросили суд не отправлять их в тюрьму за мошенничество на $577 млн.
• Сооснователя Tornado Cash признали частично виновным. Криптосообщество разочаровано.
• Животноводы-майнеры из Ингушетии похитили 8 млн кВт⋅ч электроэнергии.
• Криптоинвестор потерял $3 млн в один клик.
• Свыше 80% финансовых пирамид в РФ перешли на криптовалюты.
• Google выявил кражи криптовалют на миллионы долларов «фрилансерами» из КНДР.
• Протокол CrediX остановил работу после взлома на $4,5 млн.
• Киберпреступники ускорили темпы отмывания криптоактивов.
• Исследователи обнаружили нераскрытый взлом майнинг-пула LuBian на 127 426 BTC.

Что почитать на выходных?

О том, почему в сфере разработки ИИ понятия «суверенный ИИ» и «глобальный искусственный интеллект» ничего на самом деле не значат и служат лишь поводом для манипуляций, читайте на ForkLog.