Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Злоумышленники с помощью шпионской программы SparkKitty, распространяющейся через фальшивые TikTok-магазины, крадут криптовалюту пользователей.
Согласно августовскому отчету CTM360, специалисты по безопасности обнаружили глобальную кампанию по распространению вредоносного ПО — FraudOnTok. Гибридная мошенническая модель совмещает фишинг и вредоносы для обмана покупателей и участников партнерской программы на платформе электронной коммерции TikTok.
После установки ПО проникает в устройство жертвы, получает доступ к фотогалерее и извлекает скриншоты, которые могут содержать данные о криптокошельках.
Одновременное применение фишинга и троянской программы делает FraudOnTok особенно опасным. Мошенничество начинается с имитации маркетплейсов, которые визуально почти неотличимы от официальных TikTok Shop, TikTok Wholesale и TikTok Mall. Пользователей побуждают войти в систему и сделать покупку. На этапе оплаты им предлагают использовать криптовалютные кошельки. Жертвы часто убеждены, что пополняют кошелек TikTok или вносят плату в цифровых активах вроде USDT и ETH.
По данным CTM360, зафиксировано:
Браузер Firefox в результате атаки GreedyBear заразило более 150 вредоносных расширений в официальном магазине Mozilla. Схема позволила мошенникам похитить ~$1 млн в криптовалюте.
По данным Koi Security, злоумышленники маскировали вредоносные расширения под популярные криптокошельки, вроде MetaMask, TronLink и Rabby.
На первом этапе расширения загружались в магазин в безопасной форме, проходя модерацию Firefox. Они собирали фальшивые положительные отзывы после чего злоумышленники внедряли вредоносный код и изменяли оригинальные названия и логотипы.
По словам специалиста из Koi Security Тувала Адмони, вредоносные расширения захватывали данные прямо из интерфейса всплывающего окна и отправляли их на удаленный сервер. Кроме этого вредонос:
Фейковые расширения удалены из официального магазина Mozilla. Кампания сопровождалась десятками русскоязычных сайтов с пиратским софтом, где распространялось более 500 вредоносных исполняемых файлов, а также фейковыми сайтами, имитирующими Trezor, Jupiter Wallet и сервисы «починки» кошельков.
По данным экспертов, анализ кода показывает следы генерации с помощью ИИ, что позволяло быстро масштабировать кампанию, маскировать и разнообразить вредоносные нагрузки, а также восстанавливаться после удаления. На момент написания фейковые расширения удалены из официального магазина Mozilla.
4 августа исследователи Safety выявили в экосистеме менеджера пакетов для JavaScript NPM вредонос, нацеленный на кражу криптовалюты.
Подозрительный модуль позиционировался как инструмент для «лицензионного аудита и оптимизации реестра в высоконагруженных Node.js-средах». Он размещен в реестре 28 июля 2025 года и до момента удаления успел набрать более 1500 загрузок.
По словам специалистов, один из компонентов открытого кода был откровенно назван «усиленным скрытым дрейнером криптокошельков», что явно указывало на его назначение.
ПО активировалось автоматически после установки, размещаясь в скрытых системных папках Windows, Linux и macOS. Вредонос проверял систему на наличие криптокошельков. После обнаружения средства автоматически переводились на Solana-адрес злоумышленников.
Эксперты уверены, что мошеннический код был сгенерирован при участии ИИ, предположительно, Claude от Anthropic.
6 августа исследователи в области кибербезопасности опубликовали видео, в котором показали серьезную уязвимость в популярной модели искусственного интеллекта от Google — Gemini.
Контролируемая атака с использованием косвенной инъекции подсказок (promptware), заставила Gemini управлять устройствами умного дома. Ученые таким образом продемонстрировали, как ИИ-система инициирует реальные физические действия через цифровой захват.
Группа исследователей из Тель-Авивского университета, Техниона и компании SafeBreach разработала проект под названием Invitation is all you need. Они внедрили вредоносные инструкции в приглашения Google Calendar. Когда пользователь просил Gemini «подвести итоги календаря», ИИ активировал заранее запрограммированные действия — включал устройства умного дома, несмотря на то, что пользователь этого не просил.
В рамках демонстрации Gemini также:
В ответ на исследование Google усилила защиту Gemini. Среди предпринятых мер:
По информации Bleeping Computer от 6 августа, Google пострадала от утечки данных в рамках продолжающейся волны атак на Salesforce CRM.
В июне корпорация сообщила, что некий злоумышленник UNC6040 атакует сотрудников компаний с помощью голосового фишинга (vishing) — вида социальной инженерии. Цель атак — получить доступ к Salesforce и загрузить клиентские данные. Эта информация затем используется для вымогательства: хакеры требуют выкуп в криптовалюте, чтобы не публиковать украденную информацию.
Согласно Bleeping Computer, за атаками стоит известная хакерская группировка ShinyHunters. Организация действует уже много лет и ответственна за целый ряд крупных взломов, включая PowerSchool, Oracle Cloud, атаки на Snowflake, AT&T, NitroPDF, Wattpad, MathWay.
В комментарии изданию хакеры заявили, что взломали множество инстансов Salesforce, и атаки все еще продолжаются. Злоумышленники утверждают, что проникли в компанию с капитализацией в триллион долларов, и рассматривают возможность «просто слить данные без выкупа».
В отношении других компаний хакеры приступили к вымогательству: они рассылают письма с требованиями, угрожая опубликовать данные. По данным Bleeping Computer, одна из компаний уже заплатила 4 BTC.
Среди других пострадавших: Adidas, Qantas, Allianz Life, Cisco, а также дочерние фирмы LVMH — Louis Vuitton, Dior и Tiffany & Co.
Также на ForkLog:
О том, почему в сфере разработки ИИ понятия «суверенный ИИ» и «глобальный искусственный интеллект» ничего на самом деле не значат и служат лишь поводом для манипуляций, читайте на ForkLog.
Чат-суверен