Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Исследователи Wiz раскрыли масштабную кампанию по краже криптовалют, за которой стоит ранее неизвестная группировка JINX-0164.
С середины 2025 года злоумышленники атаковали разработчиков блокчейн-проектов через фейковые онлайн-собеседования. В процессе общения жертву перенаправляли на поддельный сайт видеоконференции. Там под предлогом установки клиента или исправления «технической ошибки» разработчика убеждали скачать зараженный файл.
В арсенале группировки находятся сложные вредоносные программы, адаптированные под архитектуры Intel и Apple Silicon:
Источник: Wiz.
Эксперты отмечают, что тактика JINX-0164 — фокус на криптоиндустрии, таргетинг разработчиков через фальшивый рекрутинг и использование специфических VPN-сервисов (например, Astrill VPN) — напоминает почерк северокорейских группировок вроде BlueNoroff. Однако Wiz не нашла прямых технических совпадений в инфраструктуре, которые позволили бы однозначно связать JINX-0164 с Пхеньяном.
В рамках продолжающейся кампании по скрытому майнингу криптовалют злоумышленники нацелились на высокопроизводительные графические процессоры (GPU). Об этом сообщают специалисты Microsoft.
Заражение происходит через вредоносные страницы загрузки системных утилит, которые обычно устанавливают владельцы мощных ПК. Среди них: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear.
Исследователи Microsoft обнаружили, что атака начинается, когда пользователи ищут одну из вышеупомянутых утилит и переходят по вредоносным ссылкам, поднятым в поисковой выдаче с помощью SEO-оптимизации. Однако некоторые отчеты за апрель указывают на то, что пользователи попадали на вредоносные домены после взаимодействия с ИИ-ассистентами. В этих случаях жертвы, запрашивавшие у чат-бота рекомендации по скачиванию программного обеспечения, получали в сгенерированных ответах зараженные ссылки.
Пример ответа ИИ-чат-бота с зараженной ссылкой. Источник: Microsoft.
Как только система инфицируется, атакующий получает постоянный доступ путем развертывания стандартного инструмента удаленного управления ScreenConnect. Основная часть вируса маскируется под безобидные приложения вроде плеера VLC и прописывается в автозагрузку. Чтобы обойти защиту, зловред прячет свой код внутри официальных системных файлов Windows и добавляет себя в исключения антивируса.
Как только вредоносное ПО надежно и незаметно закрепилось, оно скачивает и запускает программу для скрытой добычи криптовалюты за счет мощностей видеокарты жертвы. В кампании используются GPU-майнеры gminer, lolMiner и SRBMiner-MULTI.
В Microsoft отметили, что поведение атакующих выделяется своей «стратегией таргетинга и монетизации, спроектированной с нуля для максимизации дохода от майнинга на GPU с каждого скомпрометированного устройства» вместо того, чтобы делать ставку на массовость заражений.
Корпорация Microsoft заблокировала GitHub-аккаунт исследователя в сфере кибербезопасности под ником Nightmare-Eclipse и удалила его учетную запись Microsoft. Затем и GitLab поддержал инициативу.
Причиной конфликта стали финансовые разногласия и политика раскрытия эксплойтов. Как утверждает Nightmare-Eclipse, Microsoft проигнорировала его отчеты об уязвимостях и отказалась выплачивать вознаграждения по программе MSRC, которые могут достигать $250 000.
Источник: GitLab.
В ответ исследователь начал публиковать обнаруженные уязвимости нулевого дня в открытом доступе и заявил, что 14 июля 2026 года выпустит новую порцию.
Он сообщил о:
Кроме того, Nightmare-Eclipse заявил о создании «переключателя мертвеца» — автоматизированной системы, которая сольет в сеть новые эксплойты в случае его ареста или физического устранения.
Рынок уязвимостей нулевого дня: обнаружить, продать и молчатьВ ходе совместной операции CrowdStrike, Shadowserver и Google ликвидировали сеть для распространения вредоносов и кражи паролей у разработчиков ПО с открытым исходным кодом.
Целью были хакеры, стоящие за ботнетом Glassworm. Эта группировка на протяжении двух лет атаковала цепочки поставок в OS-экосистеме.
Хакеры Glassworm использовали несколько стратегий для распространения вредоносного кода. Среди них:
По данным CrowdStrike, хакерам удалось «отравить» более 300 репозиториев на GitHub. Специалисты ликвидировали четыре командно-контрольных сервера, опиравшиеся на блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные приватные серверы. Это лишило злоумышленников доступа к зараженным компьютерам и остановило дальнейшую доставку вредоносного ПО.
Правоохранители Украины совместно с киберполицией Казахстана разоблачили крупную преступную организацию в Одессе.
Целью телефонных мошенников были граждане Казахстана. По предварительным данным ущерб составил около 2,5 млн гривен (примерно $57 000 по курсу на момент написания).
Аферисты применяли продвинутые инструменты социальной инженерии, включая технологию дипфейк и сгенерированные ИИ-видео. Они представлялись силовиками, сотрудниками банков или телеком-компаний и создавали иллюзию угрозы. Под предлогом «защиты счета» или во избежание вымышленного уголовного преследования злоумышленники убеждали людей устанавливать на смартфоны вредоносное ПО для кражи средств.
По данным следствия, незаконную сеть организовали двое одесситов. Колл-центры функционировали как слаженный системный бизнес с собственной CRM-системой и четким распределением ролей. В штате работали HR-менеджеры, администраторы, IT-специалисты и операторы разного уровня.
В ходе обыска правоохранители задержали девять человек, изъяли технику, записи «черной» бухгалтерии, автомобили и наличные деньги. Им грозит до 12 лет лишения свободы с конфискацией имущества.
Крупнейший мировой оператор круизных лайнеров Carnival Corporation официально подтвердил масштабную утечку информации, затронувшую почти 6 млн человек.
Инцидент произошел 10 апреля 2026 года в результате атаки с использованием социальной инженерии: злоумышленники обманули одного из сотрудников и получили доступ к корпоративным системам. В результате от лица компании началась массовая рассылка уведомлений пострадавшим.
По данным BleepingComputer, ответственность за взлом взяла на себя группировка ShinyHunters. По словам злоумышленников, они похитили терабайты корпоративной информации.
Сообщение ShinyHunters в даркнете. Источник: BleepingComputer.
Анализ утечки показал, что хакеры получили базы данных участников программы лояльности бренда Holland America. Среди скомпрометированной информации: имена, даты рождения, адреса электронной почты, пол и географическое положение клиентов.
Для Carnival инцидент стал очередным ударом по репутации: в 2020 и 2021 годах системы круизного оператора уже подвергались успешным атакам хакеров. В результате пострадали личные и финансовые данные пассажиров и экипажа.
Также на ForkLog:
Выходные — повод не только пересмотреть любимые фильмы, но и переосмыслить их. ForkLog начал заранее и разобрался, почему главный герой классической ленты Майка Ли «Обнаженная» Джонни — не просто мизантроп с манчестерским акцентом, а ранний прототип шифропанка без интернета.
Джонни больше не мнемоник
JOIN
