Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Расширения MetaMask и OKX в браузере AdsPower подверглись атаке
21 января хакеры атаковали цепочку поставок ориентированного на конфиденциальность браузера AdsPower. Согласно последним выводам экспертов, конечной целью внедрения вредоносного кода являлись расширения кошельков MetaMask и OKX.
По словам аналитиков SlowMist, злоумышленники встроили в браузер бэкдор, через который похищали мнемонические фразы восстановления и закрытые ключи для дальнейшего хищения криптовалют.
Инцидент оставался незамеченным три дня, после чего разработчики AdsPower удалили код и целевые расширения из браузеров пользователей. Потенциальных пострадавших уведомили об атаке и рекомендовали вывести средства на безопасные адреса.
По предварительным оценкам, сумма ущерба может достигать около $4,7 млн. Расследование продолжается.
Пользователей Telegram предупредили об угрозе из-за сообщений от аккаунта с ником «Безопасность»
Аналитики F.A.C.C.T. Threat Intelligence зафиксировали активизацию схемы по угону аккаунтов Telegram, в ходе которой злоумышленники рассылают сообщения от пользователя с ником «Безопасность» и логотипом мессенджера на аватарке. Задача — убедить жертву, что в ее учетную запись якобы осуществлен несанкционированный вход.
Сообщение содержит ссылку «для усиления защиты данных». Но при переходе открывается фишинговый ресурс, требующий авторизации в Telegram с помощью QR-кода. Если жертва проходит эту процедуру, злоумышленники получают доступ к ее аккаунту.
Скриншот сообщения мошенников. Данные: F.A.C.C.T.
Ранее аналогичную услугу с полной выгрузкой сообщений и контента предлагали в 2023 году по цене $17 000 (более 1,5 млн рублей).
Ориентированный на биткоин-кошельки троян попал в магазины приложений
Эксперты «Лаборатории Касперского» обнаружили в магазинах App Store, Google Play и на неофициальных площадках троян SparkCat, нацеленный на кражу данных криптокошельков.
Вредонос распространяется в составе зараженных мессенджеров, ИИ-ассистентов и приложений для доставки еды.
Попав на устройство, SparkCat запрашивает доступ к просмотру фото. Троян умеет анализировать текст на изображениях в галерее, используя модель оптического распознавания символов (OCR). При обнаружении фразы для восстановления доступа к криптокошелькам он отправляет картинку злоумышленникам. Под угрозой также и другие данные, например содержание сообщений или пароли, если они есть на скриншотах.
SparkCat нацелен на пользователей из ОАЭ, стран Европы и Азии. Программы со встроенным вредоносным модулем только одни пользователи Android скачали более 242 000 раз.
После уведомления «Лаборатории Касперского» Google и Apple удалили троянизированные приложения из магазинов.
Сотни ИИ-разработчиков скачали стилер под видом DeepSeek
Исследователи Positive Technologies нашли в библиотеке Python Package Index (PyPI) два вредоносных пакета deepseek и deepseekai, маскирующиеся под инструменты для ИИ-разработчиков.
После запуска на компьютере ПО похищало пользовательские и системные данные, а также ключи API и разрешения на доступ к другим ресурсам инфраструктуры.
После уведомления PyPI немедленно поместила пакеты в карантин и вскоре полностью удалила с платформы. Несмотря на быструю реакцию, их успели скачать 222 разработчика, в том числе из США, Китая, РФ, Германии, Гонконга и Канады.
Из-за угрозы компрометации им рекомендовали немедленно сменить ключи API, токены аутентификации и пароли.
Испанская полиция изъяла 50 криптокошельков у подозреваемого во взломе НАТО и ООН
В Аликанте задержан и помещен под домашний арест подозреваемый во взломе не менее 40 государственных и частных организаций Испании и США. Расследование кибератак велось с января 2024 года.
По данным ведомства, фигурант получал доступ к внутренним документам, а также базам данных, содержащим персональные сведения сотрудников и клиентов. Впоследствии он продавал их на хакерских форумах. В числе его жертв Гражданская гвардия и Минобороны Испании, НАТО, ООН, армия США и различные университеты.
В ходе обыска в доме подозреваемого полиция обнаружила и изъяла несколько компьютеров, электронных устройств и 50 криптовалютных кошельков, содержащих различные цифровые активы.
По совокупности потенциальных обвинений фигуранту грозит до 20 лет тюрьмы. Проверяется его причастность к другим преступлениям и наличие сообщников.
В ФНС объяснили порядок хранения информации о добытых в РФ биткоинах
Налоговая служба РФ ограничит доступ к информации о добытых криптовалютах и адресах-идентификаторах майнеров. Об этом в своем Telegram-канале сообщил депутат Антон Горелкин.
По его словам, предприниматели обеспокоены вопросом сохранности сверхчувствительных данных, к которым относятся сведения о криптокошельках. Горелкин согласился, что их утечка может стать «большим подарком геополитическим противникам».
«В ФНС меня заверили, что информация хранится в отдельной внутренней защищенной системе, и доступ к ней серьезно ограничен даже внутри ведомства, а получить его извне практически невозможно», — написал чиновник.
Ссылаясь на заявление специалистов, Горелкин резюмировал, что риск утечки чувствительных данных из внутренних систем налоговой «сегодня сведен к нулю».
Также на ForkLog:
Что почитать на выходных?
Вместе с экспертом «Шард» разбираем, как провайдеру ликвидности не потерять стартовый капитал и не обогатить мошенников.