Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вот перефразированная новость на русском языке:
Главные события недели в кибербезопасности
Мы подготовили обзор самых значимых инцидентов из мира кибербезопасности за последние семь дней.
Ключевые моменты:
* Новая хакерская группа атаковала криптовалютные компании, используя поддельные собеседования и вредоносное ПО для macOS.
* Скрытый майнер для видеокарт распространялся через поисковый спам и ИИ-чат-ботов.
* Хакер, публикующий эксплойты нулевого дня для продуктов Microsoft, был заблокирован на GitHub и GitLab.
* CrowdStrike и Google совместными усилиями нейтрализовали сеть, нацеленную на разработчиков открытого программного обеспечения.
Новая группировка атакует криптокомпании через фальшивые собеседования и малварь для macOS
Специалисты компании Wiz обнаружили масштабную кампанию по хищению криптовалют, организованную ранее неизвестной группировкой JINX-0164. Начиная с середины 2025 года, злоумышленники атакуют разработчиков блокчейн-проектов, используя поддельные онлайн-собеседования. В ходе общения жертву направляют на фальшивый сайт для видеоконференций, где под предлогом установки клиента или исправления «технической ошибки» убеждают скачать зараженный файл.
В распоряжении группировки есть сложные вредоносные программы, работающие как на архитектуре Intel, так и на Apple Silicon:
* AUDIOFIX. Маскируется под системный аудиодрайвер. Программа ворует пароли, SSH-ключи, данные криптокошельков и сессии из Discord и Telegram. ПО позволяет хакерам перемещаться по внутренней сети компании, проникать в инфраструктуру и внедрять вредоносный код в рабочие проекты.
* MiniRAT. Ранее этот инструмент использовался для атак на цепочки поставок. Он распространялся через зараженную версию легитимного npm-пакета @velora-dex/sdk, используемого в DeFi-проектах. MiniRAT позволяет удаленно выполнять команды и загружать дополнительные модули.
Эксперты отмечают, что тактика JINX-0164 — фокус на криптоиндустрии, нацеливание на разработчиков через фальшивый рекрутинг и использование специфических VPN-сервисов (например, Astrill VPN) — напоминает почерк северокорейских группировок, таких как BlueNoroff. Однако Wiz не обнаружила прямых технических совпадений в инфраструктуре, которые позволили бы однозначно связать JINX-0164 с Пхеньяном.
Скрытый майнер для GPU распространяется через поисковый спам и ИИ-чат-ботов
В рамках продолжающейся кампании по скрытому майнингу криптовалют злоумышленники нацелились на высокопроизводительные графические процессоры (GPU). Об этом сообщают специалисты Microsoft.
Заражение происходит через вредоносные страницы загрузки системных утилит, которые обычно устанавливают владельцы мощных ПК. Среди них: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear.
Исследователи Microsoft обнаружили, что атака начинается, когда пользователи ищут одну из вышеупомянутых утилит и переходят по вредоносным ссылкам, поднятым в поисковой выдаче с помощью SEO-оптимизации. Однако некоторые отчеты за апрель указывают на то, что пользователи попадали на вредоносные домены после взаимодействия с ИИ-ассистентами. В этих случаях жертвы, запрашивавшие у чат-бота рекомендации по скачиванию программного обеспечения, получали в сгенерированных ответах зараженные ссылки.
После инфицирования системы атакующий получает постоянный доступ, разворачивая стандартный инструмент удаленного управления ScreenConnect. Основная часть вируса маскируется под безобидные приложения вроде плеера VLC и прописывается в автозагрузку. Чтобы обойти защиту, зловред прячет свой код внутри официальных системных файлов Windows и добавляет себя в исключения антивируса.
Как только вредоносное ПО надежно и незаметно закрепляется, оно скачивает и запускает программу для скрытой добычи криптовалюты за счет мощностей видеокарты жертвы. В кампании используются GPU-майнеры gminer, lolMiner и SRBMiner-MULTI.
В Microsoft отметили, что поведение атакующих выделяется своей «стратегией таргетинга и монетизации, спроектированной с нуля для максимизации дохода от майнинга на GPU с каждого скомпрометированного устройства» вместо того, чтобы делать ставку на массовость заражений.
Хакера-мстителя заблокировали на GitHub и GitLab после публикации эксплойтов нулевого дня Microsoft
Корпорация Microsoft заблокировала GitHub-аккаунт исследователя в сфере кибербезопасности под ником Nightmare-Eclipse и удалила его учетную запись Microsoft. Затем к этой инициативе присоединился и GitLab.
Причиной конфликта стали финансовые разногласия и политика раскрытия эксплойтов. Как утверждает Nightmare-Eclipse, Microsoft проигнорировала его отчеты об уязвимостях и отказалась выплачивать вознаграждения по программе MSRC, которые могут достигать $250 000.
В ответ исследователь начал публиковать обнаруженные уязвимости нулевого дня в открытом доступе и заявил, что 14 июля 2026 года выпустит новую порцию.
Он сообщил о:
* BlueHammer. Локально повышает привилегии в Windows Defender. Позволяет злоумышленнику, уже имеющему доступ на уровне обычного пользователя, повысить права до максимального SYSTEM.
* RedSun. Использует иную уязвимость в коде антивируса, чем BlueHammer, но приводит к аналогичному результату.
* UnDefend. Инструмент, направленный на саботаж работы Windows Defender. Эксплойт заставляет систему считать, что конечная точка защищена и антивирус работает корректно, однако фактически лишает Defender способности обнаруживать вредоносный код.
* GreenPlasma. Уязвимость, обеспечивающая получение привилегий SYSTEM через системную службу CTFMon, отвечающую за альтернативный ввод текста и языковые панели.
* MiniPlasma. Эксплойт для локального повышения привилегий через драйвер облачного фильтра Windows cldflt.sys. Успешно дает права SYSTEM даже на полностью обновленных версиях Windows 11.
* YellowKey. Критическая уязвимость в технологии шифрования дисков BitLocker. Позволяет злоумышленнику при наличии физического доступа к устройству обойти механизмы защиты и открыть зашифрованные данные практически без усилий, полностью нивелируя предназначение этой технологии.
Кроме того, Nightmare-Eclipse заявил о создании «переключателя мертвеца» — автоматизированной системы, которая сольет в сеть новые эксплойты в случае его ареста или физического устранения.
CrowdStrike и Google ликвидировали сеть, нацеленную на разработчиков открытого ПО
В ходе совместной операции CrowdStrike, Shadowserver и Google ликвидировали сеть для распространения вредоносов и кражи паролей у разработчиков ПО с открытым исходным кодом.
Целью были хакеры, стоящие за ботнетом Glassworm. Эта группировка на протяжении двух лет атаковала цепочки поставок в OS-экосистеме.
Хакеры Glassworm использовали несколько стратегий для распространения вредоносного кода. Среди них:
*
Популярные лонгриды:
