sejournal.io

Вот перефразированный на русском языке пересказ новости о главных событиях недели в сфере кибербезопасности.

Главное за неделю:
* Злоумышленники через мини-приложения Telegram воровали криптовалюту.
* В Торонто полиция нашла первый в Канаде SMS-бластер.
* Группировка хакеров-«стервятников» атаковала банду TeamPCP.
* Вредоносное ПО было обнаружено в программе DAEMON Tools, затронув устройства в сотне стран.

Подробности:

1. Мошенничество в Telegram:
Специалисты из CTM360 раскрыли схему под названием FEMITBOT. Мошенники создавали поддельные мини-приложения внутри Telegram, маскируясь под известные бренды (Binance, Apple, Disney и др.). Они заманивали пользователей обещаниями лёгкого заработка, а затем просили внести «тестовый депозит». В некоторых случаях через такие приложения распространялись вирусы для Android.

2. Первый SMS-бластер в Канаде:
В Торонто задержали трёх человек, которые использовали устройство, имитирующее сотовую вышку. Оно заставляло телефоны в радиусе действия подключаться к нему, после чего на них рассылались фишинговые ссылки. Целью кража паролей и банковских данных. Устройство было установлено в машине, чтобы его можно было быстро перемещать.

3. Хакеры против хакеров:
Неизвестная группировка PCPJack начала охоту на системы, уже взломанные печально известной бандой TeamPCP. Они удаляют программы TeamPCP, закрывают доступ для первоначальных взломщиков и устанавливают своё ПО. Их цель — не майнинг, а прямая кража криптовалют и паролей от кошельков.

4. Заражённый DAEMON Tools:
«Лаборатория Касперского» сообщила, что в установщик бесплатной версии DAEMON Tools Lite был внедрён троян. Он устанавливал на компьютеры жертв бэкдоры. Атаке подверглись пользователи из более чем 100 стран, включая Россию. Разработчик программы подтвердил инцидент и рекомендовал удалить версию 12.5.1.

5. Студент остановил поезда на Тайване:
В Тайване арестовали студента, который с помощью недорогого оборудования и раций взломал систему связи высокоскоростных поездов. Он перехватил сигнал и отправил команду «Общая тревога», что привело к экстренной остановке четырёх составов на 48 минут. Студенту грозит до 10 лет тюрьмы.

Также за неделю:
* Aave ликвидировал позиции хакера протокола Kelp.
* Маркетмейкер TrustedVolumes был взломан на 6 миллионов долларов.
* В Bitcoin Core исправили критическую уязвимость.
* Адвокаты переквалифицировали взлом Kelp в кредитное мошенничество.
* Хакер украл 1,4 миллиона долларов через уязвимость в Ekubo.
* В КНДР отвергли обвинения во взломах криптопроектов.

На выходные:
ForkLog подготовил материал о том, что на самом деле произошло с сегментом InfoFi и в каком виде он может вернуться.

Главные новости кибербезопасности за неделю

* В России обнаружен новый троянец-«пранкер», который следит, подменяет криптоадреса и досаждает жертвам.
* Адреса серверов вредоносного ПО для кражи криптовалют нашли, скрытыми в профилях на Spotify и Chess.com.
* Хакеру предъявлено обвинение в краже $53 млн с криптобиржи Uranium.
* Обнаружена обновленная версия стилера, который ищет сид-фразы на устройствах Apple и Android.

В России обнаружили троянец-«пранкер» CrystalX
Эксперты «Лаборатории Касперского» выявили в России активную кампанию по распространению нового троянца CrystalX. Его продвигают по модели «вредоносное ПО как услуга» (CaaS) через рекламу в Telegram и YouTube.

Программа действует как шпион и вор одновременно: крадет данные из браузеров и аккаунтов (Steam, Discord, Telegram), незаметно подменяет криптоадреса в буфере обмена, а также тайно записывает звук и видео с экрана и камеры.

Особенность этого вредоноса — функции для насмешек над жертвой. Злоумышленник может, например, изменить фон рабочего стола, перевернуть экран, поменять функции кнопок мыши, вызвать дрожание курсора или заблокировать компьютер.

Эксперты предупреждают, что вирус активно развивается, и советуют загружать приложения только из официальных источников, использовать надежный антивирус и быть осторожными с запуском исполняемых файлов.

Адреса серверов вредоносного ПО скрывают в Spotify и Chess.com
Исследователи Solar 4RAYS обнаружили, что хакеры используют профили на популярных платформах Spotify и Chess.com для скрытия адресов управляющих серверов стилера MaskGram. Это ПО крадет учетные данные и криптовалюты.

Вредонос маскируют под взломанные версии платных программ и распространяют через социальную инженерию. Используемая техника «тайника» (Dead Drop Resolver) позволяет злоумышленникам хранить информацию о сервере на публичных страницах и быстро ее менять, что затрудняет обнаружение.

Хакеру предъявили обвинение в краже $53 млн с биржи Uranium
Прокуратура США предъявила обвинение Джонатану Спаллетте в хищении более $53 млн с децентрализованной биржи Uranium Finance в апреле 2021 года и последующем отмывании денег.

По данным следствия, он отмывал украденные средства через другие DEX и миксер Tornado Cash, а затем тратил их на дорогие коллекционные предметы, включая редкие карты и древние монеты. Ему грозит до 20 лет тюрьмы.

Обнаружен обновленный стилер для iOS и Android
«Лаборатория Касперского» обнаружила новую версию вредоносного ПО SparkCat в официальных магазинах приложений Apple App Store и Google Play. Оно маскируется под легитимные программы (мессенджеры, сервисы доставки), а в фоновом режиме сканирует галерею устройства в поисках сид-фраз криптокошельков.

Версия для iOS ищет фразы на английском, что делает ее глобальной угрозой. Android-версия, ориентированная на Азию, использует сложные методы запутывания кода. Эксперты полагают, что за операцией стоят технически подкованные злоумышленники.

Еврокомиссия подтвердила утечку данных после атаки ShinyHunters
Еврокомиссия подтвердила факт утечки данных в результате кибератаки на веб-платформу Europa.eu. Ответственность за взлом взяла на себя группировка вымогателей ShinyHunters.

По данным хакеров, было похищено более 350 ГБ информации, включая базы данных, конфиденциальные документы и дампы почтовых серверов. В ЕК заявили, что инцидент удалось локализовать и работа портала не нарушена.

Главные события недели в сфере кибербезопасности

Ключевые моменты:
* Тайские инвесторы обвиняют основателя криптобиржи 1000X в мошенничестве на сумму $42 млн.
* В Киеве задержан сооснователь криптопирамиды, нанесшей ущерб на $1 млн.
* ФБР конфисковало сайты иранских хакеров после мощной атаки на медицинскую компанию.
* Клиенты сети Nordstrom стали жертвами рассылки криптомошенников.

Подробности:

1. Мошенничество в Таиланде на $42 млн
Полиция Таиланда объявила в розыск миллиардера и криптопионера Воравата Наркнавди. Его обвиняют в управлении криптобиржей 1000X без лицензии и хищении средств инвесторов. По данным SEC Таиланда, ущерб превышает $42 млн. Предполагается, что Наркнавди скрывается в ОАЭ.

2. Криптопирамида в Украине
Киберполиция Украины задержала в Киеве одного из основателей финансовой пирамиды, маскировавшейся под криптоинвестиции. Группа с 2022 года привлекала средства в собственный токен по схеме пирамиды, нанеся ущерб около $1 млн. Проведены обыски, одному из фигурантов предъявлено подозрение.

3. ФБР против иранских хакеров
ФБР изъяло два веб-сайта хакерской группировки Handala, связанной с Ираном. Это произошло после масштабной кибератаки на компанию Stryker, производителя медицинского оборудования. Хакеры сбросили настройки тысяч устройств и заявили о краже 50 ТБ данных. На доменах Handala теперь размещены уведомления ФБР.

4. Рассылка мошенников через Nordstrom
Злоумышленники взломали систему рассылки сети магазинов Nordstrom и от имени компании разослали клиентам письма с предложением «удвоить» криптовалюту. Для этого требовалось перевести средства на указанный биткоин-адрес. Мошенникам удалось получить более $5600.

5. Новый фишинг под видом ФБР
ФБР предупредило о новой схеме: пользователям блокчейна Tron приходят поддельные токены, якобы от ФБР, с последующими сообщениями об «отмывании денег». Мошенники требуют перейти на фишинговый сайт и пройти «проверку», чтобы раскрыть личные данные.

Также на этой неделе:
* Средний ущерб от взломов в криптоиндустрии достиг $25 млн.
* Ажиотаж вокруг OpenClaw спровоцировал волну фишинга.
* Группировку Lazarus подозревают в атаке на сервис Bitrefill.
* Venus Protocol потерял $2 млн из-за манипуляций с токеном.

Главные новости кибербезопасности за неделю

* Конфликт на Ближнем Востоке вызвал волну кибератак в 16 странах.
* В Казахстане задержали группу, подозреваемую в отмывании $4,7 млн через криптовалюту.
* Обнаружен мощный шпионский набор для взлома iPhone.
* ФБР закрыло крупный хакерский форум с данными 142 000 пользователей.

Конфликт на Ближнем Востоке спровоцировал кибератаки в 16 странах

После совместной военной операции США и Израиля против Ирана эксперты Radware зафиксировали всплеск хакерской активности. С 28 февраля по 2 марта произошло 149 DDoS-атак на 110 организаций в 16 странах. Большинство атак (107) пришлось на Ближний Восток, почти половина целей — государственные структуры. В атаках участвовали не менее 12 групп, включая Keymous+ и DieNet. Сообщается о взломах военных сетей, SMS-фишинге против системы оповещения Израиля и возрождении старых хакерских группировок.

В Казахстане раскрыли схему отмывания денег через криптовалюту

Агентство по финансовому мониторингу Казахстана сообщило о задержании группы, которая через сеть посредников и фиктивные договоры перевела в криптовалюту и обналичила более 3,5 млрд тенге (~$4,7 млн). Средства с карт дропперов конвертировались на бирже ATAIX, переводились на кошельки OKX и выводились через подконтрольный обменник. При обысках изъяты телефоны, банковские карты и криптовалюта.

Обнаружен опасный шпионский софт для взлома iPhone

Исследователи Google обнаружили пакет эксплойтов Coruna, способный взломать iPhone при простом посещении вредоносного сайта. Он использует цепочку из 23 уязвимостей и опасен для устройств с iOS 13–17.2.1. По данным экспертов, эти инструменты, возможно, изначально созданные для государственных заказчиков, попали на чёрный рынок и использовались, в том числе, против пользователей в Украине.

ФБР и Европол закрыли крупный хакерский форум LeakBase

В результате международной операции правоохранители заблокировали форум LeakBase, который с 2021 года использовался для торговли украденными данными и инструментами для взлома. На площадке было зарегистрировано более 142 000 пользователей. Проведены обыски и задержания в нескольких странах, включая США, Австралию и государства ЕС.

Другие инциденты

* Житель Алабамы признал вину в киберпреследовании и вымогательстве у сотен женщин после взлома их аккаунтов в соцсетях.
* Хакер вывел $2,7 млн из протокола Solv.
* Власти США арестовали подозреваемого в краже $46 млн с государственного криптокошелька.
* Microsoft и Coinbase помогли закрыть фишинговый сервис Tycoon.

Главные новости кибербезопасности за неделю

* Хакеры разработали схему скрытой подмены биткоин-адресов.
* Новый троян для Android маскируется под приложения для IPTV.
* Владельцам кошельков Trezor и Ledger рассылают фишинговые бумажные письма.
* Исследователь обнаружил, что крупные компании следят за пользователями Chrome через расширения.

### Хакеры придумали схему незаметной подмены биткоин-адресов

Злоумышленники начали незаметно подменять биткоин-адреса, предлагая жертвам выгодный арбитраж криптовалют. Схему обнаружили специалисты BleepingComputer.

Мошенники обещают огромную прибыль от якобы найденной «уязвимости для арбитража» на платформе Swapzone. На самом деле вредоносный код изменяет процесс обмена прямо в браузере жертвы, подменяя адрес кошелька на адрес хакеров.

Для распространения схемы злоумышленники оставляют комментарии на Pastebin со ссылкой на «документацию по взлому». Фальшивое руководство в Google Docs предлагает пользователю вставить специальный JavaScript-код в адресную строку браузера на сайте Swapzone. Этот код подменяет легитимные скрипты, меняет отображаемые суммы и в итоге перенаправляет криптовалюту на кошельки мошенников.

### Новый троян для Android замаскировали под IPTV-приложения

Вредоносная программа Massiv для Android маскируется под приложения для просмотра IPTV и крадет цифровые идентификаторы для доступа к банковским счетам. Об этом сообщили исследователи ThreatFabric.

Троян использует наложение окон и запись нажатий клавиш. Он также может устанавливать полное удаленное управление устройством, обходя защиту банковских приложений от скриншотов.

Особую опасность Massiv представляет в Португалии, где он атакует государственное приложение для цифровой аутентификации. Полученные данные позволяют мошенникам открывать счета и получать услуги от имени жертвы.

Исследователи отмечают рост использования пиратских IPTV-приложений в качестве приманки, так как их часто скачивают из неофициальных источников в обход Google Play.

### Пользователям Trezor и Ledger пришли фишинговые бумажные письма

Владельцы аппаратных кошельков Trezor и Ledger получают бумажные письма, якобы отправленные от имени этих компаний.

Письма, напечатанные на фирменных бланках, требуют срочно отсканировать QR-код и «верифицировать» кошелек на специальном сайте под угрозой потери доступа. QR-коды ведут на фишинговые сайты, где пользователей обманом заставляют ввести сид-фразу (секретную фразу для восстановления), что дает мошенникам полный контроль над средствами.

### Исследователь уличил крупные компании в слежке за пользователями Chrome через расширения

Исследователь под ником Q Continuum обнаружил 287 расширений для Chrome, которые передают историю посещений сторонним компаниям. Общее число установок этих расширений превышает 37,4 млн.

Среди компаний, получающих данные, — Similarweb, Semrush, Alibaba Group и ByteDance. В списке подозрительных расширений — кастомизатор тем Stylish, некоторые блокировщики рекламы и расширение SimilarWeb.

Хотя часть этого сбора данных может быть описана в политиках конфиденциальности, исследователь отмечает, что расширения часто запрашивают доступ к истории без явной необходимости для своих функций.

### Другие важные инциденты

* Утечка данных у производителя товаров для взрослых. Японская компания Tenga уведомила клиентов о взломе почты сотрудника, в результате которого могли быть похищены имена, email и детали заказов. Затронуты около 600 человек в США.
* Масштабная операция против киберпреступности в Африке. Правоохранители 16 стран арестовали 651 подозреваемого, изъяли более $4,3 млн и заблокировали 1442 вредоносных сайта в ходе операции против инвестиционного мошенничества.

Что почитать на выходных? Материал ForkLog о том, какие ошибки мы совершаем, очеловечивая искусственный интеллект, и почему разум может быть эффективным без сознания.

Вот перефразированный обзор новостей из мира кибербезопасности и криптовалют за прошедшую неделю.

Ключевые события недели:

* Coinbase подтвердила факт утечки данных своих клиентов.
* Оператора крупнейшего наркомаркетплейса в даркнете приговорили к 30 годам тюрьмы.
* DeFi-платформа Step Finance потеряла $40 млн из-за взлома казначейских кошельков.
* Global Ledger сообщает, что у жертв криптомошенников становится все меньше времени на реакцию.

—

### Подробнее о главных новостях

1. Утечка данных в Coinbase
Биржа Coinbase подтвердила инцидент, в результате которого злоумышленники получили доступ к информации 30 клиентов. Утечка произошла в декабре 2025 года и не связана с предыдущими случаями. По данным BleepingComputer, в руки хакеров могли попасть электронные адреса, имена, даты рождения, номера телефонов, KYC-данные, балансы кошельков и история транзакций.

2. Суд над оператором наркомаркетплейса
Суд приговорил Руи-Сян Линя, предполагаемого оператора площадки Incognito Market, к 30 годам заключения. Это одно из крупнейших дел со времен Silk Road. По данным Минюста США, чистая прибыль преступника превысила $6 млн. Правоохранители вышли на его след благодаря анализу блокчейна и грубым ошибкам Линя в цифровой безопасности, включая регистрацию домена под своим настоящим именем.

3. Взлом Step Finance
DeFi-платформа Step Finance сообщила о взломе нескольких казначейских кошельков, в результате которого было похищено активов на сумму около $40 млн. Часть средств удалось вернуть благодаря защитным механизмам и сотрудничеству с партнерами. Платформа приостановила некоторые операции и рекомендует пользователям временно не проводить сделки с её нативным токеном STEP.

4. Криптомошенники действуют быстрее
Исследование компании Global Ledger показывает, что в 2025 году хакеры стали тратить значительно меньше времени на начало отмывания украденных криптоактивов. В 84,6% случаев во втором полугодии они начинали перемещать средства ещё до того, как рынок узнавал о взломе. При этом сам процесс отмывания в среднем стал длиннее и сложнее, с активным использованием DeFi-протоколов, миксеров и кроссчейн-мостов.

5. Другие значимые инциденты
* Рекордный выкуп в России: Криптовымогатели потребовали у российской рыбопромышленной компании 50 BTC (около 500 млн рублей) — это рекордная для страны сумма.
* Взлом Notepad++: Разработчик популярного текстового редактора раскрыл детали целевой атаки, предположительно, со стороны китайской хакерской группировки. Злоумышленники через взлом хостинга подменяли ссылки на обновления программы вредоносными файлами.
* Новости ForkLog: Исследование выявило признаки мошенничества в большинстве криптопресс-релизов; в социальной сети для ИИ-агентов Moltbook нашли уязвимость; мост CrossCurve от Curve Finance был взломан на $3 млн.