Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вот перефразированный текст новости на русском языке:
Главные события недели в сфере кибербезопасности
Мы подготовили обзор ключевых новостей из мира кибербезопасности за прошедшую неделю.
* Криптоклиппер распространялся через поддельную репутацию на GitHub и YouTube.
* USB-червь самостоятельно размножался, используя скрытые ярлыки Windows, для кражи криптовалют.
* В Южной Корее полиция ликвидировала сеть, отмывавшую криптовалюту для камбоджийской преступной группы.
* Специалисты нашли новый Android-троян, нацеленный на хищение криптовалют.
Криптоклиппер маскировался под легитимный софт с помощью накрутки рейтингов
Неизвестный хакер организовал масштабную кампанию по распространению вредоносного ПО, используя методы легитимного маркетинга для создания поддельной «экономики репутации». Об этом сообщили эксперты Check Point Research.
Целью атак было внедрение криптоклипперов под видом инструментов для торговли в экосистемах Solana и Pump.fun, а также программ для прогнозирования результатов ставок.
Сам клиппер написан на языке Rust и атакует Windows и macOS. Он скрыто и постоянно отслеживает буфер обмена. Как только пользователь копирует адрес криптокошелька, программа мгновенно подменяет его на адрес злоумышленника, перенаправляя средства.
Чтобы вызвать доверие у жертв (в основном криптоинвесторов и игроков), хакер создал сложную систему «сетей-призраков». Аналитики зафиксировали скоординированные действия на VirusTotal: фейковые аккаунты массово ставили лайки и писали положительные комментарии, чтобы ложно пометить вредоносные файлы как безопасные.
Подобные манипуляции использовались и на других площадках:
* GitHub и SourceForge. Злоумышленник управлял сетью аккаунтов для взаимного продвижения репозиториев. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств.
* YouTube. Для рекламы софта использовался канал с более чем 91 000 подписчиков. Обучающие видео создавались с помощью ИИ-голосов и сопровождались накрученными положительными комментариями.
* СМИ. Для легализации инструмента хакер использовал сервисы рассылки пресс-релизов, публикации которых затем автоматически перепечатывались партнерскими новостными сайтами.
Исследователи Check Point подчеркнули, что манипуляция краудсорсинговыми платформами — это опасный сдвиг в тактике социальной инженерии. Отработанная схема с накруткой репутации может быть использована для массового распространения программ-вымогателей и более сложных стилеров.
USB-червь распространялся через скрытые ярлыки Windows для кражи криптовалют
Эксперты Microsoft раскрыли детали кампании по распространению саморазмножающегося вредоносного ПО, направленного против владельцев криптовалют.
Заражение начинается, когда жертва открывает измененный файл ярлыка (.LNK) на USB-накопителе. После запуска червь скрытно устанавливает дополнительные вредоносные программы с командного сервера, расположенного в доменной зоне .onion.
Вредонос сканирует систему на наличие пользовательских документов. Найдя их, программа скрывает оригиналы и заменяет их вредоносными ярлыками с теми же названиями. В результате ПО активируется каждый раз, когда пользователь пытается открыть свои файлы. Для самораспространения червь создает задачу, которая отслеживает порты. Как только к компьютеру подключается новый USB-диск, вирус копирует себя на него.
Стилер активируется только в том случае, если в системе не запущен «Диспетчер задач». Он подключается к командному серверу через встроенный Tor и каждые полсекунды проверяет буфер обмена на наличие чувствительных данных:
* 12- и 24-словные сид-фразы BIP39.
* Адреса кошельков Bitcoin, Ethereum, Tron и Monero.
При обнаружении адреса программа мгновенно подменяет его на адрес злоумышленника. Чтобы обмануть жертву, алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригинальными.
Помимо перехвата буфера обмена, каждые десять секунд вирус делает пять скриншотов и отправляет их хакерам. По команде сервера ПО может загружать и выполнять любые JavaScript-сценарии.
Активность этого USB-червя фиксируется как минимум с февраля. Исследователи отметили, что главные признаки заражения — поведенческие, а не сигнатурные. Основные «красные флаги»: подозрительная активность процессов wscript.exe и cscript.exe, неожиданные запуски Curl, PowerShell и cmd.exe, а также несанкционированные подключения к localhost:9050 (стандартный порт Tor).
Полиция Южной Кореи ликвидировала сеть по отмыванию криптовалют для камбоджийского синдиката
Правоохранители Южной Кореи задержали 23 подозреваемых по делу об отмывании средств для камбоджийской фишинговой организации. Об этом сообщает Newsis.
Схема работала через сложную сеть транзакций с использованием как южнокорейских, так и зарубежных криптобирж. По данным следствия, с февраля 2024 по апрель 2025 года группа перевела около 11,1 млн USDT.
В полиции отметили масштаб инфраструктуры: для отмывания денег использовалось около 11 300 различных счетов. Эти счета были связаны с похищенными средствами на сумму примерно $17 млн, полученными в результате 265 преступлений.
В ходе рейдов полиция изъяла криминальные доходы на сумму 650 млн вон (около $430 000). Активная фаза операции еще не завершена: предполагаемый организатор группировки находится в бегах. На него уже выдано «красное уведомление» Интерпола для международного розыска и экстрадиции.
Обнаружен новый Android-троян для кражи криптовалют
Исследователи безопасности Zimperium обнаружили троян для Android, нацеленный на кражу криптовалют.
По данным аналитиков, вредонос Rokarolla имеет 137 удаленных команд. Он может перехватывать PIN-коды, читать и отправлять СМС, манипулировать буфером обмена для кражи активов и отключать встроенные механизмы защиты ОС.
ПО распространяется через вредоносные сайты, маскирующиеся под установщики популярных сервисов, таких как TikTok и Google Chrome.
На первом этапе жертва загружает программу, которая визуально имитирует системный компонент Google Play Protect. Используя эту маскировку, дроппер с помощью социальной инженерии заставляет пользователя выдать ему доступ к «Специальным возможностям». Получив разрешение, вредонос разворачивает основную нагрузку и отключает настоящий сканер Play Protect.
Rokarolla скачивает со своего сервера поддельные HTML-страницы авторизации для каждого приложения из целевого списка. Когда жертва открывает легитимный криптокошелек, троян перекрывает его поддельным окном и перехватывает вводимые данные.
Кроме того, отдельный оверлей имитирует стандартный экран блокировки Android. Это позволяет ПО украсть PIN-код
Популярные лонгриды:
