Киберугрозы под контролем: от шпионажа наркокартелей до масштабных атак на криптовалютные сети

В конце июня Министерство юстиции США опубликовало отчет, касающийся внутренних проверок безопасности ФБР.

Согласно материалам отчета, в 2018 году Бюро проводило расследование, которое завершилось задержанием руководителя наркосиндиката Хоакина «Эль Чапо» Гусмана. Один из его связных сообщил ФБР, что преступная группировка наняла хакера, который взламывал электронные устройства и мобильные телефоны, следя за людьми, посещающими американское посольство в Мехико. Ключевым объектом слежки оказался помощник юридического атташе ФБР, работающий за границей.

Хакер использовал номер телефона этого сотрудника для сбора данных о звонках и местоположении. Более того, он подключился к городской системе видеонаблюдения в Мехико, позволяя ему отслеживать передвижения атташе и идентифицировать лиц, которых он встречал.

По словам оперативника, картель использовал собранные сведения для запугивания и устранения потенциальных свидетелей и информаторов.

Сотрудники Гражданской гвардии Испании в партнерстве с Европолом раскрыли одну из крупнейших мошеннических схем, которая обманула более 5000 человек по всему миру, похитив более €460 млн, обещая фиктивные инвестиции в криптовалюту.

25 июня полицейские задержали троих подозреваемых на Канарских островах и двоих в Мадриде. С 2023 года расследование координировал Европол, а в ходе операции в Испании был привлечен специалист по криптовалютам.

Следствие установило, что организаторы создали международную схему сбора средств с помощью банковских переводов, сделок с криптовалютой и наличных. Они использовали платежные шлюзы, учетные записи на криптобиржах и структуры, связанные с Гонконгом. Сеть включала продавцов по всему миру, которые заманивали жертв на поддельные инвестиционные платформы.

Выпуск Call of Duty: WWII вызвал всплеск взломов. С 3 июля, через два дня после релиза постепенно стали поступать жалобы от игроков о атаках со стороны неизвестного хакера через RCE.

Злоумышленник использовал уязвимости в многопользовательском режиме игры, выполняя произвольные команды на компьютерах игроков во время игры и трансляций.

Существуют случаи, когда хакер принудительно открывал приложение Блокнот, выводил «нежелательный контент» и перезагружал систему.

Как утверждает геймер с ником MikeRxqe, устаревшая P2P-сетевая модель, используемая в игре, значительно упрощает получение IP-адресов пользователей. В таком случае игроки подключаются друг к другу напрямую, и IP-адрес каждого становится доступен остальным.

Затем атакующий может отправлять жертве специально подготовленные сетевые пакеты, маскирующиеся под обычные игровые данные (информация о движении, выстрелах), но содержащие вредоносный код.

2 июля Activision провела «кратковременные технические работы» на серверах, хотя официальных заявлений о связи этих работ с уязвимостью RCE не последовало.

Приложение ICEBlock для iPhone, позволяющее анонимно сообщать о замеченных агентах Службы иммиграционного и таможенного контроля США (ICE), стало популярным после комментариев генерального прокурора Пэм Бонди.

Большая часть пользователей ICEBlock — около 20 000 человек — расположена в Лос-Анджелесе, где в последние недели рейды ICE стали более частыми. 2 июля, после заявлений Бонди, приложение вошло в список самых скачиваемых бесплатных приложений в США.

С помощью ICEBlock пользователи могут делиться информацией о местонахождении агентов ICE в радиусе примерно 8 км. Приложение отправляет уведомления о расположении сотрудников службы вблизи.

1 июля испанская полиция задержала двух подозреваемых в провинции Лас-Пальмас по обвинению в киберпреступлениях, включая кражу данных из государственных учреждений.

Обоих фигурантов охарактеризовали как «значительную угрозу национальной безопасности». Расследование началось после обнаружения утечки персональных данных, касающихся политиков, государственных служащих и сотрудников СМИ.

Считается, что первый подозреваемый специализировался на извлечении данных, в то время как второй отвечал за финансовую часть: продажу доступа к базам данных и учетным записям, а также управление криптокошельком, где аккумулировались средства.

Оба были арестованы, а при обысках полиция изъяла множество электронных устройств, которые могут стать ключом к новым уликам, покупателям или соучастникам.

Северокорейские хакеры пользуются новым вредоносным ПО для macOS под названием NimDoor, ориентированным на организации в области криптовалют и Web3.

Атака начинается с контакта с жертвой через Telegram и попытки убедить ее установить поддельное обновление для Zoom. Это обновление распространяется через сервис планирования встреч Calendly и по электронной почте.

В отчете, опубликованном 2 июля специалисты SentinelOne упомянули, что злоумышленники использовали бинарные файлы, скомпилированные на C++ и Nim, что является довольно редким выбором для атак на macOS.

Сложным элементом атаки является событийно-ориентированное приложение CoreKitAgent, которое обладает механизмами устойчивости, усложняющими его удаление и завершение работы.

На конференции по безопасности TROOPERS исследователи из ERNW обсудили три уязвимости в чипах Airoha (SoC), которые широко используются в колонках, наушниках, гарнитурах и беспроводных микрофонах, присутствующих в 29 устройствах.

Bluetooth-чипы могут подслушивать и красть конфиденциальные данные. Под угрозой находятся устройства от Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs и Teufel.

Выявленные уязвимости дают возможность захватить контроль над устройствами. Например, в некоторых смартфонах злоумышленник, находясь в радиусе действия Bluetooth, может получить доступ к истории звонков и контактному списку.

Компания Airoha выпустила обновленный SDK с необходимыми мерами безопасности, и производители устройств уже начали подготовку и распространение патчей.

По данным ESET, число краж с использованием бесконтактных платежных систем продолжает расти. В первые шесть месяцев 2025 года количество атак через NFC возросло в 35 раз по сравнению с 2024 годом.

Эта схема сочетает стандартные методы атак (социальная инженерия, фишинг, вредоносные программы для Android) с инструментом под названием NFCGate, образуя новый тип угрозы.

Вредоносное ПО NGate позволяет удаленно перехватывать данные NFC между двумя устройствами, включая банковские карты, обошедши защиту и действуя от имени жертвы.

Согласно ESET, около 20% всех вирусов NGate в мире находятся в России. Мошенники заставляют жертв установить ПО под видом легитимного государственного сервиса или банка, тем самым крадя средства. В начале 2025 года ущерб составил 40 миллионов рублей.

Расширения внешне не отличимы от оригиналов и содержат множество фальшивых отзывов, чтобы внушить доверие.

Более 40 поддельных расширений для браузера Firefox предназначены для кражи данных криптовалютных кошельков, маскируясь под известные платформы: Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.

После установки такие приложения незаметно похищают данные пользователей, подвергая их активы риску. На этапе инициализации злоумышленники также отправляют внешний IP-адрес жертвы, вероятно, для слежения или точечного таргетинга.

Эта кампания продолжается как минимум с апреля 2025 года, и новые вредоносные расширения загружались в каталог Firefox даже в конце июня.

В последнем выпуске месячного дайджеста FLMonthly содержатся ответы на актуальные вопросы в области кибербезопасности в интервью с директором по расследованиям «Шард» Григорием Осиповым.