Угрозы кибербезопасности: от шантажа пользователей Pornhub до новых схем кражи криптовалюты

Мы подготовили обзор ключевых событий в области кибербезопасности за прошедшую неделю.

В последнее время наблюдается рост числа инцидентов, связанных с загрузкой вредоносного ПО, целью которого стало опустошение криптокошельков. Это ПО проникает на сайты через уязвимость в популярной JavaScript-библиотеке для разработки интерфейсов React, как сообщает Cointelegraph.

3 декабря команда React объявила, что белый хакер Лаклан Дэвидсон выявил уязвимость, дающую возможность удаленного выполнения кода без необходимости аутентификации. В тот же день было выпущено соответствующее обновление.

По данным некоммерческой кибербезопасной организации Security Alliance (SEAL), преступники адаптируют эту уязвимость для скрытой установки кода дрейнеров на криптовалютные ресурсы.

SEAL подчеркнули, что опасность касается не только Web3-протоколов, но и всех веб-сайтов в целом. Пользователям советуют проявлять повышенную бдительность при подписании любых транзакций или разрешений.

Пользователи платформы для взрослых Pornhub стали жертвами шантажа со стороны хакерской группировки ShinyHunters, о чем сообщило руководство компании.

В их заявлении говорится, что сайт подвергся атаке через уязвимость стороннего аналитического провайдера Mixpanel. Хакерский инцидент произошел 8 ноября 2025 года после смишинга.

Как сообщает BleepingComputer, Pornhub прекратил сотрудничество с Mixpanel в 2021 году, что поднимает вопросы о времени происшествия.

Подрядчик подтвердил, что атака затронула «ограниченное число» клиентов, среди которых упоминались OpenAI и CoinTracker.

В комментарии BleepingComputer представители Mixpanel отметили:
«Мы не находим никаких уважительных оснований предполагать, что данные были украдены из Mixpanel в ходе ноябрьского инцидента или иным образом. Последний раз доступ к этой информации был осуществлен легитимной учетной записью сотрудника материнской компании Pornhub в 2023 году».

В частности, BleepingComputer стало известно, что ShinyHunters начали шантажировать клиентов Mixpanel на прошлой неделе, рассылая письма с требованиями о выплате.

В своем ультиматуме к Pornhub хакеры утверждали о краже 94 ГБ данных, включающих более 200 миллионов записей личной информации. Позднее группировка подтвердила изданию, что база данных включает 201 211 943 аккаунта премиум-подписчиков.

Хакеры предоставили редакции образец украденной информации, содержащей конфиденциальные данные.

Новое программное обеспечение для кражи данных под названием SantaStealer активно рекламируется в Telegram и на хакерских форумах. Оно распространяется по модели CaaS, как отметили исследователи компании Rapid7.

По их информации, SantaStealer — это новая версия вредоносного ПО BluelineStealer. Она функционирует исключительно в оперативной памяти, чтобы не быть обнаруженной антивирусными программами.

Разработчик ведет активную рекламную кампанию перед полноценным релизом, запланированным на конец года.

Подписка на CaaS предлагается в двух вариантах.

Специалисты Rapid7 проанализировали несколько экземпляров SantaStealer и получили доступ к интерфейсу для партнеров. Несмотря на наличие множества механизмов для кражи данных, вредоносная программа не соответствует заявленным характеристикам по обходу систем обнаружения.

Исследование показало, что панель управления стилером имеет удобный интерфейс, позволяющий «клиентам» настраивать свои сборки: от мощной кражи данных до компактных полезных нагрузок с четким целеориентированием.

SantaStealer применяет 14 различных модулей для сбора информации, каждый из которых работает в своем потоке. Украденные данные сохраняются в памяти, архивируются в ZIP-файл и отправляются по частям по 10 МБ на командный сервер.

По мнению исследователей, SantaStealer может использоваться для кражи:

Специалисты по кибербезопасности Amazon GuardDuty выявили кампанию по скрытой добыче криптовалют, направленную на виртуальные машинные и контейнерные сервисы Elastic Compute Cloud (EC2) и Elastic Container Service (ECS).

Размещая криптомайнеры на мощностях, злоумышленники извлекают выгоду как от клиентов AWS, так и от самой Amazon, которые покрывают затраты на вычислительные ресурсы.

Для атаки использовалась образ, размещенный в созданном в конце октября Docker Hub, который на момент обнаружения имел свыше 100 000 скачиваний. Amazon уточнили, что злоумышленники не осуществляли прямой взлом ПО, а входили в аккаунты клиентов с использованием украденных учетных данных.

Согласно отчету, одной из особенностей этой кампании стало использование настройки, запрещающей администраторам удаленное отключение машин. Это заставляло специалистов по безопасности сначала отключать защиту вручную, а затем только останавливать процесс майнинга.

Amazon призвала клиентов обновить свои пароли, так как хотя опасный файл был удален из репозитория, эксперты предостерегают, что злоумышленники могут повторно разместить ПО, используя новые учетные записи.

Один из инвесторов в биткоин оказался жертвой мошенничества известного как «забой свиней». Об этом рассказал биткоин-консультант The Bitcoin Adviser Теренс Майкл.

По его словам, неназванный клиент перевел свою криптовалюту мошеннику, выдававшему себя за трейдера и обещавшему удвоить его средства. Эксперт отметил, что злоумышленник также выдавал себя за влюбленную в инвестора женщину.

Несмотря на «многочисленные звонки» и «поток сообщений» с предупреждениями, Майкл не смог убедить клиента не отправлять BTC:
«[…] вчера вечером, будучи на ужине, я получил сокрушительное сообщение о том, что он потерял все».

Вдобавок к утрате своих пенсионных накоплений, недавно разведенному инвестору также пришлось купить авиабилет мошеннику, в ожидании дальнейшей встречи с «женщиной». После отправки средств злоумышленник признался, что использованные фотографии были созданы с помощью ИИ.

Неправильная работа рекламного алгоритма домашнего холодильника, совпавшая с именем его хозяйки, вызвала у нее серьезный психотический эпизод.