Киберугрозы недели: Отравление адресов, фальшивые аирдропы и атаки на критическую инфраструктуру

Мы подготовили обзор самых значимых событий в области кибербезопасности за прошедшую неделю.

По информации, опубликованной командой ScamSniffer, 15 августа один из пользователей потерял 140 ETH (примерно $636,500 по текущему курсу) из-за того, что скопировал ошибочный адрес из своей “зараженной” истории транзакций.

Так называемое “отравление” криптоадресов происходит путем создания адресов, очень похожих на настоящие. Злоумышленники отправляют небольшие суммы с кошельков, схожих с легитимными, что заставляет пользователей ошибочно копировать неверные адреса в будущем.

Согласно данным Cointelegraph, 10 августа аналогичная атака привела к потере $880,000. Также были зафиксированы еще два случая: в одном случае ущерб составил $80,000, в другом — $62,000. За пять дней мошенники сумели украсть более $1.6 миллиона, используя данный метод.

Согласно информации от ScamSniffer, помимо убытков от “отравления адресов”, за эту неделю было потеряно не менее $600,000 из-за подписания вредоносных фишинговых запросов, таких как approve (одобрить), increaseAllowance (увеличить лимит) и permit (разрешить).

12 августа один из пользователей потерял токены BLOCK и DOLO на сумму $165,000 в результате таких действий.

11 августа аналитики F6 выявили схему похищения криптовалюты у россиян, сообщает РБК.

Злоумышленники использовали фальшивый маркетплейс с игрушкой Labubu, предлагая бесплатную криптовалюту с тем же названием. Для участия в очередной “акции” пользователей просили подключить свои криптокошельки.

После активации кошелька, сайт завладевал доступом к информации о балансе и истории транзакций. Если в кошельке были средства, интерфейс запрашивал дополнительное разрешение для участия в “аирдропе”, после чего вредоносное ПО переводило средства жертвы на счета мошенников.

Чтобы эффективно расходовать ресурсы, хакеры отслеживали кошельки: если они были пустыми, пользователю отказывали в возможности участия.

Ранее мошенникам удавалось использовать бренд Labubu для кражи Telegram-аккаунтов. Они создавали ботов, которые якобы предоставляли возможность выиграть игрушку или получить ее за отзыв. В итоге жертвы делились своими контактами и вводили коды, которые приходили от мессенджера, после чего теряли доступ к своим аккаунтам.

Сотрудники “Лаборатории Касперского” зафиксировали всплеск краж, связанных с подменой криптокошельков. Троян Efimer распространяется через взломанные сайты на WordPress, торренты и по электронной почте. Вредоносное ПО также собирает учетные данные взломанных ресурсов для последующей рассылки спама.

Эксперты отмечают, что для атак на частных лиц злоумышленники используют торрент-файлы. Они находят плохо защищенные сайты на WordPress и размещают на них сообщения о возможности скачать свежий фильм. В запаролированном архиве скрывается вредоносный файл, замаскированный под проигрыватель xmpeg_player.exe.

При атаках на корпоративных клиентов используют фишинговые письма, касающиеся, например, нарушений авторских прав. Зараженный файл находится в архиве с деталями. После его открытия компьютер становится жертвой Efimer, и пользователь видит лишь уведомление об ошибке.

Затем троян проникает на устройство жертвы и заменяет адреса криптовалют в буфере обмена на адреса злоумышленника. Вредоносное ПО также ищет строки, схожие на seed-фразы, и может выполнять мошеннические команды через Tor-сеть для самовосстановления.

Согласно данным “Лаборатории Касперского”, с октября 2024 по июль 2025 года было зафиксировано 5015 случаев атак с использованием Efimer. Наибольшее количество затронутых пользователей зарегистрировано в Индии, Испании, России, Италии и Германии.

Пророссийские хакеры получили доступ к критически важной системе управления плотиной в Норвегии и открыли выпускные клапаны. Об этом сообщается в Bleeping Computer.

Злоумышленники взломали цифровую систему, контролирующую поток воды в дамбе в коммуне Бремангер, и открыли выпускные клапаны. Операторам понадобилось около четырех часов, чтобы обнаружить проблему и перекрыть поток воды. За это время через систему прошло более 7.2 миллиона литров.

Инцидент произошел в апреле, однако общественности стало известно о нем в августе от главы норвежской полиции Беате Гангос. По ее словам, целью хакеров было не причинение вреда, а демонстрация своих возможностей.

10 августа эксперт в области кибербезопасности Итон Звеаре из Harness сообщил о уязвимости в интернет-портале одного из автопроизводителей, которая позволяла раскрывать личные данные клиентов, благодарило за безопасность и даже взламывать автомобили с помощью удаленного доступа, согласно информации от TechCrunch.

Хотя Звеаре не назвал компанию, он уточнил, что речь идет о весьма известном автоконцерне с рядом популярных брендов. Ему удалось обнаружить уязвимость в механизме авторизации сайта, что позволяло без труда обойти систему входа и создать учетную запись администратора.

Уязвимый код загружался в браузер пользователя при открытии страницы входа, что позволяло модифицировать его и обходить проверки безопасности. Получив доступ, Звеаре смог получить доступ к более чем 1000 дилерским центрам производителя на территории США.

В качестве примера он привел VIN номер автомобиля, расположенного на лобовом стекле машины на парковке, чтобы определить владельца. Он также отметил, что инструмент можно использовать для поиска по имени клиента.

Получая доступ к порталу, была возможность привязать любой автомобиль к мобильному аккаунту, что позволяло управлять некоторыми функциями машины через приложение — например, открывать двери. Эксперт не проверял, можно ли угнать автомобиль, но подчеркнул, что уязвимость позволяла взломать транспортное средство и украсть из него вещи.