Новые угрозы кибербезопасности: от стилера Stealka до массовой экспроприации Spotify

Мы подготовили обзор самых значимых новостей в области кибербезопасности за последнюю неделю.

Специалисты из «Лаборатории Касперского» сообщили о появлении нового стилера по имени Stealka. Это программное обеспечение, целевое предназначение которого — пользователи Windows, способно похищать данные, криптовалюту, а также захватывать учетные записи и устанавливать скрытые криптомайнеры.

Анализаторы отмечают, что данное ПО чаще всего маскируется под различные кряки, читы и модификации. Оно запускается вручную пострадавшими и распространяется через известные платформы, включая GitHub, SourceForge, Softpedia и Google Sites.

В сложных схемах злодеи создают копии веб-сайтов, используя популярные поисковые запросы, пытаясь создать иллюзию доверия. Интерфейс имитирует надежные ресурсы и информирует пользователей о проведении полной проверки на вирусы всех загруженных файлов.

Стилер Stealka обладает широкими функциями, но в центре его интересов находятся данные пользователей браузеров на основе движков Chromium и Gecko, включая такие популярные как Chrome, Firefox, Opera, «Яндекс.Браузер», Edge и Brave.

Мошенников в первую очередь интересуют данные автозаполнения, содержащие учетные записи и информацию с платежных карт. Файлы cookie и токены сессий позволяют хакерам обходить двухфакторную аутентификацию, захватывая учетные записи, которые также используются для дальнейшего распространения вредоносного ПО.

Согласно данным «Лаборатории Касперского», Stealka может взаимодействовать с 115 расширениями для браузеров. Под угрозой находятся множество мессенджеров, почтовых клиентов, менеджеров заметок, игровых сервисов и VPN-сервисов.

Два плагина для Chrome под названием Phantom Shuttle, выдающие себя за прокси-расширения, на самом деле перехватывают пользовательский трафик и воруют конфиденциальные данные. Эта информация была обнародована на сайте Socket.

Основная аудитория Phantom Shuttle — пользователи из Китая, особенно те, кто занят внешней торговлей и нуждается в тестировании сетевых соединений из разных точек внутри страны. Оба расширения разработаны одним и тем же автором и продвигаются как инструменты для прокси-трафика и проверки скорости. Стоимость подписки на использование этих расширений варьируется от $1,4 до $13,5.

Специалисты отмечают, что эта вредоносная программа, появившаяся еще в 2017 году, пересылает веб-трафик пользователей через прокси-серверы, находящиеся под контролем злоумышленников, доступ к которым осуществляется через жестко закодированные учетные данные. Вредоносный код интегрирован в легитимную библиотеку jQuery.

Благодаря «прослушиванию» веб-трафика, эти расширения могут захватывать запросы на HTTP-аутентификацию на каждом посещаемом сайте. Параметры прокси динамически перенастраиваются в Chrome с помощью скрипта автоконфигурации.

В режиме «по умолчанию» вирус способен фильтровать более 170 доменных имен, включая исключения для локальных сетей и управляющего домена с целью избежать сбоев в работе и обнаружения.

В действии «человек посередине» расширение может:

Среди других новостей, крупнейшая музыкальная стриминговая платформа столкнулась с массовым парсингом, осуществленным пиратами из группы Anna’s Archive.

Эта группа приобрела известность благодаря инициативе по сохранению литературных и научных материалов, заявляя о себе как о «крупнейшей по-настоящему открытой библиотеке в истории», имеющей в своем архиве более 61 миллиона книг и 95 миллионов статей.

В сообщении от 20 декабря 2025 года под заголовком «Бэкапим Spotify» команда утверждает, что ей удалось получить доступ к метаданным более 250 миллионов треков и 86 миллионов аудиофайлов.

Объем украденных данных составляет около 300 ТБ, при этом самые популярные треки представлены с качеством 160 кбит/с, а менее известные — сжаты до 75 кбит/с.

Представители Anna’s Archive поясняют, что данное действие позволило им создать «первый в мире архив для музыки», который покрывает 99,6% всех прослушиваний на Spotify.

Группа разместила метаданные на своем торрент-ресурсе и собирается выпустить аудиофайлы на будущих этапах, за которыми последуют метаданные и обложки альбомов, упорядоченные по популярности.

21 декабря 2025 года представители Spotify в интервью Billboard подтвердили факт утечки:

«Расследование несанкционированного доступа выявило, что третья сторона собирала публичные метаданные и использовала незаконные методы для доступа к части аудиофайлов платформы».

23 декабря пресс-секретарь Spotify сообщил изданию PCMag о «выявлении и блокировке учетных записей злоумышленников, причастных к незаконному сбору данных».

Ранее исследователи безопасности обнаружили серьезную утечку данных в национальной системе видеонаблюдения дорожного движения Узбекистана. Сеть из сотни высококачественных камер, использующих технологии для распознавания лиц и номерных знаков, долгое время была доступна без пароля.

По словам эксперта Анурага Сена, обнаружившего уязвимость, база данных «умной системы управления трафиком» содержит миллионы фотографий и видео в 4K, которые позволяют восстанавливать маршруты передвижения граждан.

К примеру, за одним водителем вела наблюдение в течение полугода: камеры фиксировали его поездки между Ташкентом и ближайшими населенными пунктами несколько раз в неделю.

Технологическая база экологична, благодаря использованию оборудования китайской компании Maxvision и сингапурского производителя Holowits. Кроме фиксации нарушений ПДД, алгоритмы способны в реальном времени идентифицировать личности водителей и пассажиров. Камеры располагаются не только в крупных городах, но и на стратегически важных участках границ.

Несмотря на серьезность утечки, на момент публикации правительственные органы, такие как МВД и реагирующий на киберугрозы UZCERT, не ограничили доступ к данным и не сделали официальных заявлений.

Данный инцидент перекликается с недавними проблемами американского лидера в сфере систем наблюдения — компании Flock. Сообщалось, что в США десятки устройств от этого поставщика также оказались доступны в сети без авторизации.

Утечки подобного рода наносят серьезный ущерб конфиденциальности, позволяя злоумышленникам использовать государственные ресурсы для преследования и кражи личных данных.

Также в ходе совместной операции, проведенной в Африке под эгидой Интерпола, правоохранительными органами было задержано 574 человека, а также возвращено $3 миллиона, связанных с взломом корпоративной почты и атаками программами-вымогателями.

В период с 27 октября по 27 ноября 2025 года 19 стран провели операции, в ходе которых было ликвидировано около 6000 вредоносных ссылок и расшифровано шесть различных версий программ-вымогателей. Общие финансовые убытки от действий кибермошенников составили более $21 миллиона.

Ключевые результаты операции Sentinel:

К расследованию также подключились частные компании: Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs и Uppsala Security.

Эти команды помогли отслеживать IP-адреса, использовавшиеся в атаках с применением шифровальщиков и случаях шантажа с угрозами опубликовать интимные материалы, а также содействовали замораживанию преступных доходов.