В последние месяцы в мире кибербезопасности заметно участились атаки, нацеленные на пользователей криптовалюты и IT-сообщество. Самые свежие случаи показывают, как злоумышленники используют хитрые методы — от подделки популярных сервисов TikTok до вредоносных расширений браузеров и даже атак на менеджеры пакетов для разработчиков. При этом в центре внимания — не только обычные пользователи, но и крупные компании с миллионными оборотами. Расскажу подробнее, что происходит и почему это важно знать каждому, кто пользуется технологиями.
- Криптовалюта TikTok-пользователей под прицелом мошенников
- Массовая атака на пользователей Firefox и похищение криптовалюты
- Программисты — новая мишень криптоворов
- Опасная уязвимость в AI-модели Gemini от Google
- Крупные компании под натиском вымогателей
- Как защитить свои криптокошельки и аккаунты от подобных атак?
Криптовалюта TikTok-пользователей под прицелом мошенников
Начнём с одной из самых тревожных новостей: специалисты из CTM360 обнаружили крупномасштабную мошенническую кампанию, которая затрагивает криптоактивы пользователей TikTok. Злоумышленники запустили распространение вредоносной программы под названием SparkKitty. Эта вредоносная программа распространяется через фальшивые интернет-магазины, которые сделаны так искусно, что их трудно отличить от настоящих TikTok Shop, TikTok Wholesale и TikTok Mall — официальных платформ электронной коммерции TikTok.
Основная схема работает так: жертве показывают поддельный магазин, предлагают зарегистрироваться и сделать покупку. При оплате пользователя просят использовать криптовалютные кошельки, например USDT или ETH. Люди часто думают, что просто переводят деньги в криптовалюте на счет TikTok или платят за товар, а на самом деле дают мошенникам полный доступ к своим криптокошелькам.
После установки SparkKitty начинает работать как троян: заражает устройство, проникает в фото и скриншоты, выуживая оттуда данные, которые могут помочь получить доступ к криптокошелькам и другим важным аккаунтам. Кстати, злоумышленники активно используют различные каналы для распространения — это и QR-коды, и мессенджеры, и загрузки внутри приложений.
Немало фейковых сайтов используют дешевые доменные зоны — .top, .shop, .icu, что позволяет им быстро создавать новые сайты и оставаться в сети, даже если некоторые ресурсы блокируют.
Массовая атака на пользователей Firefox и похищение криптовалюты
Другой тревожный случай — атака под названием GreedyBear, которая затронула пользователей браузера Firefox. Более 150 вредоносных расширений, маскирующихся под популярные криптовалютные кошельки — например MetaMask, TronLink, Rabby — проникли в официальный магазин Mozilla.
Как такое произошло? Сперва злоумышленники выкладывали расширения в безопасной форме, чтобы пройти модерацию. Затем, собрав достаточно положительных отзывов и рейтингов (часто фальшивых), они обновляли расширения, внедряя вредоносный код и меняя названия и логотипы. После этого расширения начинали воровать данные прямо из всплывающих окон, фиксировали нажатия клавиш, выкрадывали данные из полей ввода и отправляли всю информацию на серверы мошенников.
Потери пользователей — около миллиона долларов в криптовалюте.
Эта кампания была связана с десятками русскоязычных сайтов с пиратским ПО, где распространялось более 500 вредоносных файлов и поддельных сайтов, которые имитировали популярные криптокошельки и сервисы восстановления доступа.
Любопытно, что эксперты нашли следы использования искусственного интеллекта для создания и маскировки вредоносного кода — это позволяло быстро менять и масштабировать атаку, обходя меры защиты и восстанавливаясь после удаления вредоносного ПО.
Программисты — новая мишень криптоворов
В начале августа специалисты Safety выявили вредоносное ПО, нацеленное на разработчиков. Этот вирус прятался внутри одного из модулей менеджера пакетов NPM — популярного инструмента для JavaScript.
Модуль выдавали за полезный инструмент, который якобы помогает с лицензированием и оптимизацией проектов, однако внутри был встроен так называемый «криптодрейнер». После установки вирус запускался автоматически и прятался в системных папках. Он искал на компьютере разработчика криптокошельки и автоматически переводил все найденные средства на адрес мошенников в сети Solana.
Исследователи подозревают, что код создавался с помощью ИИ, возможно, использовался инструмент Claude от Anthropic. Это говорит о том, что преступники всё активнее применяют современные технологии для создания более сложных и скрытых угроз.
Опасная уязвимость в AI-модели Gemini от Google
6 августа в свет вышло видео, где группа исследователей продемонстрировала серьёзную уязвимость в популярной AI-модели Gemini от Google.
Суть атаки — использование косвенной инъекции подсказок (promptware). Вредоносные инструкции прятали в приглашениях Google Calendar, и когда пользователь просил Gemini «подвести итоги календаря», ИИ выполнял не просто сводку, а запускал целый набор заранее запрограммированных действий. Это могло быть открытие жалюзи, включение бойлера, рассылка спама и оскорбительных сообщений, запуск видеозвонков в Zoom и даже загрузка файлов на устройство.
Такой сценарий показал, как искусственный интеллект может использоваться для реального воздействия на окружающий мир — через управление умным домом и цифровыми сервисами.
Google оперативно отреагировала, усилив защиту Gemini:
- Введена фильтрация выходных данных.
- Для чувствительных операций теперь требуется подтверждение от пользователя.
- Внедрены алгоритмы для анализа подозрительных команд.
Крупные компании под натиском вымогателей
Не обошлось и без масштабных атак на бизнес. По данным Bleeping Computer, Google стала одной из жертв крупной волны атак на Salesforce — популярную CRM-систему.
Злоумышленники, относящиеся к группировке ShinyHunters, с помощью голосового фишинга (vishing) атакуют сотрудников различных компаний. Цель — проникнуть в Salesforce, украсть клиентские данные и вымогать у компаний деньги в криптовалюте под угрозой публикации информации.
ShinyHunters — известные хакеры, которые годами занимаются взломами крупных компаний, таких как Oracle Cloud, AT&T и другие. По их словам, они уже получили доступ к многочисленным инстансам Salesforce и продолжают атаки. При этом рассматривается вариант слить данные вообще без выкупа.
Кроме Google, пострадали такие компании, как Adidas, Qantas, Allianz Life, Cisco и дочерние фирмы LVMH — Louis Vuitton, Dior, Tiffany & Co. Некоторые уже согласились выплатить выкуп — например, одна из компаний заплатила 4 биткоина.
Как защитить свои криптокошельки и аккаунты от подобных атак?
Понимая масштабы и сложность описанных угроз, хочется дать несколько советов, которые помогут обезопасить себя от мошенников и вредоносных программ:
- Будьте осторожны с фишинговыми сайтами и приложениями. Если вы покупаете что-то в интернете, внимательно проверяйте адрес сайта — мошенники часто используют похожие домены с незнакомыми зонами (.top, .icu и т.п.).
- Используйте официальные источники и магазины приложений. Скачивайте расширения и приложения только из проверенных и официальных магазинов. Даже там не помешает проверить отзывы и рейтинг.
- Обновляйте ПО и антивирусы. Новые версии программ часто закрывают уязвимости и блокируют известные вредоносы.
- Двухфакторная аутентификация (2FA). Включайте её везде, где можно, особенно для криптовалютных кошельков и важных аккаунтов.
- Избегайте использования сторонних непроверенных модулей и пакетов, особенно в разработке. Подозрительные или малоизвестные модули могут быть заражены.
- Регулярно проверяйте устройства на наличие вредоносного ПО. Для этого существуют специализированные сканеры и утилиты.
- Обучайтесь и будьте внимательны. Знание о том, как работают мошеннические схемы, уже само по себе защищает — не позволяйте себя вовлечь в сомнительные операции.
Добавить комментарий