Мы собрали наиболее важные новости из мира кибербезопасности за неделю. Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки. Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона. Около 300 фейковых репозиториев на GitHub распространяли инфостилер. США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud. Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки Эксперты SlowMist раскрыли комплексный подход для кражи криптовалют инфостилера для macOS. По их данным, вредонос перехватывает авторизованные сессии в мессенджерах и атакует как программные, так и аппаратные кошельки. Попав на устройство, вирус собирал конфиденциальные данные: пароли из связки ключей macOS Keychain, файлы cookie из Safari, скрытые записи в Apple Notes, а также базы данных более десятка криптокошельков и браузерных расширений. Как действует вредонос: кража аккаунтов в обход 2FA. Вирус копирует файлы локальной сессии Telegram Desktop. Эти данные позволяют хакерам зайти в аккаунт жертвы на другом Mac без ввода номера телефона, СМС-кода или пароля двухфакторной аутентификации, так как система воспринимает подключение как продолжение уже авторизованной сессии; фишинг. ПО заменяет легитимные приложения для управления аппаратными кошельками (Ledger Live и Trezor Suite) на их точные копии. Их единственная цель — обманом заставить пользователя ввести сид-фразу. По данным специалистов, украденные базы данных злоумышленники расшифровывают в офлайн-режиме, используя пароли, извлеченные из зараженного Mac. Под прицелом инфостилера оказались кошельки Exodus, Atomic, Electrum, Wasabi, Monero, а также клиенты полных нод (Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core). В SlowMist призвали пользователей, подозревающих компрометацию своего Mac, немедленно принудительно завершить все активные сеансы в настройках Telegram, заново авторизоваться и сменить пароли. Для сохранения криптоактивов эксперты посоветовали сгенерировать новую сид-фразу на чистом устройстве и экстренно перевести туда все средства. Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона Суд приговорил двух ключевых участников хакерской группировки Scattered Spider к пяти годам и шести месяцам тюремного заключения. Об этом сообщает Национальное криминальное агентство Великобритании (NCA). 20-летний Тальха Джубайр и 18-летний Оуэн Флауэрс признаны виновными во взломе IT-инфраструктуры Управления транспорта Лондона (TfL) в августе 2024 года. Атака на TfL, обеспечивающее работу транспорта для 8,4 млн лондонцев, привела к масштабному сбою: из строя вышли 148 внутренних систем, отключились сервисы Dial-a-Ride, заказ льготных проездных, цифровые платежи и система возврата средств. Всем 27 000 сотрудникам ведомства пришлось менять пароли на рабочих местах. Прямой ущерб и затраты на восстановление инфраструктуры TfL составили £29 млн. По оценкам властей, если бы хакерам удалось полностью остановить транспортную сеть, экономика Великобритании могла потерять до £56 млрд. Оба злоумышленника арестованы сотрудниками NCA в сентябре 2024 года, спустя две недели после взлома. В ходе обысков на устройствах Флауэрса нашли не только улики по делу TfL, но и доказательства подготовки кибератак на американские медицинские компании Sutter Health и SSM Health Care Corporation. В NCA назвали Scattered Spider «самой серьезной киберугрозой для Великобритании за последние годы». Помимо атаки на транспортную систему, за группировкой числится множество других обвинений в преступлениях: рейды на ритейл. В июле 2025 года NCA арестовало еще четверых участников банды, причастных к взломам крупнейших британских торговых сетей, включая Harrods, Marks & Spencer и Co-op; обвинения в США. В сентябре 2025 года Минюст США заочно предъявил обвинения Джубайру. По данным американского следствия, с мая 2022 по сентябрь 2025 года он был причастен ко взлому как минимум 120 сетей в США, включая объекты критической инфраструктуры и суды; шантаж. Всего за один год (с августа 2024 по июль 2025 года) Джубайр и его сообщники вымогали у жертв по всему миру более $115 млн. Около 300 фейковых репозиториев на GitHub распространяли инфостилер Хакеры развернули 292 поддельных репозитория на GitHub, замаскированных под популярные антивирусы, утилиты для разработчиков, криптовалютные сервисы и игровые программы. Об этом заявили специалисты Arctic Wolf. Каждый фейковый репозиторий содержал файл README со ссылкой на фишинговый лендинг. Страница загрузки использовала динамические шаблоны и автоматически подстраивала свой дизайн и заголовки под тот бренд, который искала жертва. Пользователю предлагалось скачать ZIP-архив, содержимое которого перегенерировалось каждую минуту для обхода анализа сигнатур. Внутри находились апдейтер с цифровой подписью WinGUP и библиотека с трояном libcurl.dll. При запуске вредонос загружался и работал исключительно в оперативной памяти. Источник: Arctic Wolf. Анализ показал, что злоумышленники использовали модифицированную версию стилера BoryptGrab. Вирус не пытался закрепиться в системе и похищал: данные 19 браузеров и 32 криптокошельков; локальные сессии Telegram, Steam и токены Discord; содержимое диспетчера учетных данных Windows; файлы с рабочего стола и из папки «Документы», если их названия связаны с паролями, бэкапами или сид-фразами. Эксперты выделили опасную особенность: вредонос обходит защиту Google Chrome путем прямого внедрения кода в процесс браузера. Украденные данные архивируются и отправляются на командный сервер, базирующийся в РФ. К моменту публикации отчета администрация GitHub удалила большую часть мошеннических репозиториев. США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud Минюст США предъявил трем гражданам РФ обвинения в управлении Bulletproof-хостингами — Media Land и ML.Cloud. По данным следствия, их инфраструктура использовалась крупнейшими программами-вымогателями, включая Lockbit, Blacksuit и Play, и нанесла ущерб организациям по всему миру на сумму свыше $62 млн. Хостинги Bulletproof сознательно игнорировали любые жалобы на вредоносную активность и требования правоохранительных органов об удалении контента. Злоумышленники использовали серверы Media Land и ML.Cloud для развертывания командных серверов, проведения фишинговых кампаний, DDoS-атак и распространения вредоносов. При этом их инфраструктура располагалась в разных странах, включая США, Китай, Нидерланды и Финляндию. Согласно обвинительному заключению, роли в преступной группе распределялись следующим образом: Александр Волосовик (известный на даркнет-форумах под ником Yalishanda) — являлся владельцем хостинга Media Land; Юлия Панкова — владела ML.Cloud, а также отвечала за юридическое сопровождение и финансовые вопросы; Кирилл Затолокин — занимался сбором платежей от киберпреступников. Деятельность группировки затронула жителей не менее 20 штатов США. В числе пострадавших оказались банки, школы, больницы, правительственные структуры и медиакомпании. В связи с этим Госдепартамент объявил награду в размере $10 млн за любую информацию, которая поможет раскрыть связи этих лиц или их компаний с иностранными правительствами, а также за данные об их вредоносной активности. В ноябре прошлого года США, Великобритания и Австралия уже ввели жесткие санкции против фигурантов дела и их компаний. В июле к ограничениям официально присоединился ЕС, который включил Media Land, ML.Cloud и Александра Волосовика в свой первый совместный с Великобританией пакет киберсанкций против РФ. https://forklog.com/news/ssha-vveli-sanktsii-protiv-hostinga-bulletproof Один из модулей стилера OkoBot специализировался на краже сид-фраз Эксперты «Лаборатории Касперского» обнаружили вредоносный фреймворк OkoBot, атакующий пользователей Windows как минимум с апреля 2025 года. Один из его модулей, SeedHunter, нацелен на кражу сид-фраз у владельцев аппаратных криптокошельков Ledger и Trezor. В отличие от большинства вирусов, которые просто удаляют оригинальный софт и подкидывают вместо него фейковую копию, SeedHunter действует тоньше. Он внедряет вредоносный код непосредственно во внутренние процессы уже установленных легитимных приложений Ledger Live и Trezor Suite. Модуль сканирует USB-порты компьютера и не проявляет себя до тех пор, пока пользователь физически не подключит аппаратный кошелек к ПК. Как только система распознает устройство, SeedHunter блокирует интерфейс и выводит поверх оригинального приложения поддельное окно с требованием ввести сид-фразу. Поскольку запрос исходит изнутри официальной программы, пользователи теряют бдительность. По данным специалистов, OkoBot проникает на устройство жертвы через мошеннические уведомления ClickFix в браузере или троянизированные репозитории на GitHub. Источник: «Лаборатория Касперского». Помимо SeedHunter, фреймворк несет в себе более 20 вредоносных нагрузок для слежки: разворачивает скрытые SSH-туннели и модифицирует системные файлы для невидимого доступа к компьютеру; устанавливает скрытые браузерные расширения (включая стилер Rilide); использует кейлоггеры и тайно записывает видео с экрана в формате MP4 каждый раз, когда жертва открывает парольные менеджеры (1Password), локальные кошельки (Exodus) или вкладки с MetaMask. Исследователи зафиксировали сотни заражений более чем в 25 странах: лидируют Бразилия, Вьетнам, Канада и Мексика. При этом серверы злоумышленников не атакуют IP-адреса из России и стран СНГ, а в коде фишинговых страниц SeedHunter найдены комментарии на русском языке. Исследование 85 браузерных криптокошельков указало на трекинг, деанонимизацию и утечку адресов Ученые из исследовательской группы DistriNet Левенского католического университета Бельгии проанализировали 85 популярных браузерных криптокошельков с суммарной аудиторией в Chrome Web Store свыше 35 млн пользователей. Аудит показал, что архитектура большинства из них позволяет сторонним трекерам связывать адреса пользователей, отслеживать их перемещения по сети и деанонимизировать личность. Эксперты подчеркнули, что речь идет не об уязвимостях или хакерских взломах, а о легитимных функциях и штатном поведении программ. В ходе тестов они зафиксировали три ключевые проблемы конфиденциальности: связывание адресов. 17 кошельков передавали данные так, что сервер провайдера мог объединить разные адреса одного пользователя в единый профиль; трекинг после выхода. 36 из 85 кошельков раскрывали сайтам свое присутствие, формируя цифровой отпечаток. При этом многие Web3-приложения и кошельки некорректно отзывали доступ после отключения; деанонимизация через скрытые фреймы. Трекинговый скрипт может незаметно подгрузить доверенное Web3-приложение, получить адрес кошелька и связать его с именем, email или историей посещений пользователя. Исследователи уведомили разработчиков о проблеме трекинга еще до публикации работы. По состоянию на лето 2026 года исправления внесли только Coinbase Wallet, Coin98 и Hana Wallet. Большинство же крупных игроков отказались признавать уязвимость: MetaMask закрыл отчет как дубликат, назвав проблему «известным нюансом», исправление которого «сломает слишком много существующих Web3-приложений»; Rabby заявил, что для атаки вредоносный скрипт должен одновременно находиться на двух сайтах, что «практически невозможно», а значит, «уязвимости не существует»; OKX признала техническую правоту ученых, но закрыла заявку как «информационную», поскольку данные утекают без прямой кражи денег; Bybit, Backpack и Core классифицировали риски как низкие или выходящие за рамки их программ баг-баунти. Эксперты рекомендовали регулярно открывать настройки расширений и вручную очищать «список подключенных сайтов», а также использовать изолированные профили браузера для разной активности. Также на ForkLog: Опрос выявил пробелы в защите корпоративных ИИ-агентов. СМИ: утечка раскрыла источники данных Suno. Summer.fi закроет интерфейс после взлома на $6 млн. Bonzo Lend потерял $9 млн из-за атаки на ценовой оракул. Что почитать на выходных? В новом материале ForkLog разобрался, как ончейн-анализ сочетается с разведкой по открытым источникам, какие инструменты используют криптодетективы и где проходит граница между расследованием и слежкой. https://forklog.com/exclusive/ot-adresa-k-imeni-kak-osint-vskryvaet-blokchejn