Forklog
2026-07-18 04:00:00

Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю. Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки. Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона. Около 300 фейковых репозиториев на GitHub распространяли инфостилер. США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud. Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки Эксперты SlowMist раскрыли комплексный подход для кражи криптовалют инфостилера для macOS. По их данным, вредонос перехватывает авторизованные сессии в мессенджерах и атакует как программные, так и аппаратные кошельки.  Попав на устройство, вирус собирал конфиденциальные данные: пароли из связки ключей macOS Keychain, файлы cookie из Safari, скрытые записи в Apple Notes, а также базы данных более десятка криптокошельков и браузерных расширений. Как действует вредонос: кража аккаунтов в обход 2FA. Вирус копирует файлы локальной сессии Telegram Desktop. Эти данные позволяют хакерам зайти в аккаунт жертвы на другом Mac без ввода номера телефона, СМС-кода или пароля двухфакторной аутентификации, так как система воспринимает подключение как продолжение уже авторизованной сессии; фишинг. ПО заменяет легитимные приложения для управления аппаратными кошельками (Ledger Live и Trezor Suite) на их точные копии. Их единственная цель — обманом заставить пользователя ввести сид-фразу. По данным специалистов, украденные базы данных злоумышленники расшифровывают в офлайн-режиме, используя пароли, извлеченные из зараженного Mac. Под прицелом инфостилера оказались кошельки Exodus, Atomic, Electrum, Wasabi, Monero, а также клиенты полных нод (Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core). В SlowMist призвали пользователей, подозревающих компрометацию своего Mac, немедленно принудительно завершить все активные сеансы в настройках Telegram, заново авторизоваться и сменить пароли. Для сохранения криптоактивов эксперты посоветовали сгенерировать новую сид-фразу на чистом устройстве и экстренно перевести туда все средства. Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона Суд приговорил двух ключевых участников хакерской группировки Scattered Spider к пяти годам и шести месяцам тюремного заключения. Об этом сообщает Национальное криминальное агентство Великобритании (NCA). 20-летний Тальха Джубайр и 18-летний Оуэн Флауэрс признаны виновными во взломе IT-инфраструктуры Управления транспорта Лондона (TfL) в августе 2024 года. Атака на TfL, обеспечивающее работу транспорта для 8,4 млн лондонцев, привела к масштабному сбою: из строя вышли 148 внутренних систем, отключились сервисы Dial-a-Ride, заказ льготных проездных, цифровые платежи и система возврата средств. Всем 27 000 сотрудникам ведомства пришлось менять пароли на рабочих местах.  Прямой ущерб и затраты на восстановление инфраструктуры TfL составили £29 млн. По оценкам властей, если бы хакерам удалось полностью остановить транспортную сеть, экономика Великобритании могла потерять до £56 млрд. Оба злоумышленника арестованы сотрудниками NCA в сентябре 2024 года, спустя две недели после взлома. В ходе обысков на устройствах Флауэрса нашли не только улики по делу TfL, но и доказательства подготовки кибератак на американские медицинские компании Sutter Health и SSM Health Care Corporation. В NCA назвали Scattered Spider «самой серьезной киберугрозой для Великобритании за последние годы». Помимо атаки на транспортную систему, за группировкой числится множество других обвинений в преступлениях: рейды на ритейл. В июле 2025 года NCA арестовало еще четверых участников банды, причастных к взломам крупнейших британских торговых сетей, включая Harrods, Marks & Spencer и Co-op; обвинения в США. В сентябре 2025 года Минюст США заочно предъявил обвинения Джубайру. По данным американского следствия, с мая 2022 по сентябрь 2025 года он был причастен ко взлому как минимум 120 сетей в США, включая объекты критической инфраструктуры и суды; шантаж. Всего за один год (с августа 2024 по июль 2025 года) Джубайр и его сообщники вымогали у жертв по всему миру более $115 млн. Около 300 фейковых репозиториев на GitHub распространяли инфостилер Хакеры развернули 292 поддельных репозитория на GitHub, замаскированных под популярные антивирусы, утилиты для разработчиков, криптовалютные сервисы и игровые программы. Об этом заявили специалисты Arctic Wolf.  Каждый фейковый репозиторий содержал файл README со ссылкой на фишинговый лендинг. Страница загрузки использовала динамические шаблоны и автоматически подстраивала свой дизайн и заголовки под тот бренд, который искала жертва. Пользователю предлагалось скачать ZIP-архив, содержимое которого перегенерировалось каждую минуту для обхода анализа сигнатур. Внутри находились апдейтер с цифровой подписью WinGUP и библиотека с трояном libcurl.dll. При запуске вредонос загружался и работал исключительно в оперативной памяти. Источник: Arctic Wolf. Анализ показал, что злоумышленники использовали модифицированную версию стилера BoryptGrab. Вирус не пытался закрепиться в системе и похищал: данные 19 браузеров и 32 криптокошельков; локальные сессии Telegram, Steam и токены Discord; содержимое диспетчера учетных данных Windows; файлы с рабочего стола и из папки «Документы», если их названия связаны с паролями, бэкапами или сид-фразами. Эксперты выделили опасную особенность: вредонос обходит защиту Google Chrome путем прямого внедрения кода в процесс браузера. Украденные данные архивируются и отправляются на командный сервер, базирующийся в РФ. К моменту публикации отчета администрация GitHub удалила большую часть мошеннических репозиториев. США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud Минюст США предъявил трем гражданам РФ обвинения в управлении Bulletproof-хостингами — Media Land и ML.Cloud.  По данным следствия, их инфраструктура использовалась крупнейшими программами-вымогателями, включая Lockbit, Blacksuit и Play, и нанесла ущерб организациям по всему миру на сумму свыше $62 млн. Хостинги Bulletproof сознательно игнорировали любые жалобы на вредоносную активность и требования правоохранительных органов об удалении контента. Злоумышленники использовали серверы Media Land и ML.Cloud для развертывания командных серверов, проведения фишинговых кампаний, DDoS-атак и распространения вредоносов. При этом их инфраструктура располагалась в разных странах, включая США, Китай, Нидерланды и Финляндию. Согласно обвинительному заключению, роли в преступной группе распределялись следующим образом: Александр Волосовик (известный на даркнет-форумах под ником Yalishanda) — являлся владельцем хостинга Media Land; Юлия Панкова — владела ML.Cloud, а также отвечала за юридическое сопровождение и финансовые вопросы; Кирилл Затолокин — занимался сбором платежей от киберпреступников. Деятельность группировки затронула жителей не менее 20 штатов США. В числе пострадавших оказались банки, школы, больницы, правительственные структуры и медиакомпании. В связи с этим Госдепартамент объявил награду в размере $10 млн за любую информацию, которая поможет раскрыть связи этих лиц или их компаний с иностранными правительствами, а также за данные об их вредоносной активности. В ноябре прошлого года США, Великобритания и Австралия уже ввели жесткие санкции против фигурантов дела и их компаний. В июле к ограничениям официально присоединился ЕС, который включил Media Land, ML.Cloud и Александра Волосовика в свой первый совместный с Великобританией пакет киберсанкций против РФ. https://forklog.com/news/ssha-vveli-sanktsii-protiv-hostinga-bulletproof Один из модулей стилера OkoBot специализировался на краже сид-фраз Эксперты «Лаборатории Касперского» обнаружили вредоносный фреймворк OkoBot, атакующий пользователей Windows как минимум с апреля 2025 года. Один из его модулей, SeedHunter, нацелен на кражу сид-фраз у владельцев аппаратных криптокошельков Ledger и Trezor. В отличие от большинства вирусов, которые просто удаляют оригинальный софт и подкидывают вместо него фейковую копию, SeedHunter действует тоньше. Он внедряет вредоносный код непосредственно во внутренние процессы уже установленных легитимных приложений Ledger Live и Trezor Suite. Модуль сканирует USB-порты компьютера и не проявляет себя до тех пор, пока пользователь физически не подключит аппаратный кошелек к ПК. Как только система распознает устройство, SeedHunter блокирует интерфейс и выводит поверх оригинального приложения поддельное окно с требованием ввести сид-фразу. Поскольку запрос исходит изнутри официальной программы, пользователи теряют бдительность. По данным специалистов, OkoBot проникает на устройство жертвы через мошеннические уведомления ClickFix в браузере или троянизированные репозитории на GitHub. Источник: «Лаборатория Касперского». Помимо SeedHunter, фреймворк несет в себе более 20 вредоносных нагрузок для слежки: разворачивает скрытые SSH-туннели и модифицирует системные файлы для невидимого доступа к компьютеру; устанавливает скрытые браузерные расширения (включая стилер Rilide); использует кейлоггеры и тайно записывает видео с экрана в формате MP4 каждый раз, когда жертва открывает парольные менеджеры (1Password), локальные кошельки (Exodus) или вкладки с MetaMask. Исследователи зафиксировали сотни заражений более чем в 25 странах: лидируют Бразилия, Вьетнам, Канада и Мексика. При этом серверы злоумышленников не атакуют IP-адреса из России и стран СНГ, а в коде фишинговых страниц SeedHunter найдены комментарии на русском языке. Исследование 85 браузерных криптокошельков указало на трекинг, деанонимизацию и утечку адресов Ученые из исследовательской группы DistriNet Левенского католического университета Бельгии проанализировали 85 популярных браузерных криптокошельков с суммарной аудиторией в Chrome Web Store свыше 35 млн пользователей. Аудит показал, что архитектура большинства из них позволяет сторонним трекерам связывать адреса пользователей, отслеживать их перемещения по сети и деанонимизировать личность. Эксперты подчеркнули, что речь идет не об уязвимостях или хакерских взломах, а о легитимных функциях и штатном поведении программ. В ходе тестов они зафиксировали три ключевые проблемы конфиденциальности: связывание адресов. 17 кошельков передавали данные так, что сервер провайдера мог объединить разные адреса одного пользователя в единый профиль; трекинг после выхода. 36 из 85 кошельков раскрывали сайтам свое присутствие, формируя цифровой отпечаток. При этом многие Web3-приложения и кошельки некорректно отзывали доступ после отключения; деанонимизация через скрытые фреймы. Трекинговый скрипт может незаметно подгрузить доверенное Web3-приложение, получить адрес кошелька и связать его с именем, email или историей посещений пользователя.  Исследователи уведомили разработчиков о проблеме трекинга еще до публикации работы. По состоянию на лето 2026 года исправления внесли только Coinbase Wallet, Coin98 и Hana Wallet. Большинство же крупных игроков отказались признавать уязвимость: MetaMask закрыл отчет как дубликат, назвав проблему «известным нюансом», исправление которого «сломает слишком много существующих Web3-приложений»; Rabby заявил, что для атаки вредоносный скрипт должен одновременно находиться на двух сайтах, что «практически невозможно», а значит, «уязвимости не существует»; OKX признала техническую правоту ученых, но закрыла заявку как «информационную», поскольку данные утекают без прямой кражи денег; Bybit, Backpack и Core классифицировали риски как низкие или выходящие за рамки их программ баг-баунти. Эксперты рекомендовали регулярно открывать настройки расширений и вручную очищать «список подключенных сайтов», а также использовать изолированные профили браузера для разной активности. Также на ForkLog: Опрос выявил пробелы в защите корпоративных ИИ-агентов. СМИ: утечка раскрыла источники данных Suno. Summer.fi закроет интерфейс после взлома на $6 млн. Bonzo Lend потерял $9 млн из-за атаки на ценовой оракул. Что почитать на выходных? В новом материале ForkLog разобрался, как ончейн-анализ сочетается с разведкой по открытым источникам, какие инструменты используют криптодетективы и где проходит граница между расследованием и слежкой. https://forklog.com/exclusive/ot-adresa-k-imeni-kak-osint-vskryvaet-blokchejn

Crypto Haber Bülteni Al
Feragatnameyi okuyun : Burada sunulan tüm içerikler web sitemiz, köprülü siteler, ilgili uygulamalar, forumlar, bloglar, sosyal medya hesapları ve diğer platformlar (“Site”), sadece üçüncü taraf kaynaklardan temin edilen genel bilgileriniz içindir. İçeriğimizle ilgili olarak, doğruluk ve güncellenmişlik dahil ancak bunlarla sınırlı olmamak üzere, hiçbir şekilde hiçbir garanti vermemekteyiz. Sağladığımız içeriğin hiçbir kısmı, herhangi bir amaç için özel bir güvene yönelik mali tavsiye, hukuki danışmanlık veya başka herhangi bir tavsiye formunu oluşturmaz. İçeriğimize herhangi bir kullanım veya güven, yalnızca kendi risk ve takdir yetkinizdedir. İçeriğinizi incelemeden önce kendi araştırmanızı yürütmeli, incelemeli, analiz etmeli ve doğrulamalısınız. Ticaret büyük kayıplara yol açabilecek yüksek riskli bir faaliyettir, bu nedenle herhangi bir karar vermeden önce mali danışmanınıza danışın. Sitemizde hiçbir içerik bir teklif veya teklif anlamına gelmez