Поиск

Мошенники регулярно изобретают новые схемы разводов, которые легко узнать по одному характерному признаку: они практически всегда прямо или косвенно касаются «Госуслуг». Сегодняшний случай не стал исключением. Рассказываем, как взламывают аккаунты на «Госуслугах» с помощью фейкового бота «Почты России». Как действуют мошенники Первое. Звонят потенциальной жертве. Причем чаще всего — не по обычному номеру телефона, а через мессенджер. Здороваются по имени-отчеству, представляются сотрудниками «Почты России» и начинают цирковое представление. — Вам пришло письмо от Федеральной налоговой службы (ФНС). Сегодня последний день его хранения на сортировочном складе. В адресе допущена небольшая ошибка, нужно внести изменения, тогда я смогу отправить вам письмо курьером в течение часа. — Да, конечно, давайте изменим адрес. Что нужно делать? — Вы пользуетесь Telegram? Там нужно найти официального бота «Почты России», авторизоваться через «Госуслуги» и вручную изменить адрес. — А как найти бота? — Пишите его никнейм прямо в Telegram: @ya_razvodila_i_moshennik. Вот, нашли? Это официальный бот техподдержки. Мошеннический бот «Почты России» в Telegram практически невозможно отличить от настоящего. Для большей убедительности злоумышленники добавляют в описание бота случайные номера регистрации в РКН View the full article

В конце марта обновилась популярная шпаргалка по приоритетам ИБ-команды, CISO MindMap. Но экономическая реальность начала меняться спустя буквально пару дней после публикации, и теперь, с учетом высоких шансов экономической нестабильности, рецессии, падения цен на нефть и удорожания чипов, у многих компаний и их CISO на повестке дня может возникнуть болезненный вопрос — оптимизация расходов. С учетом этого мы решили взглянуть на CISO MindMap немного иными глазами и выделить те новые или важные ИБ-проекты, которые могут внести вклад в экономию бюджета, не создавая избыточных рисков для организации. Рационализация инструментов Приоритетом CISO будет «консолидация и рационализация инструментов ИБ». В данный момент в половине крупных организаций используется более 40 инструментов ИБ, в четверти — более 60. Как правило, такое изобилие ведет к потере продуктивности, утомлению сотрудников от несинхронизированных и неконсолидированных оповещений, а также к избыточным тратам на оплату всех этих инструментов. Решение этой проблемы — либо консолидация технологического стека в рамках моновендорного подхода (один поставщик платформы ИБ и всех ее компонентов), либо выбор лучшего инструмента в каждой категории. Во втором случае на инструменты накладываются жесткие требования по открытым стандартам коммуникации и возможностям API-интеграции. Второй подход лучше подходит технологически зрелым командам, которые могут выделить внутренние ресурсы (прежде всего время) на то, чтобы корректно и эффективно наладить интеграцию согласно принятым в отделе ИБ процедурам. View the full article

Как переписываться, не сливая данные посторонним, и как защитить свой аккаунт в мессенджерах от кражи или взлома? Вот двенадцать простых правил с кратчайшими объяснениями, почему важно каждое из них. Включите двухфакторную проверку Почему это важно. Чтобы ваш аккаунт не взломали и не украли, например выпустив нелегальный дубликат SIM-карты. Если включить эту настройку, то для регистрации мессенджера на новом устройстве помимо подтверждающего кода из SMS потребуется ваш секретный пароль. Что делать. Зайти в мессенджере в настройки безопасности и конфиденциальности, ввести и хорошо запомнить секретный пароль. Его не нужно будет регулярно вводить, он нужен только при переносе аккаунта на новое устройство. Для удобства его можно сгенерировать и хранить в защищенном парольном менеджере, или же можно создать и проверить пароль на стойкость с помощью нашего бесплатного сервиса Kaspersky Password Checker. View the full article

Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы. Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме. Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub. View the full article

Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности. Как выглядит атака при помощи GetShared Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar. Пример мошеннического письма, распространяемого через уведомление GetShared В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты. View the full article

Что вы делаете, когда нужно скачать программу, но возможности купить официальную лицензию пока нет? Правильный ответ: «Выбираю пробную версию» или «Ищу бесплатные аналоги». Неправильный: «Ищу в поисковике взломанную версию необходимого ПО». Альтернативные неизвестные источники зачастую предлагают взломанную версию программы… и еще кое-что. В итоге пользователь, продираясь сквозь напичканные рекламой сайты, зачастую все-таки получает нужную программу (чаще всего — без возможности последующего обновления и сетевых функций), а в довесок — майнер, стилер или что еще туда положили хакеры. Сегодня на примере реальных кейсов расскажем, что не так с ресурсами, которые предлагают скачать любое ПО здесь и сейчас. Майнер и стилер на SourceForge SourceForge — это некогда крупнейший сайт, посвященный Open Source, в некотором смысле прародитель GitHub. Но не подумайте плохого: сейчас SourceForge по-прежнему активен, он предоставляет услуги хостинга и распространения программного обеспечения. На сайте софт-портала большое количество проектов, при этом любой желающий может загрузить туда свой. И эта возможность, как и в случае с GitHub, — камень преткновения на пути к высокому уровню безопасности. Рассмотрим лишь один пример: наши эксперты обнаружили на SourceForge проект с названием officepackage. На первый взгляд выглядит безобидно: понятное описание, хорошее название и даже один положительный отзыв. Страница officepackage на софт-портале SourceForge А если мы скажем, что описание и файлы полностью скопированы с чужого проекта на GitHub? Уже подозрительно! При этом никаких зловредов при клике на кнопку Скачать загружено не будет — проект условно чистый. Условно, потому что вредоносная нагрузка распространялась не напрямую через проект officepackage, а через ассоциированную с ним веб-страницу. Но как это возможно? Дело в том, что каждый проект, созданный на SourceForge, получает свое доменное имя и хостинг на сайте sourceforge.io. Так, проект с названием officepackage получит веб-страницу по адресу officepackage.sourceforge[.]io. Подобные страницы великолепно индексируются поисковиками и зачастую занимают топовые места в выдаче. Именно таким образом злоумышленники и привлекают жертв. View the full article

Безопасность банковских карт непрерывно улучшается, но злоумышленники находят все новые способы воровать с них деньги. Когда-то, выманив у жертвы информацию о карте на поддельном сайте магазина или в другой мошеннической схеме, преступники изготавливали физическую карту-двойник, записывая украденные данные на магнитную полосу. С такой картой можно было идти в магазин или даже в банкомат. Появление карт с чипом и одноразовых SMS-кодов сильно усложнило жизнь мошенников, но они адаптировались. Переход к мобильным платежам при помощи смартфонов повысил устойчивость к мошенничеству — но и открыл новые пути для него. Теперь мошенники пытаются привязать карты, номера которых им удалось выманить, к своему аккаунту Apple Pay или Google Wallet. Затем смартфон с этим аккаунтом используется, чтобы оплачивать товары с чужой карты — в обычном магазине или в фальшивой торговой точке с платежным терминалом, поддерживающим NFC. Как выманивают данные Череде кибератак предшествует серьезная подготовка, проводимая в промышленном масштабе. Злоумышленники создают сеть фальшивых сайтов по выманиванию платежных данных. Сайты могут имитировать службы доставки, крупные онлайн-магазины и даже сайты по оплате коммунальных услуг или дорожных штрафов. Одновременно преступники закупают десятки физических телефонов, создают на них учетные записи Apple или Google и устанавливают приложение для бесконтактных платежей. Дальше — самое интересное. Когда жертва попадает на сайт-приманку, ей предлагают привязать карту или совершить необходимый небольшой платеж. Для этого нужно указать данные банковской карты, а затем подтвердить свое владение этой картой, введя SMS-код. В этот момент с карты не происходит никаких списаний. Что происходит на самом деле? Почти мгновенно данные жертвы передаются преступникам, которые пытаются привязать карту к мобильному кошельку на смартфоне. SMS-код нужен, чтобы подтвердить эту операцию. Для ускорения и упрощения манипуляций злоумышленники используют специальный софт, который по введенным жертвой данным создает изображение карты, полностью повторяющее реальные карточки нужного банка. Теперь эту картинку достаточно сфотографировать из Apple Pay или Google Wallet. Процесс привязки карточки к мобильному кошельку зависит от конкретной страны и банка, но обычно для этого не требуется никаких данных, кроме номера, срока действия, имени владельца, CVV/CVC и SMS-кода. Все это можно выманить в рамках одной фишинговой сессии и сразу использовать. View the full article

Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot. Что такое техника polyglot В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования. Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код. . View the full article

Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре. Анатомия атаки Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих. Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения. Камера стала прекрасной мишенью для атакующих по нескольким причинам: устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее. View the full article

Метки AirTag стали одним из самых популярных инструментов слежки, которыми пользуются не только легитимные владельцы, забывшие ключи на работе, но и ревнивые супруги, угонщики автомобилей и другие люди с недобрыми намерениями. Реализация крайне проста — брелок тайно подкладывают жертве слежки и с комфортом следят за ее перемещениями через сервис Apple Find My. Мы даже включили защиту от слежки через AirTag в Android-версию решений Kaspersky. Но недавно исследователи безопасности опубликовали исследование, которое демонстрирует, что для дистанционной слежки можно не тратиться на AirTag и даже… никогда не приближаться к жертве! Если удастся заразить ее компьютер или смартфон под управлением Android, Windows или Linux особым вредоносным ПО, то зловред сможет посылать через Bluetooth-адаптер этого устройства специальный сигнал, который будет определяться любыми устройствами Apple поблизости как сигнал от AirTag. Иными словами, для Apple-устройств зараженный смартфон или компьютер превращается в… гигантский AirTag, и его можно отслеживать через сеть Find My, в которую входит более миллиарда смартфонов и планшетов Apple. Анатомия атаки Атака эксплуатирует две особенности технологии Find My. Во-первых, в этой сети используется сквозное шифрование, и участники не знают, чьи сигналы они передают. Брелок AirTag и смартфон владельца применяют пару криптографических ключей при обмене информацией. Когда утерянный брелок транслирует по Bluetooth свои позывные, «детекторы» сети Find My (это любые устройства Apple с Bluetooth и связью с Интернетом, неважно чьи) просто передают данные на серверы Apple, используя публичный ключ найденного AirTag для шифрования данных геолокации. Далее зашифрованную информацию о местоположении с сервера может запросить любое устройство: за счет шифрования Apple тоже не знает, кому принадлежит данный сигнал и что за устройство его запросило. Хитрость в том, что расшифровать данные и понять, чей же это AirTag и где конкретно он находится, можно, только зная парный приватный ключ. Поэтому эти данные полезны только владельцу смартфона, сопряженного с данной меткой AirTag. Вторая особенность Find My — «детекторы» не проверяют, что полученный ими сигнал о местоположении подан именно устройством Apple. Его может транслировать любое устройство с поддержкой Bluetooth Low Energy (BLE). Чтобы злоупотребить этими особенностями, исследователи разработали следующую схему. Вредоносное ПО устанавливается на компьютер, смартфон или другое устройство под управлением Android, Windows или Linux и получает информацию об адресе Bluetooth-адаптера, встроенного в гаджет. Информация передается на сервер атакующих, где с помощью мощных видеокарт вычисляется пара ключей шифрования, соответствующих Bluetooth-адресу устройства и совместимых с технологией Find My. Вычисленный публичный ключ передается обратно на зараженное устройство, и зловред начинает транслировать через Bluetooth сообщение, аналогичное сигналам AirTag и содержащее этот ключ. Любое подключенное к Интернету устройство Apple, находящееся поблизости, принимает этот сигнал и передает его на серверы Find My. Сервер злоумышленников использует вычисленный приватный ключ, чтобы запрашивать у сервиса Find My местоположение зараженного устройства и расшифровывать эти данные. View the full article

После того как мы написали о том, как можно взломать велосипед, нам некоторое время казалось, что вряд ли кому-то удастся удивить нас взломом более неожиданного предмета. Однако фантазия разработчиков устройств, по-видимому, безгранична — и хакеры от них не отстают в своей изобретательности. Итак, встречайте: подключенный к Интернету матрас, разработанный компанией Eight Sleep, и несколько способов его взломать, которые обнаружил исследователь безопасности Дилан Эйри. Умный матрас? Что это вообще такое? Сперва стоит поговорить о том, что вообще представляет собой умный матрас Eight Sleep, а также о том, зачем и кому может прийти в голову приобрести себе такое чудо техники. Разработчики Eight Sleep позиционируют свое решение как «идеальную систему сна» и адресуют ее в первую очередь людям с различными проблемами со сном — страдающим от бессонницы, некачественного сна, храпа и тому подобных неприятностей, которые могут здорово испортить жизнь. Основой этого продукта является наматрасник и дополняющий его внешний блок (в терминологии Eight Sleep — хаб), которые позволяют регулировать температуру постели, нагревая или охлаждая ее в зависимости от заданных владельцем настроек. Или автоматически — к этому мы вернемся чуть ниже. Для этого в наматрасник встроена система трубочек, по которым циркулирует вода, а подключенный к этой системе внешний блок занимается ее нагревом или охлаждением. При этом Eight Sleep Pod разделен на две независимые зоны, для каждой из которых можно задать разные настройки. Диапазон поддерживаемых температур весьма широк — от 12 до 43 °C. Комплект Eight Sleep Pod 4 Ultra — самая дорогая версия умного матраса Eight Sleep стоимостью $4699. Источник Но это еще не все! Также в наматрасник встроено несколько десятков «биометрических датчиков клинического класса», которые используются, чтобы отслеживать качество сна пользователей Eight Sleep. Заодно в наматраснике есть вибромоторы, позволяющие реализовать функцию будильника, а также датчики температуры и влажности окружающей среды. А в самой дорогой комплектации — Eight Sleep Pod 4 Ultra — в комплект входит еще и трансформируемое основание для кровати с электронным управлением. View the full article

Наши технологии для противодействия эксплойтам выявили волну атак с применением ранее неизвестного вредоносного ПО. При тщательном анализе эксперты нашего Глобального центра исследования и анализа угроз (Kaspersky GReAT) пришли к выводу, что мы имеем дело с весьма технически сложной целевой атакой, что позволяет предположить авторство APT-группировки, спонсируемой государством. В атаке использовалась уязвимость нулевого дня в браузере Chrome, о которой мы незамедлительно сообщили в Google, и компания оперативно выпустила закрывающий ее патч. В чем суть APT-атаки Operation ForumTroll? Атака начинается с фишингового приглашения на научный форум «Примаковские Чтения». В теле письма содержатся ссылки якобы на программу мероприятия и анкету для участников. На самом деле обе ссылки ведут на сайт злоумышленников и если получатель пользуется браузером Google Chrome (или каким-либо другим браузером на движке Chromium), то простой переход по ним приводит к заражению компьютера под управлением Windows. Никаких дополнительных действий от жертвы не требуется. Дальше в дело вступает эксплойт для уязвимости CVE-2025-2783, который позволяет обмануть механизмы защиты браузера Google Chrome. О технических деталях говорить пока рано, однако суть уязвимости сводится к логической ошибке на стыке браузера и операционной системы, которая позволяет обойти песочницу браузера. Более подробное описание атаки вместе с индикаторами компрометации можно найти на нашем блоге Securelist. После того, как большая часть пользователей браузера установит свежевыпущенный патч, наши исследователи обещают опубликовать там же детальный технический разбор уязвимости. View the full article

За последние недели от всех разработчиков ведущих браузеров, кроме Apple, поступили неприятные новости, касающиеся рекламы и приватности пользователей: Google разрешает рекламную слежку с помощью цифровых отпечатков, в Edge и Chrome перестают работать мощные блокировщики рекламы, а Mozilla обновляет лицензионное соглашение и, кажется, стала куда больше интересоваться данными пользователей. Что означает каждое из новшеств и как теперь достичь высокого уровня конфиденциальности? Google разрешает следящие отпечатки Под давлением регуляторов и пользователей интернет-гигант провел несколько лет, пытаясь разработать механизмы, позволяющие отслеживать эффективность рекламы и предлагать уместные для конкретного зрителя рекламные объявления без опоры на старые и нелюбимые пользователями механизмы слежки — сторонние куки и цифровые отпечатки (browser fingerprinting). На замену Google предложил FLoC, Ad Topics и Privacy Sandbox, но, вероятно, их эффективность оказалась недостаточной. Поэтому теперь Google отказывается удалять из браузера поддержку сторонних куки. А рекламная сеть Google (крупнейшая в мире) с февраля 2025 разрешает собирать при показе рекламы данные цифрового отпечатка, в том числе IP-адрес пользователя. Это означает, что браузер пользователя можно будет опознавать вне зависимости от режима куки, инкогнито и так далее — идентификация по цифровому отпечатку довольно точна, а отключить ее или сменить отпечаток сложно. View the full article

Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема. Кто такие Fog и чем они известны С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS). Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте. Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN. View the full article

Отличная новость для всех пользователей Linux: в нашей линейке продуктов для частных пользователей появилось защитное решение Kaspersky для Linux. Теперь наша защита, завоевавшая больше всех наград в мире, позволяет домашним пользователям максимально обезопасить все свои устройства с самыми популярными операционными системами — Windows, Linux, macOS, Android и iOS — от киберугроз c помощью единой подписки Kaspersky для Linux. Если вы считали, что киберугрозы обходят Linux стороной, пора пересмотреть взгляды. За последние пять лет количество вредоносов для этой ОС выросло в 20 раз! Среди них — майнеры, шифровальщики и даже зловреды, внедряемые в исходный код популярных программ: так, недавняя атака с бэкдором в утилите архивации XZ, встроенной во многие популярные дистрибутивы Linux, могла стать самой массовой атакой на экосистему Linux за всю историю ее существования. Помимо вирусов, не менее актуальны для пользователей Linux и другие угрозы, распространенные на всех платформах, — фишинг, вредоносные сайты, кража паролей, банковских и персональных данных. При этом интерес к устройствам под управлением Linux растет из года в год. И для того чтобы обеспечить наших пользователей стопроцентной защитой на любых операционных системах, мы адаптировали наше защитное решение Kaspersky Endpoint Security для бизнеса, уже много лет используемое по всему миру, под нужды домашних пользователей. Что умеет Kaspersky для Linux? Среди ключевых функций Kaspersky для Linux: проверка системы и устройства, а также отдельных файлов для поиска и удаления вредоносных программ; проверка на наличие угроз съемных носителей, включая USB-накопители и жесткие диски, при их подключении к компьютеру; обнаружение вредоносных программ благодаря анализу поведения на устройстве, обеспечивающее проактивную защиту; защита от вредоносных программ в Интернете; уведомления о попытке перейти по фишинговой ссылке. Надежный антивирус просканирует и заблокирует зараженные файлы, папки и приложения при обнаружении вирусов, троянов-шифровальщиков, программ-вымогателей, стилеров паролей и других зловредов, предотвращая заражение вашего компьютера, других устройств и всей сети. Анти-фишинг предупреждает о фишинговых ссылках в электронных письмах и на веб-сайтах, защищая ваши пароли, логины и банковские данные от кражи. Защита онлайн-платежей проверит безопасность сайтов банков и интернет-магазинов перед выполнением денежных операций. Защита от криптоджекинга предотвратит несанкционированный майнинг криптовалюты на вашем устройстве и снижение скорости его работы. Проверка съемных носителей — USB-накопителей и внешних жестких дисков — при подключении к компьютеру защитит от распространения вирусов самым старым и традиционным методом. View the full article

В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны. Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю. Как распространяют стилер Arcane Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane. Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы. Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane. Внутри клиента — куча вариантов читов для Minecraft View the full article

Сейчас практически невозможно представить себе современную компанию, которая не рассказывает о применении искусственного интеллекта. Причем маркетологи далеко не всегда утруждают себя объяснением того, зачем ИИ в продукте нужен, а главное, как именно он там реализован, — им кажется, что самого факта применения достаточно для того, чтобы сделать продукт более ценным, инновационным и высокотехнологичным. Мы сторонники другого подхода — нам важно не просто сказать «у нас есть ИИ», а объяснить, как именно технологии машинного обучения и искусственного интеллекта применяются в наших решениях. Перечислять все наши ИИ-технологии в одном посте было бы слишком долго — у нас есть целый центр экспертизы AI Technology Research, который занимается различными аспектами ИИ. Поэтому в данном материале я сосредоточусь исключительно на технологиях, облегчающих жизнь SIEM-аналитика, работающего с Kaspersky Unified Monitoring and Analysis (KUMA). SIEM AI Asset Risk Scoring Традиционно одной из самых ресурсоемких задач аналитика SIEM является приоритизация алертов. Особенно если система только установлена и работает с дефолтными правилами корреляции из коробки, пока еще не подогнанными к реалиям конкретной компании. Помочь с этой проблемой могут технологии анализа больших данных и системы искусственного интеллекта — благодаря модулю SIEM AI Asset Risk Scoring команды мониторинга и реагирования могут определять приоритеты алертов и предотвращать потенциальный ущерб. Этот модуль служит для оценки рисков активов путем анализа исторических данных и тем самым помогает приоритизировать входящие оповещения, что, в свою очередь, ускоряет проведение триажа и позволяет генерировать гипотезы, которые можно использовать для проактивного поиска. На базе информации об активируемых цепочках правил корреляции SIEM AI Asset Risk Scoring позволяет строить паттерны нормальной активности на конечных точках. Затем, сравнивая с этими паттернами повседневную активность, модуль выявляет аномалии (например, резкие скачки трафика или множественные обращения к сервисам), которые могут говорить о том, что происходит реальный инцидент и аналитику следует глубже изучить именно эти алерты. Это позволяет обнаружить проблему на ранней стадии, до того как будет нанесен ущерб. View the full article

Атаки на open source чаще всего сводятся к публикации новых вредоносных пакетов в репозиториях. Атака, произошедшая 14 марта, из другой лиги — злоумышленники скомпрометировали популярный процесс (GitHub Action) tj-actions/changed-files, который применяется более чем в 23000 репозиториев. Инцидент получил номер CVE-2025-30066, этой уязвимости подвержены все репозитории, в которых использовался заражённый процесс changed-files. Хотя администрация заблокировала changed-files, а затем откатила его к безопасной версии, все, кто пользовался им должны провести реагирование на инцидент, а сообщество разработчиков — извлечь из него более общие уроки. Что такое GitHub Actions Рабочие процессы (GitHub Actions) упрощают разработку ПО при помощи автоматизации типовых задач DevOps. Они могут стартовать при наступлении каких-то событий в GitHub, например коммитов. У GitHub есть условный «магазин приложений», в котором можно взять готовый процесс и применить его в своём репозитории, например популярны процессы для автоматической инсталляции вспомогательных инструментов. Чтобы интегрировать в свой сборочный конвейер CI/CD такой готовый процесс GitHub, достаточно всего одной строчки кода. View the full article

С февраля многие пользователи жалуются на то, что на их Android-смартфонах внезапно появилось приложение Android System SafetyCore. У него нет интерфейса и настроек, но из Google Play можно узнать, что разработчиком является сама Google, число установок превышает миллиард, а рейтинг составляет позорные 2,2 балла. Назначение приложения описано расплывчато: «Обеспечивает технологию для работы функций, таких как «Предупреждения о деликатном контенте» в Google Messages». Что такое «деликатный контент» (sensitive content), можно легко догадаться, но как и почему о нем будет предупреждать Google? И как собирается узнавать, что контент именно деликатный? Спешим успокоить — по заявлениям как Google, так и сторонних экспертов, функция не создает угроз приватности. SafetyCore работает на устройстве и не отправляет ни фотографий, ни информации о фотографиях на внешние серверы. Если в Google Messages пользователь получает сообщение с картинкой, то модель машинного обучения, запущенная прямо на смартфоне, анализирует изображение и размывает его, если детектирует нюдсы. Пользователь должен кликнуть на изображение и подтвердить, что он действительно хочет увидеть «обнаженку», и тогда размытие пропадает. Аналогичная функция работает при отправке — если пользователь пытается отправить изображение с обнаженными телами, смартфон переспросит, действительно ли нужно отсылать изображение. Google подчеркивает, что информация о результатах проверки картинки никуда не отправляется. Приложение SafetyCore обеспечивает анализ изображений, но оно не предназначено для самостоятельного использования: другие аппы обращаются к SafetyCore при приеме и отправке картинок, а уж как использовать результаты анализа — зависит от них. Пока воспользоваться ИИ-анализом можно в Google Messages — здесь изображения, признанные «деликатными», будут размыты. В будущем Google обещает открыть функции SafetyCore другим разработчикам, и реагировать на «клубничку» смогут, например, WhatsApp с Telegram. Другие приложения при этом могут быть настроены так, чтобы блокировать «обнаженку» или сразу отправлять такие картинки в спам. View the full article

В мартовском вторничном патче компания Microsoft закрыла целых шесть уязвимостей, которые активно эксплуатируются злоумышленниками. Четыре из этих уязвимостей связаны с файловыми системами, причем три из них имеют одинаковый триггер, что может указывать на их использование в одной атаке. Детали их эксплуатации пока (к счастью) неизвестны, однако свежее обновление крайне рекомендуется к немедленной установке. Уязвимости в файловых системах Две из уязвимостей в системе NTFS позволяют злоумышленникам получить доступ к частям кучи (heap), то есть к динамически распределяемой памяти приложений. Что интересно, первая из них, CVE-2025-24984 (4,6 по шкале CVSS) подразумевает физический доступ злоумышленника к атакуемому компьютеру (он должен вставить в USB-порт подготовленный вредоносный накопитель). Для эксплуатации второй уязвимости типа Information Disclosure Vulnerability, CVE-2025-24991 (CVSS 5,5), злоумышленникам необходимо каким-то образом заставить локального пользователя подключить вредоносный виртуальный жесткий диск (VHD). Точно также активизируются и две другие уязвимости, связанные с файловыми системами CVE-2025-24985, в драйвере файловой системы Fast FAT и CVE-2025-24993 в NTFS. Вот только их эксплуатация приводит к удаленному запуску произвольного кода на атакуемой машине (RCE). У обеих уязвимостей CVSS рейтинг составляет 7,8. View the full article

Практически каждый день новостные сводки пестрят заголовками в духе «Известного актера развели на десятки миллионов рублей» или «Пенсионерка отдала мошенникам все свои сбережения». На днях наша читательница сама едва не стала героиней подобных новостей — целый день она была на крючке мошенников. Ей звонили фейковые сотрудники Центробанка и Следственного комитета, которые просили никому не рассказывать об этой истории и угрожали огромными штрафами. Сегодня расскажем эту историю от ее лица. Читайте 10 уроков, которые она вынесла после, пожалуй, самого стрессового дня своей жизни. Урок 1. Не отвечать на звонки в мессенджерах Все началось со звонка в WhatsApp. Незнакомец по ту сторону смартфона сказал, что мне должно прийти письмо от Министерства науки и высшего образования Российской Федерации (Минобрнауки России), но оно якобы застряло в сортировочном центре из-за некорректного адреса доставки, который нужно поменять. — Как это можно сделать? — Мы сейчас пришлем вам ссылку на бота почты, нужно авторизоваться через «Госуслуги» и вручную изменить адрес. — Хорошо, спасибо! Конечно, никакого письма я не ждала, но, поскольку я еще учусь в университете и большая доля переписок по учебе происходит в WhatsApp, история с письмом от Минобра меня ничуть не смутила — мало ли какие у них теперь правила? И это было первой ошибкой. Надежный вариант борьбы с мошенниками на раннем этапе — полностью отключить звонки с неизвестных номеров в Telegram, WhatsApp и Viber. А если этот вариант кажется вам экстремальным, то не поленитесь сбросить звонок незнакомца и в текстовом формате уточнить, что именно ему нужно. View the full article

4 марта Broadcom выпустила экстренные обновления для устранения трех уязвимостей — CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, которые затрагивают несколько продуктов VMware, включая ESXi, Workstation и Fusion. В бюллетене упоминается, что по информации Broadcom как минимум CVE-2025-22224 эксплуатируется в реальных атаках. Уязвимости позволяют выполнить «побег» из виртуальной машины и выполнить код в гипервизоре ESX (hypervisor escape). По информации из GitHub VMware, Microsoft Threat Intelligence Center первым обнаружил эксплойт в реальной среде и уведомил Broadcom. Но кто и против кого использовал этот эксплойт, компании не разглашают. Уязвимости по данным Broadcom затрагивают VMware ESXi 7.0-8.0, Workstation 17.x, vSphere 6.5-8, Fusion 13.x, Cloud Foundation 4.5-5.x, Telco Cloud Platform 2.x-5.x, Telco Cloud Infrastructure 2.x-3.x, хотя некоторые эксперты считают, что список затронутых продуктов несколько шире. В частности, более старые версии, например 5.5, тоже должны быть подвержены уязвимости, но патчи для них выпущены не будут, эти версии не поддерживаются. По имеющимся оценкам на конец недели, уязвимостям подвержены более 41 тысячи серверов ESXi, расположенных во всех частях света — больше всего в Китае, Франции, США, Германии, Иране и Бразилии. Какие ошибки устранены VMware Наиболее серьезная уязвимость CVE-2025-22224 в VMware ESXi и Workstation получила рейтинг CVSS 9.3. Она связана с переполнением кучи (heap overflow) в VMCI и позволяет злоумышленнику с локальными административными привилегиями на виртуальной машине выполнить код от имени процесса VMX на хосте (то есть в гипервизоре). Уязвимость CVE-2025-22225 в VMware ESXi (CVSS 8.2) позволяет злоумышленнику записать произвольный код в область ядра (arbitrary kernel write), то есть тоже подразумевает побег из «песочницы». CVE-2025-22226 является утечкой информации в HGFS (CVSS 7.1) и позволяет злоумышленнику с административными привилегиями на виртуальной машине извлекать содержимое памяти процесса VMX. Этой уязвимости подвержены VMware ESXi, Workstation и Fusion. View the full article

21 февраля стало черным днем крипторынка из-за крупнейшего в истории взлома криптобиржи. Злоумышленники смогли вывести из второй по величине криптобиржи Bybit около $1,5 млрд. Ряд экспертов считает этот случай вообще крупнейшим ограблением всех времен. И хотя ни эта потеря, ни вывод еще пяти миллиардов долларов паникующими пользователями не являются фатальными для Bybit, этот инцидент ярко демонстрирует фундаментальные недостатки современной криптовалютной экосистемы и позволяет извлечь несколько ценных уроков для обычных владельцев крипты. Как обокрали Bybit Как и все крупные криптобиржи, Bybit использует многоуровневую защиту хранимой криптовалюты. Основные ее запасы хранятся на «холодных» кошельках, отключенных от онлайн-систем. При необходимости пополнить оборотные средства нужная сумма переводится с «холодного» кошелька на «горячий» вручную, и эту операцию подписывают несколько сотрудников одновременно. Для этого в Bybit используется решение со множественной подписью (multi-signature, multisig) от разработчика Safe{Wallet}, и каждый вовлеченный в транзакцию сотрудник ставит свою подпись при помощи личного аппаратного криптоключа Ledger. Злоумышленники детально изучили эту систему и, по мнению независимых исследователей, скомпрометировали одного из разработчиков Safe{Wallet}. Код, который отображает страницы веб-приложения Safe{Wallet}, был, предположительно, заменен на вредоносный. Но логическая бомба в нем срабатывала, только если адрес отправителя совпадал с адресом Bybit — в остальных случаях Safe{Wallet} работал как обычно. Владельцы Safe{Wallet}, впрочем, провели собственное расследование и не соглашаются с заключением двух независимых ИБ-компаний, утверждая, что их инфраструктуру никто не взламывал. View the full article

В начале 2025 года китайский чат-бот DeepSeek взорвал инфополе. Новинку обсуждали, кажется, повсюду: сравнивали логотип с нашим, искали сходства с ChatGPT, а в Италии, Южной Корее, Австралии и других странах и вовсе заблокировали доступ к DeepSeek. Ажиотаж был и остается на высочайшем уровне, в том числе и со стороны злоумышленников. Мы обнаружили несколько групп сайтов, копирующих официальный сайт чат-бота и распространяющих вредоносный код под видом якобы легитимного клиента. Как именно действуют кибернегодяи и как работать с ИИ безопасно — читайте в этом материале. Вредоносные скрипты и геофенсинг Было зафиксировано несколько схем распространения зловреда, которые имели кое-что общее — во всех случаях использовались поддельные сайты DeepSeek. А разница в том, как и что распространяли злоумышленники через эти сайты. В этой публикации мы подробно расскажем об одной из схем, о других вы можете прочитать в полной версии исследования на Securelist. О чем вы подумаете, если окажетесь на сайтах с доменами deepseek-pc-ai[.]com и deepseek-ai-soft[.]com? Вероятнее всего, предположите, что там можно найти какой-то софт, связанный с новинкой в мире ИИ. А какой там может быть софт? Конечно же, клиент DeepSeek! И впрямь, при посещении этих сайтов можно заметить большую кнопку Download («Загрузить») и чуть менее яркую Start Now («Начать сейчас»). Страница фейкового сайта DeepSeek View the full article

В последние полгода особую популярность в России получили драйверы Windows Packet Divert для перехвата и модификации сетевого трафика в Windows-системах. С августа по январь 2024 года частота их обнаружения выросла практически вдвое. Основная причина — задействование этих драйверов в инструментах для обхода блокировок известных зарубежных ресурсов. Такой рост популярности не остался незамеченным злоумышленниками. Они активно распространяют вредоносное ПО под видом программ для обхода блокировок и делают это, шантажируя блогеров. Поэтому каждый раз, смотря видео с названием «Как обойти блокировку…», будьте особенно внимательны — даже самый проверенный и честный контент-мейкер может, сам того не зная, распространять стилеры, майнеры и прочие гадости. Как злоумышленники зарабатывают на блокировках и при чем тут блогеры — читайте в этом материале. Хакеры мимикрируют под честных разработчиков Программных способов обхода ограничений зарубежных ресурсов довольно много, но все их объединяет одно — они созданы малоизвестными авторами. Распространяются такие программы органически: энтузиаст написал код, показал его своим друзьям, опубликовал видео на эту тему — и вуаля! Еще вчера никому неизвестный программист стал «народным спасителем», его репозиторий на GitHub сохранили более десяти тысяч раз, люди благодарят за возможность пользоваться привычными ресурсами. Как раз о такой истории, когда злоумышленники раскручивают репозиторий с вредоносным ПО, мы недавно писали в блоге Kaspersky Daily. Таких энтузиастов могут быть даже десятки и сотни — но кто они такие и можно ли им доверять? Это, пожалуй, главные вопросы, которые должны волновать как активных, так и потенциальных пользователей таких программ. Особенно насторожить должны сопутствующие рекомендации подобных авторов по отключению антивируса. Отключить защиту, чтобы добровольно дать потенциальному хакеру доступ к своему устройству? Рискованная затея. Отключать антивирус на время установки программы советуют из-за якобы «ложных» срабатываний Конечно же, под личиной народного спасителя может оказаться хакер, которому на руку подобные советы. Беззащитное устройство уязвимо перед семействами NJRat, XWorm, Phemedrone, DCRat, которые наиболее активно распространялись вместе с подобным ПО. View the full article