Поиск

Истории об атаках на цепочку поставок встречаются в новостях с завидной регулярностью. В большинстве случаев они начинаются из-за компрометации злоумышленниками публично доступных пакетов. Из-за этого может создаться впечатление, что главная опасность публичных репозиториев заключается именно в том, что кто-то может украсть учетные данные разработчика и внедрить в создаваемые им инструменты вредоносный код. Однако на самом деле это не единственное, чего стоит опасаться при работе с репозиториями, на которых размещены проекты с открытым исходным кодом. Источником проблем могут оказаться и мисконфигурации ключевых компонентов. В частности, опасность может скрываться в GitHub Actions, сценариях автоматизации, позволяющих создавать пайплайны непрерывной интеграции и доставки (CI/CD). Ошибки и мисконфигурации в них периодически используются злоумышленниками в реальных атаках. Характерным примером может служить недавняя вредоносная кампания Mini Shai-Hulud. Да, она тоже началась с компрометации мейнтейнера популярного проекта, но распространяемый в ходе этой кампании зловред похищал секреты, именно используя недочет в GitHub Actions. Наши эксперты из Глобального центра исследования и анализа угроз (Global Research and Analysis Team, GReAT), используя новый набор правил для Kaspersky Container Security, провели исследование безопасности GitHub Actions в 30 тысячах популярных репозиториев GitHub. Если коротко, то только в 10% этих репозиториев пайплайны автоматизации не вызвали никаких вопросов. Подробные результаты исследования В общей сложности правила, реализованные в рамках последнего релиза KCS, были использованы для сканирования 130 000 пайплайнов. Они позволили обнаружить более 250 000 потенциальных отклонений от рекомендаций по безопасной настройке CI/CD-процессов. Разумеется, сами по себе эти отклонения нельзя считать уязвимостями, однако они указывают на области, где конфигурация может требовать дополнительной проверки и более аккуратной настройки. Среди этих 250 тысяч отклонений 59,8% можно отнести к низкому уровню опасности, а 39,8% — к среднему. Но в 0,4% случаев встречались и более серьезные мисконфигурации, которые наши технологии отнесли к высокому уровню риска. Более того, критические недочеты, встреченные в восьми репозиториях, потенциально могут послужить причиной компрометации цепочки поставок. Затронутые репозитории охватывали широкий спектр сценариев использования, включая интеграцию ИИ в корпоративных средах, сервисы для разработчиков и автоматизации, а также инструменты для тестирования безопасности. Разумеется, наши эксперты сообщили о критических проблемах мейнтейнерам соответствующих репозиториев. View the full article

В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина клуба по бонусной программе, за форумное бета-тестирование и т. п. . Пожалуйста, не обсуждайте в этой теме другие сувениры. k-style: термобутылка Термобутылка в фирменном градиенте Kaspersky поможет дольше поддерживать оптимальную температуру напитка внутри. Незаменима в походе, на прогулке и когда не хочется вставать к чайнику. Термостакан сохраняет напитки горячими не менее 6 часов, холодными – не менее 12 часов. Материал: нержавеющая сталь Объём: 500 мл Размер: 70х236х70 мм Вес: 280 г Приятный цвет и форма бутылки, герметичная крышка. Еще фото

В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина клуба по бонусной программе, за форумное бета-тестирование и т. п. . Пожалуйста, не обсуждайте в этой теме другие сувениры. k-tools: настольный микрофон Проводной конденсаторный USB-микрофон, который чётко передаст звучание голоса. Подойдёт для ведения прямых эфиров, студийной звукозаписи, и общения в командных онлайн-играх. Часть крепкого корпуса окрашена в корпоративный зелёный цвет, что в сочетании с RGB-подсветкой выглядит особенно ярко. Регулятор позволяет изменять громкость звукозаписи, а при необходимости – полностью отключить устройство. Материал: пластик, металл Размер: 55х170х55 мм Подсветка корпуса: RGB Интерфейс подключения: USB 2.0, длина провода: 180 см Чувствительность: -38 ± 3 дБ (1,5 В, 680 К Ом; 0 дБ = 1 В/Па, 1 кГц) Диапазон частот: 40 Гц-18000 Гц Отношение сигнал/шум: >66 дБ Выходное сопротивление: <2,2 кОм Максимальный уровень входного звукового давления: 125 дБ Опции: регулировка громкости, отключение звука, регулировка наклона Направленность: кардиоидная. Система снижения фонового шума Частота дискретизации: 48 кГц/16 бит Совместимость: Windows, Mac, PS. Несовместим с XBOX Комплектация: микрофон, инструкция на русском и английском языках. По результатам использования: Звук чистый и громкий, микрофон компактный, устойчивая конструкция. Что осособенно нравится - RGB-подсветка: подсвечивается не только микрофон разными цветами, но и индикаторы звука и логотип "kaspesky". Классный девайс для онлайн игр и общения 💥 Еще фото)

Сейчас на рынке ИБ-решений можно найти множество предложений, обещающих обезопасить корпоративную инфраструктуру на разных уровнях. Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек. За последние десятилетия они эволюционировали от обычного условного антивируса до комплексных многофункциональных платформ. Но разные вендоры называют платформами для защиты рабочих мест (Endpoint Protection Platform, EPP) совершенно разные решения с совершенно разным набором возможностей, так что сравнивать их друг с другом становится практически невозможно. Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании. Поэтому мы сделали простой чек-лист, призванный помочь вам сформулировать собственные требования и на основании их сделать обоснованный выбор решения класса EPP, которое обеспечит надежную защиту сегодня и будет соответствовать вызовам завтрашнего дня. Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором. 1. Поддержка каких платформ вам нужна? Чек-лист Windows macOS Linux Android/iOS Виртуальные инфраструктуры VDI Современные EPP-решения должны обеспечивать комплексную защиту всех типов операционных систем и различных сред развертывания. Современный ИТ-ландшафт обычно представляет собой смесь из разнородных систем, где каждая представляет собой отдельный вектор атаки и требует специфической защиты. Выбор EPP, ограниченного лишь одной основной ОС, создает «слепые зоны» в безопасности организации — вам нужно решение, способное «закрыть» все используемые в компании системы. View the full article

Существуют десятки способов добраться до чужого аккаунта в Telegram. Мы не раз писали и про фишинг в Telegram Mini Apps, и про стилеры под видом обхода блокировок, и про мошенников-кадровиков, и про многие другие варианты. Сегодня расскажем про еще один способ угнать аккаунт в мессенджере — с помощью PowerShell-скрипта. Скрипт с безобидным названием «Обновление телеметрии Windows» оказался инструментом для кражи сессий Telegram. Он умеет собирать данные с беззащитных компьютеров жертв и отправлять их злоумышленникам через Telegram-бот. Недобрый скрипт со стилером внутри Злоумышленники часто используют PowerShell-скрипты для скрытой загрузки вредоносных программ или кражи данных. На этот раз исследователи обнаружили на Pastebin скрипт, внутри которого под видом безобидного обновления Windows скрывался стилер, ворующий данные сессий пользователей Telegram для Windows и позволяющий злоумышленникам угнать аккаунт мессенджера без пароля и кодов доступа. Что вообще такое PowerShell-скрипт? Это файл с набором команд для Windows, который позволяет автоматически выполнять последовательность действий на компьютере. По-простому — текстовый файл с инструкциями для компьютера, который нужен для того, чтобы компьютер сделал все сам за пару секунд вместо долгой ручной работы Этот PowerShell-скрипт ворует данные сессий пользователей Telegram для Windows, позволяя злоумышленникам угнать аккаунт без пароля и кодов доступа В скрипте исследователей сразу же привлекли токен бота Telegram и идентификатор чата в первых строках, а также неоднократное упоминание папки tdata, в которой Telegram для Windows хранит ключи авторизации для аутентификации пользователей на серверах Telegram. Если бот получит доступ к этой папке, злоумышленник сможет войти в чужой Telegram-аккаунт без облачного пароля и подтверждения по SMS. Доступ в таком случае сохраняется до момента, пока жертва не проверит активные сессии в приложении и не аннулирует подозрительные. View the full article

Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero. Это обнаружили в начале июня исследователи кибербезопасности. Позднее разработчик браузера, компания Hola, сообщила о том, что стала жертвой атаки на цепочку поставок. Подробнее об атаке, криптомайнере и возможных последствиях для пользователей читайте в нашей статье. Что представляет собой браузер Hola и как было обнаружено его заражение Израильская компания Hola наиболее известна своим VPN-сервисом, направленным в первую очередь на обход географических ограничений и получение доступа к контенту из других стран. Помимо VPN, компания также развивает браузер Hola Browser на базе Chromium со встроенными функциями VPN и прокси. Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application. В ходе этой процедуры независимые компании, работающие в области кибербезопасности, проверяют, соответствует ли приложение заявленному составу компонентов и не содержит ли оно нежелательных или вредоносных функций. После получения сертификата приложения периодически проходят повторные проверки на соответствие требованиям AppEsteem. Именно в рамках одного из таких тестов специалисты и обнаружили посторонний файл, который загружался вместе с версией 1.251.91.0 браузера Hola для Windows. Этот файл сохранялся на диск и был доступен по пути C:\Program Files\Hola\me{.}exe. Файл привлек внимание исследователей из-за целого ряда подозрительных признаков. Он отсутствовал в списке сертифицированных файлов, не содержал временной метки и не был подписан цифровой подписью, при этом содержал обфусцированный код и обладал возможностью записи в память. Исследователи отмечают, что обнаружили файл не во всех установках браузера. Поскольку заражение носило непостоянный характер, специалисты предположили, что речь идет о компрометации одного из этапов распространения Hola Browser. Позднее сама компания подтвердила, что стала жертвой атаки на цепочку поставок. Изучение же самого подозрительного файла me{.}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero. Подробнее о нем — в следующей части нашего поста. View the full article

Чемпионат мира собирает не только болельщиков, но и мошенников. Пока одни следят за матчами, другие охотятся за чужими деньгами и данными. За последнее время мы обнаружили более 336 поддельных доменов, так или иначе имитирующих официальный сайт чемпионата мира по футболу! Рассказываем, на какие ловушки стоит обратить внимание в разгар главного спортивного события года. «Точно легальные бесплатные трансляции (не обман)» Посещение матчей вживую на ЧМ-2026 превратилось в непростой квест. Футбольные болельщики негодуют из-за стоимости билетов, которую уже признали самой высокой за всю историю чемпионатов мира. К ней прибавляется стоимость жилья и транспорта, а усугубляет все жесточайшая миграционная политика США — проблемы с визами и въездом в страну были даже у арбитров и игроков, что уж говорить о простых туристах. Но посмотреть матч хочется все равно, и тут «на помощь» приходят фальшивые стриминговые платформы. Схема работает так: злоумышленники создают поддельные сайты, которые обещают бесплатный доступ к трансляциям матчей чемпионата мира. После нажатия кнопки «Смотреть» пользователя просят зарегистрироваться, а затем — оплатить «пожизненный доступ» к просмотру всех матчей турнира (в примере ниже оплату просят в крипте, что пока не слишком распространено — обычно мошенники предпочитают старые добрые банковские карты). Пример сайта с фальшивым видеостримингом, требующим от пользователя зарегистрироваться и оплатить криптой доступ к просмотру всех матчей ЧМ-2026 View the full article

Идея полностью автономного центра мониторинга кибербезопасности (Security Operations Center), в котором без участия людей проходят сбор данных, анализ подозрительных событий, расследование и реагирование, крайне привлекательна для компаний, сталкивающихся с хронической нехваткой ИБ-специалистов и постоянным ускорением и усложнением киберугроз. Все были бы рады, если бы автоматизация помогла разгрузить аналитиков, ускорить обработку оповещений и наконец уничтожить феномен вообще не обработанных событий, доля которых, по некоторым данным, достигает в среднестатистическом корпоративном SOC 67% из общего числа. Многие компании уже предлагают свои решения в этой сфере, но их практическое внедрение сталкивается с многочисленными трудностями. Хотя практики отмечают реальную пользу в обогащении оповещений (алертов) и уменьшении числа ложных/маловажных событий, мало где удается получить ощутимую выгоду от автономного принятия решений и реагирования. Фундаментальные проблемы автономного SOC: за пределами ИИ Хотя использование ИИ для анализа данных и принятия решений в SOC звучит как логичная и относительно несложная в реализации идея, попытка ее внедрить ставит и обостряет проблемы, с которыми организации столкнулись при внедрении SIEM, XDR и SOAR: Качество исходных данных. Проблемы полноты покрытия, качества обогащения, качества разметки и нормализации, над которыми непрерывно работают в каждом SOC команды detection engineering, становятся острее при внедрении ИИ, поскольку агенты более чувствительны, чем люди в этой сфере, и на неполных данных допускают более серьезные ошибки. Консолидация данных и интеграция инструментов. Проблема, для решения которой когда-то изобрели SIEM, остается нерешенной во многих организациях. Кстати, в рекламе агентского SOC часто звучит тезис, что «SIEM будет не нужен», потому что «агент сам сходит в EDR за нужной телеметрией». Но на самом деле даже в идеальном сценарии это означает исчезновение SIEM как интерфейса при сохранении его основных функций в «субстрате данных» агентского SOC. View the full article

Ученые из Грацского технического университета в Австрии опубликовали научную работу, в которой предложили достаточно эффективный метод слежки за пользователем через браузер. Самой интересной особенностью их метода, получившего название FROST, является использование в качестве механизма слежки твердотельного накопителя (SSD). Если не вдаваться в технические детали, предложенная исследователями атака выглядит следующим образом. Злоумышленник заманивает жертву на подготовленный веб-сайт. Пока этот сайт остается открытым, организатор атаки может видеть, какие программы запускает пользователь и какие веб-страницы открывает. Как такое вообще возможно? Первым подозреваемым, разумеется, будет браузер. В современных браузерах каждый веб-сайт открывается в изолированном контейнере и, как правило, не имеет доступа ни к соседним вкладкам, ни тем более к ресурсам компьютера. Из этого «правила» регулярно находятся исключения, но сейчас речь не о них. Атака FROST предполагает, что браузер работает стандартно, со всеми мерами безопасности. Используется штатная функция браузеров, имеющая название Origin Private File System. Она предоставляет сайту собственную виртуальную файловую систему для хранения данных. Хотя она и изолирована, но записываются эти данные в итоге на тот же SSD, с которым также работают прочие программы и веб-сайты. Оказалось, что если вредоносная страница постоянно обращается к SSD, по задержкам при доступе к данным можно определить, что еще происходит на ПК. Прежде чем перейти к более подробному изучению метода, сделаем небольшое теоретическое отступление. Немного об атаках по сторонним каналам Термин «сторонние каналы» предполагает наблюдение за работой компьютера (или даже отдельной микросхемы) неявным образом. Вместо того чтобы перехватывать обмен информацией напрямую, можно анализировать, как меняется энергопотребление электрической схемы, температура отдельных элементов, наблюдать за электромагнитным излучением и так далее. В результате появляется теоретическая возможность подслушивать переговоры в помещении с использованием компьютерной мыши — вибрации от звука могут быть зафиксированы оптическим датчиком. Наблюдая за изменением частоты процессора, можно похитить ключ шифрования. Простой светодиод на считывателе пропусков может выдать достаточно данных о работе устройства, чтобы атакующий мог сделать копию смарт-карты. Преимущество таких неявных каналов утечки данных заключается именно в том, что они неявные — создатели устройств часто не учитывают их при построении систем защиты. Недостаток также очевиден: извлечение информации через механизм, который вообще-то для этого не предназначен, часто бывает сложным, медленным и трудоемким. Австрийские исследователи работали с подвидом стороннего канала, известным как contention side channel, — то есть утечка возникает в условиях конкуренции за определенный ресурс. И в данном случае борьба происходит за пропускную способность накопителя информации. View the full article

В апреле 2026 года мы обнаружили новую кампанию, нацеленную на любителей хентай-игр. Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal. Он умеет красть файлы и личные данные, дистанционно управлять компьютером и маскировать свое присутствие на устройстве. Рассказываем, как не стать жертвой нового трояна — и как безопасно и максимально анонимно смотреть пикантный контент с аниме-девочками (или без). Как происходит заражение Argamal Большинство зараженных игр распространяют через сайты с каталогами пикантных игр, а также через торрент-трекеры. Иногда пользователи скачивали архивы с файлообменников, на которые вели ссылки с игровых сайтов. Пример размещения троянизированной игры на торрент-трекере AniRena View the full article

Неконтролируемый ИИ в корпоративной среде — это быстро растущий канал утечки данных и других инцидентов ИБ. Зачастую сотрудники используют внешние чат-боты для работы с конфиденциальной корпоративной информацией или самовольно устанавливают автономные ИИ-агенты, выдавая им лишние права. Мы уже рассматривали классификацию нежелательных ИИ-систем в одной из предыдущих статей, а также давали советы по отключению ИИ, встроенного в крупные платформы. В этом посте мы переходим к конкретике: разбираем, как отключить или ограничить несанкционируемое использование популярных «помощников» от ChatGPT до Grammarly и тому подобных решений. Как выявить и ограничить использование ChatGPT Это самый крупный (в мировом масштабе) способ несанкционированного использования ИИ, но стоит учитывать, что его блокировка приводит лишь к тому, что пользователи начинают искать сомнительные сайты или чат-боты в мессенджерах, дающие доступ к тому же сервису. Поэтому крайне желательно все же перед блокировкой предоставлять санкционированную альтернативу. Детектирование: анализ на NGFW или веб-фильтре трафика к chat.openai.com, chatgpt.com, oaistatic.com, oaiusercontent.com, cdn.oaistatic.com. Дополнительно имеет смысл анализировать историю браузера и установленные приложения и расширения через инструменты EDR/EPP. Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов OpenAI, с помощью политик браузера заблокировать различные браузерные расширения, дающие доступ к ChatGPT (или вообще все расширения, кроме одобренных). На уровне контроля приложений и EPP/EDR заблокировать установку фирменного приложения (ChatGPT.exe, com.openai.chat). View the full article

У Павла Дурова и его «приватного» мессенджера появился новый конкурент, и это — барабанная дробь — Илон Маск и его сервис XChat. В нашем блоге мы не раз обсуждали, почему заявления Дурова о приватности и безопасности Telegram, мягко говоря, преувеличены. Здесь я лишь напомню читателю о том, что обычные (не секретные) чаты в Telegram не защищены сквозным шифрованием — базовым элементом, необходимым для приватности данных пользователей. Но вернемся к Маску. В конце апреля 2026 года для пользователей iOS стало доступно приложение XChat. О запуске этого мессенджера знаменитый инфобизнесмен говорил уже давно, причем с самого начала позиционировал его как невероятно приватный и безопасный способ общения и как прямого конкурента Signal, WhatsApp*, Telegram и iMessage. Сегодня разберем подробно, насколько стоит доверять обещаниям Маска новому сервису, поговорим об особенностях его использования, а также сравним с другими мессенджерами. Шифрование в стиле Bitcoin Изначально Маск анонсировал XChat 1 июня 2025 года, естественно, в своем аккаунте X (ex-Twitter). В ответ на вопрос другого пользователя соцсети, когда же стоит ожидать запуска нового сервиса, Маск написал: «На этой неделе, если не возникнет проблем с масштабированием». Проблемы с масштабированием, очевидно, возникли: бета-версия приложения вышла только в сентябре 2025 года, а полноценный доступ к приложению пользователи iOS получили только в апреле 2026 года. Что касается Android, то на момент публикации этого поста никакой информации о том, когда будет доступна версия для этой операционной системы, не было. При этом уже существует страница приложения XChat в Google Play, на которой можно было встать в очередь за ним оформить предварительную регистрацию, что бы это ни значило. Но вернемся к посту, в котором Маск анонсировал XChat. Этот пост привлек много внимания в сообществе экспертов по приватности и кибербезопасности, и вот почему: знаменитый инфобизнесмен написал, что сервис будет основан на «полностью новой архитектуре». Суть этой архитектуры — приложение написано на языке программирования Rust и должно иметь «шифрование в стиле Bitcoin». Илон Маск анонсирует запуск XChat и заявляет, что новый мессенджер написан на Rust и использует «шифрование в стиле Bitcoin». Источник Экспертное сообщество долго чесало затылок в попытке понять, что же Маск имел в виду — ведь Bitcoin не является системой анонимного шифрованного обмена данными. Блокчейн действительно использует публичные и приватные криптографические ключи, но совсем для другого — для подписания транзакций. При этом сами эти транзакции не просто не скрываются от посторонних глаз, а становятся видны любому желающему, причем навечно. Проще говоря, Bitcoin защищает своих пользователей не за счет обеспечения приватности, а совсем наоборот, с помощью максимальной публичности. View the full article

В последнее время разработчики ПО встраивают ИИ-функции в привычные рабочие инструменты, включая операционные системы и браузеры. В некоторых случаях это действительно удобно. Но их наличие создает определенные риски, а потому далеко не все компании готовы предоставлять своим сотрудникам доступ к таким инструментам. В нашей предыдущей статье мы рассмотрели классификацию нежелательных ИИ-систем, способы их обнаружения на уровне сети и конечных точек, а также ключевой универсальный «рубильник» — управление OAuth-доступом в основных корпоративных платформах. В этом материале мы переходим к конкретике: разбираем, как отключить или ограничить ИИ, встроенный в популярные платформы. Отметим, что крупные производители ПО иногда меняют названия настроек, связанных с ИИ, а также модифицируют нюансы их работы. Если какая-то из приведенных ниже настроек недоступна или работает не так, как ожидалось, поиск в Интернете по названию опции обычно позволяет найти ее новое местоположение или название. Как отключить Microsoft 365 Copilot Детектирование: реальное использование Copilot можно проверить в журнале: Microsoft 365 admin → Copilot usage report. Отключение при помощи политик: в Admin Center пройти в раздел Settings → Integrated Apps, найти Copilot в списке Available Apps, выбрать Block. Более подробные политики конфигураций доступны через Customization → Policy Management. Здесь на странице Policies есть более двух тысяч политик, которые нужно отфильтровать по слову Copilot (подробное руководство). Учитывая, что Copilot является платным дополнением к Office, другой вариант блокировки и экономии — не назначать пользователям лицензии (SKU), включающие Copilot. Отдельно рекомендуется заблокировать Copilot Chat, доступный в инструментах Teams, Edge, Outlook и нескольких других сервисах. Да, это не то же самое, что Copilot. Да, его надо блокировать отдельно, по этой инструкции. Дополнительный слой защиты: на уровне веб-фильтра или NGFW заблокировать домены copilot.cloud.microsoft и m365.cloud.microsoft/chat, но Microsoft в явном виде не рекомендует этого делать, угрожая нарушением других функций Microsoft 365. View the full article

Одно из самых больших событий этого лета — чемпионат мира по футболу. Турнир пройдет сразу в трех странах: США, Канаде и Мексике. Такие события привлекают не только болельщиков, но и мошенников со всего мира. Мы уже рассказывали, как киберпреступники готовятся к чемпионату мира онлайн, а сегодня поговорим о цифровой безопасности фанатов в Мексике. Страна примет 13 матчей и миллионы туристов. Они будут останавливаться в отелях, посещать матчи, рестораны, аэропорты, популярные туристические места — и везде будет велик соблазн подключиться к публичному Wi-Fi. Мы исследовали более 84 500 общественных точек доступа Wi-Fi в Мехико, Гвадалахаре и Монтеррее — и нам есть что вам рассказать об их безопасности. Маленький спойлер: многие сети до сих пор используют устаревшую защиту, поэтому без надежной защиты и eSIM в отпуске ну совсем никак. Что и как мы исследовали Пройтись пешком по Мексике в поисках публичных Wi-Fi-точек было бы сложновато, хотя ради аналогичного исследования безопасности Wi-Fi в Париже мы именно так и поступили (кстати, ознакомиться с его результатами можно в материале Безопасен ли парижский Wi-Fi?). В этот раз предстояла задача посложнее: исследовать три мегаполиса. Поэтому мы использовали вардрайвинг — так называют поиск и анализ беспроводных сетей из движущегося автомобиля с помощью смартфона или ноутбука. Это похоже на обычный поиск Wi-Fi на телефоне: устройство постоянно сканирует ближайшие сети. Только вместо подключения к сетям мы собираем данные о них. Вся информация использовалась исключительно для пассивного наблюдения и анализа инфраструктуры. Эксперты глобального центра исследования и анализа угроз «Лаборатории Касперского» (GReAT) не предпринимали никаких попыток аутентификации, перехвата трафика, эксплуатации систем и иного взаимодействия с обнаруженными беспроводными сетями, выходящего за рамки приема транслируемой в эфир общедоступной служебной информации. Из выборки были исключены мобильные точки доступа, развернутые в автомобилях и на мобильных устройствах. View the full article

Паттерны вредоносной активности — одна из главных характеристик, позволяющих атрибутировать образцы ВПО и другие инструменты конкретной группе злоумышленников, своевременно детектировать атаку и митигировать ее последствия. За последнее время ландшафт угроз, складывающийся из этих паттернов, претерпел существенные изменения. Если раньше атакующие чаще всего использовали общедоступный инструментарий, схожие вектора заражения и вообще, действовали по уже известным схемам, то на сейчас ситуация кардинальным образом изменилась. Большинство современных кластеров атакующих разрабатывают и развивают собственный инструментарий, в котором предыдущий образец ВПО может быть лишь функцией нового; поддерживают массив сетевой инфраструктуры с возможностью быстрой замены серверов; а также используют для создания ВПО генеративный ИИ, что позволяет им увеличить количество векторов заражения и смешать свои паттерны поведения со сгенерированными. Конкретные примеры современных вредоносных кампаний Несмотря на эти изменения, наши эксперты продолжают активно отслеживать новые вредоносные кампании и реагировать на современные угрозы. Вот несколько примеров вредоносных кампаний, обнаруженных и проанализированных нашими специалистами. Вредоносная кампания Librarian Likho Данная кампания отличается от предыдущих активностей той же группы прежде всего масштабом. Наши технологии зарегистрировали более тысячи вредоносных писем почти идентичной структуры, разосланных организациям из госсектора, строительной и промышленной отраслей, что прямо указывает на автоматизацию проводимых атак. Точкой входа служит письмо с вредоносным вложением, замаскированным под офисный документ, с именем вроде «Контракт на оказание услуг по Договору № 5445-95. Исх. № 125.com». После внимательного исследования наши эксперты выяснили, что файл в действительности является исполняемым инсталлятором Smart Install Maker. При запуске он распаковывает в директорию %TEMP% два .cab-архива с набором инструментов, а для отвлечения открывает файл-приманку doc30.doc —офисный документ с типичным деловым содержимым, который должен убедить жертву, что ничего необычного не происходит. View the full article

Периодически у компаний возникает необходимость встроить в какой-либо продукт или сервис проверку файлов или ссылок на наличие киберугроз. Например, чтобы обезопасить работу в публичном или корпоративном облаке или защитить какую-нибудь платформу для совместной работы в целом. В нашем портфолио есть удобный инструмент, позволяющий решить эту проблему, — Kaspersky Scan Engine. Scan Engine подходит для множества различных сценариев: проверки загрузок во внутренние системы; сканирования объектов, загружаемых из Интернета; защиты файловых и резервных хранилищ; контроля файлов и ссылок, которыми сотрудники обмениваются через корпоративные мессенджеры; и для многого другого. Движок может работать через протоколы HTTP или ICAP и имеет богатый REST-API, что позволяет ему взаимодействовать практически с любым сетевым решением. Поэтому достаточно часто к нам приходят клиенты с конкретными вопросами: «А как нам встроить Kaspersky Scan Engine в %название продукта%?» Разумеется, для того чтобы помочь клиентам интегрировать Scan Engine, у нас есть страница на портале технической поддержки. Но мы, к сожалению, не можем опубликовать на ней инструкции для всех сторонних сервисов и приложений, с которыми Kaspersky Scan Engine может взаимодействовать, — их слишком много. Поддержка актуальности, регулярное обновление и перепроверка этих данных перед каждым обновлением отнимала бы слишком много ресурсов (особенно с учетом того, что регулярно обновляется не только Kaspersky Scan Engine, но и продукты, с которыми он интегрируется). Однако за время существования Kaspersky Scan Engine мы неоднократно помогали клиентам настроить взаимодействие нашего движка с разными продуктами и сервисами. Было бы обидно, если бы наш опыт никак не использовался, — запросы на интеграцию редко бывают уникальными, обязательно найдется кто-то, кому были бы полезны настройки и советы. Поэтому мы решили опубликовать набор интеграционных сценариев, записанных нашими инженерами. View the full article

В последние годы фишинговые рассылки стали намного хитрее и убедительнее. Почтовые адреса почти неотличимы от настоящих, письма составлены очень грамотно, к пользователям обращаются по настоящему имени… Но как быть, если на почту пришло подозрительное письмо c действительно легитимного адреса электронной почты? В последнее время злоумышленники активно используют для фишинговых атак платформу Google AppSheet: через нее можно настроить почтовую рассылку, которая отправляется c почтового адреса, связанного с Google. В результате атаки злоумышленники крадут учетные записи и конфиденциальные данные своих жертв. В этой статье рассказываем, как работает новая схема кражи данных и как защититься от хитрых фишинговых атак. Вас зовет на работу Apple. Или нет? AppSheet — это сервис Google, который позволяет собирать приложения без навыков программирования. Им часто пользуются в малом бизнесе для автоматизации рутинных процессов. К сожалению, именно эта простота делает AppSheet привлекательным и для злоумышленников. Теперь для запуска фишинговой схемы достаточно заплатить всего несколько долларов и по-быстрому собрать программу из готовых команд и блоков. Сценарий фишинговых атак через AppSheet довольно стандартен. Жертве приходит письмо от имени крупной компании — причем начинаются такие письма зачастую с поименного обращения. Скорее всего, злоумышленники обрабатывают данные из утечек и просто подставляют имена, связанные с конкретными адресами электронной почты. Дальше злоумышленники пытаются сыграть на эмоциях получателя — либо запугивая грозными предупреждениями, требующими якобы немедленных действий («мы скоро отключим ваш аккаунт», «замечена подозрительная активность»), либо радуя заманчивыми предложениями вроде возможности получить значок верификации аккаунта или приглашение на собеседование в крупную компанию. «Письма счастья» от «кадровых отделов» при этом составлены так, чтобы у получателя возникло ощущение, будто его кандидатуру уже рассмотрели, высоко оценили и готовы принять его на работу хоть завтра. View the full article

Злоумышленники уже начали подготовку к главному футбольному событию этого года — чемпионату мира 2026 года. Миллионы фанатов будут искать возможность посмотреть матчи онлайн, в частности через IPTV-приложения, которые используются для трансляции телеканалов через Интернет. Поэтому неудивительно, что за прошедшие несколько месяцев исследователи кибербезопасности зафиксировали несколько случаев распространения вредоносного ПО под видом IPTV-приложений для Android. В этом посте поговорим о том, что представляют собой IPTV-приложения, как с помощью их поддельных версий преступники распространяют вредоносное ПО, на что оно способно и, главное, как не стать жертвой. Что такое IPTV-приложения Аббревиатура IPTV расшифровывается как Internet Protocol Television (телевидение по протоколу Интернета). Эта технология позволяет обеспечивать доставку телевизионного контента через Интернет, а не через кабель, эфирную антенну или спутник. Соответственно, самый простой и распространенный пример IPTV — это официальные платформы телеканалов. Речь может идти как о сайтах, так и о приложениях. Однако помимо официальных существуют также и пиратские IPTV-сервисы. Обычно они привлекают пользователей бесплатным или очень дешевым доступом к контенту, который может быть нелегко найти без дорогостоящих подписок — в первую очередь это трансляции различных спортивных мероприятий и, в частности, футбольных матчей. Как это обычно бывает с пиратским контентом, в официальные магазины такие приложения не пускают, поэтому пользователям приходится скачивать их со сторонних площадок. Соответственно, риск использования подобных сервисов связан не с технологией IPTV как таковой, а с поддельными приложениями и модифицированными APK-файлами, которые распространяются под видом приложений известных платформ — как официальных, так и пиратских. View the full article

Хотя многие компании осознанно внедряют ИИ для повышения качества и эффективности, еще быстрее в них появляются ИИ-инструменты, руководством не санкционированные. ИИ встраивают в уже применяемые компанией решения сами разработчики ПО (например, Microsoft Copilot и Gemini), а также самовольно устанавливают сотрудники. В результате бизнес сталкивается с плохо контролируемым каналом утечки данных: сотрудник вставляет информацию из корпоративных систем в чат с ИИ-помощником, и данные уходят не только производителю SaaS-решения, но и разработчикам ИИ-модели, с которой это SaaS-решение работает. И риски, и способы их снижения отличаются для разных видов ИИ-систем. Мы дадим обзор этой широкой темы, сфокусировавшись на инструментах детектирования и блокировки ИИ на двух уровнях. Виды нежелательных ИИ-систем В зависимости от разновидности ИИ, контролировать и блокировать его использование нужно по-разному. Важно различать следующие четыре вида ИИ. ИИ-возможности, встроенные в платформу: Microsoft Copilot, Google Gemini, Apple Intelligence; сюда же можно отнести ИИ-функции, встроенные прямо в браузер. Ключевая особенность этих ИИ — они встроены прямо в приложения первой необходимости, доступны каждому пользователю (и порой навязчиво всплывают), а главное — все производители пытаются включить их по умолчанию. Помощники, встроенные в бизнес-приложения. К этой категории относятся Slack AI, Zoom AI Companion, Notion AI, помощник Rovo в Jira и так далее. Они доступны всего на одной платформе и от нее неотделимы. Доступные отдельно чат-боты в виде сайтов и приложений: ChatGPT, Claude, Perplexity, Character AI, локальные решения наподобие LM Studio, расширения для браузера, а также агентные браузеры вроде Comet. Приложения и сервисы этой категории чаще всего применяют сами сотрудники без разрешения, это обычно «теневой ИИ». Многофункциональные агенты, запускаемые на компьютере. К этой категории относятся OpenClaw, NanoClaw, NemoClaw и тому подобные решения. Они наиболее опасны, поскольку по умолчанию обладают широкими правами доступа и работают с недоверенными данными из Интернета. View the full article

Вы когда-нибудь пробовали посчитать, сколько денег вы тратите на подписки каждый месяц? Музыка, фильмы, игры, языковые курсы, сервисы доставок, подогрев кресел и возможность общаться с чат-ботом Grok прямо из машины — для чего только не придумали подписки. Есть даже подписка на сервис, который… следит за вашими подписками. Количество подписок сильно отличается в зависимости от места жительства пользователя, но по статистике хотя бы одна платная подписка есть у 78% взрослого населения Земли, а в среднем на одного пользователя приходится 5,6 активных подписок. При этом большая часть из них — семейные, используемые совместно с близкими… и не очень: 37% пользователей делятся своими подписками за пределами семьи. При этом подписные аккаунты, особенно семейные, часто содержат конфиденциальные данные владельца и потому востребованы кибермошенниками. Сегодня расскажем, как безопасно управлять подписками, избежать взлома всех ваших аккаунтов и не попасться на удочку злоумышленников. Безопасность совместных аккаунтов и подписок Зачем вообще кому-то нужно взламывать вашу подписку? Даже если сервис предлагает только развлекательный контент, ваш аккаунт почти наверняка содержит конфиденциальную информацию: имя, адрес, электронную почту, телефон, имена других участников и прочие персональные данные. Эти данные затем перепродают в даркнете и используют для дальнейших взломов. Злоумышленники взламывают подписочные аккаунты, либо эксплуатируя методы социальной инженерии и фишинг, либо пользуясь тем, что многие пользователи используют слабые или скомпрометированные пароли, — как мы недавно рассказывали в нашем исследовании, почти половину всех паролей в мире можно взломать меньше чем за минуту. Затем мошенники либо перепродают существующие подписки или места в семейной группе задешево, либо оформляют на жертву новые подписки, надеясь, что та просто не заметит дополнительных списаний. Наконец, некоторые «дельцы» не заморачиваются взломом чужих аккаунтов, а просто покупают подписки на большое количество устройств — в таких пакетах стоимость использования в пересчете на отдельное устройство, как правило, заметно ниже. А дальше места в этой подписке перепродаются в розницу на интернет-барахолках — в результате в одном «семейном» аккаунте могут оказаться совершенно незнакомые друг с другом люди. View the full article

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… Чтобы просто смотреть то, что хочется, средняя добросовестная семья сегодня оплачивает сразу 5–10 подписок, а их ежемесячная цена легко переваливает за $100. Неудивительно, что в соцсетях и на маркетплейсах растет спрос на появившиеся с конца 2025 года «волшебные коробочки» — ТВ-приставки под управлением Android, которые обещают разовой покупкой открыть доступ к тысячам каналов и всем стриминговым сервисам без подписки. Реклама таких устройств появляется в TikTok и Instagram: улыбчивые блогеры распаковывают «супербоксы», подключают их к телевизору и демонстрируют бесконечную прокрутку каналов. Кажется, что это идеальный лайфхак против повсеместного засилья платных подписок? На самом деле, это один из самых доступных способов добровольно впустить в домашнюю сеть ботнет. Рекламный ролик в TikTok, рассказывающий, как же это здорово, когда сыр бесплатный все подписки можно отменить View the full article

Представьте: вы сдаете смартфон в ремонт. Через пару дней забираете — и ура, он снова работает! Но вы даже не узнаете, что в ваше устройство уже внедрен вредоносный код, а злоумышленники смогут получить доступ даже к заблокированному смартфону. Именно с этого начинается история, которую исследователи Kaspersky ICS CERT Александр Козлов и Сергей Ануфриенко рассказали на конференции Black Hat Asia 2026. Обнаруженная ими уязвимость переворачивает привычные представления о безопасности смартфонов и устройств интернета вещей. Ее суть — в самом сердце чипов Qualcomm. Что такое BootROM Чтобы понять серьезность находки, сначала нужно разобраться в том, как загружается современное устройство на чипе Qualcomm. Представьте защищенную крепость с несколькими уровнями охраны. На каждом следующем уровне проверяют пропуск, выданный предыдущим. Самый нижний — фундамент и база, самый доверенный уровень — BootROM, постоянная память, вшитая в кремний и недоступная для изменения после производства. BootROM запускается первым при включении устройства. Он проверяет подпись следующего загрузчика, тот — следующего, и так выстраивается цепочка доверия вплоть до операционной системы. Если злоумышленник может сломать эту цепочку на уровне BootROM — игра окончена: код будет исполняться раньше, чем основная ОС успеет загрузиться. Именно это и позволяет делать обнаруженная исследователями Kaspersky ICS CERT уязвимость CVE-2026-25262. View the full article

Мы уже неоднократно писали о том, как в фишинговых схемах применяются QR-коды. В решении для защиты почтовых шлюзов мы даже реализовали технологию, позволяющую считывать эти коды (причем не только из писем, но и вложений) и проверять зашитые в них ссылки. Но злоумышленники не оставляют попыток прислать жертве QR-код. В последнее время мы все чаще видим, как они используют для этого ASCII-графику — изображения, составленные из текстовых символов. Это кажется особенно смешным с учетом того, что когда-то фишеры пытались избежать сканирования ссылок, пряча их в картинке, а теперь пытаются спрятаться от сканирования ссылок в картинках, вновь используя текст. Но с некоторыми нюансами. Что такое ASCII-графика и как ее используют злоумышленники Сейчас в это нелегко поверить, но когда-то компьютеры не умели отображать графику. Поэтому самые первые компьютерные изображения складывались из текстовых символов. После принятия стандарта в 1963 году для такой графики использовались именно символы из таблицы ASCII (American Standard Code for Information Interchange) — это гарантировало одинаковое отображение картинки на разных компьютерах. Со временем, для создания изображений стали применять и другие текстовые символы (например, из расширенного набора Unicode), но название «ASCII-графика» так и осталось термином для обозначения этого вида искусства в целом. Существовали вполне серьезные художники, работавшие в этой технике, первые интернет-сайты оформлялись именно при помощи ASCII-графики, и даже первая компьютерная порнография рисовалась именно текстовыми символами. С развитием технологий отображения картинок ASCII-графика начала выходить из моды. Активно вспомнили ее в нулевых, в период расцвета спам-рассылок. Тогда спамеры применяли ее преимущественно потому, что она, с одной стороны, позволяла замаскировать откровенно спамерские ключевые слова, по которым нежелательная почта фильтровалась, а с другой, ее рассылка создавала меньшую, чем картинки, нагрузку на почтовые серверы. Ну и вдобавок в то время многие платили за трафик, а потому отключали загрузку картинок в почте. Разумеется, тогда мы добавили в решения для защиты почты технологии, блокирующие ASCII-графику. И вот о существовании ASCII-графики вновь вспомнили — на этот раз желающие обойти технологии распознавания QR-кодов на картинках. View the full article

Современная разработка программного обеспечения завязана на контейнеры и использование сторонних модулей. С одной стороны, это значительно облегчает создание нового софта, а с другой, дает злоумышленникам дополнительные возможности для компрометации среды разработки. Новости об атаках на цепочку поставок путем распространения зловредов через разнообразные репозитории появляются с завидной регулярностью. Незакрытые уязвимости в компонентах и ошибки в конфигурациях также порой становятся причиной серьезных инцидентов. Поэтому инструменты, позволяющие сканировать образы, давно стали обязательной частью создания безопасного ПО. Среди наших предложений уже несколько лет есть решение для защиты контейнерных сред. Оно позволяет сканировать образ на разных этапах разработки и эксплуатации контейнерных инфраструктур и выявлять вредоносное ПО, известные уязвимости, ошибки конфигурации, наличие в коде конфиденциальных данных и так далее. На основании предоставляемой решением информации опытный ИБ-эксперт, управляющий Kaspersky Container Security, сможет понять и ликвидировать большую часть проблем. К сожалению, профессионалов на рынке не хватает. А менее опытный специалист не всегда может действовать на основании одних результатов сканирования, ему может не хватать контекста. Кроме того, в силу недостаточного опыта он может просто не заметить неоптимальные или потенциально опасные решения в образе. Контекст, конечно, можно собрать и самостоятельно, но каждый раз проводить тщательное исследование вручную невозможно. Поэтому наши эксперты решили добавить возможность взглянуть на образ свежим взглядом. Разумеется, не человеческим — сейчас без ИИ никуда. Интеграция с LLM Теперь у пользователей Kaspersky Container Security есть возможность использовать технологию Kaspersky Investigation and Response Assistant (KIRA). Она уже достаточно давно помогает аналитикам, использующим нашу SIEM-систему KUMA, оперативно реагировать на возникающие угрозы. KIRA активно внедряется и в другие продукты, и теперь она доступна для пользователей Kaspersky Container Security в качестве ИИ-ассистента. View the full article

В портфолио «Лаборатории Касперского», помимо всего прочего, есть платформа для обеспечения безопасности контейнерных сред. Но в этом посте я хочу рассказать о Kaspersky Container Security (KCS) не как представитель вендора, а скорее как член команды, активно использующей это решение в повседневной работе. Наша команда Product Security Team отвечает за выстраивание процессов безопасной разработки в компании. Мы вовлечены в этапы разработки продукта на всем жизненном цикле ПО, и для нас важно помогать продуктовым командам находить проблемы безопасности заранее, чтобы они могли обеспечить плановый выход релизов. Для этого мы выстроили ряд процессов, одним из которых является процесс обеспечения безопасности контейнеров. В рамках него мы активно используем собственный продукт Kaspersky Container Security. Решения, обеспечивающие безопасность контейнеров, как правило, воспринимаются в первую очередь как сканер образов в реестре (container registry). Но Kaspersky Container Security (KCS) — это скорее платформа для защиты контейнерной среды, которая закрывает сразу несколько задач, встраиваясь в контейнерный контур целиком. Да, сценарий сканирования контейнерных образов у него, несомненно, есть, и он важен. Но за время использования продукта мы пришли к выводу, что реальная ценность становится заметной, когда продукт встроен в несколько точек процесса сразу: в регулярную сборку продукта; в проверку артефакта перед релизом или деплоем; в контроль уже запущенного контейнера в кластере. Базовый сценарий: как KCS сканирует образы В основе все стандартно. KCS обеспечивает проверку образов на типовые для контейнеров проблемы: известные уязвимости, вредоносные объекты, забытые в коде секреты и ошибки конфигурации. Но результат сканирования не сводится к одному абстрактному вердикту. Система считает критичность (risk rating) на основе найденных проблем и дает понятную картину по объекту. В практической эксплуатации это удобно, потому что команды видят не просто сообщение «образ плохой», а четкую картину, показывающую, из чего именно складывается риск и что нужно чинить в первую очередь. Дальше начинается более интересная часть. KCS неплохо ложится в сценарии, где важно не только найти проблему, но и привязать ее к жизненному циклу артефакта. Когда у команды сотни сборок, одного периодического сканирования реестра уже мало и это всегда требует ручного вмешательства. Нужно понимать, в каком пайплайне появился риск, какие политики сработали и что нужно сделать дальше. KCS такую связку обеспечивает. View the full article