Поиск

Прошедший 2025 год серьезно изменил то, куда и как мы получаем доступ в Сети. Радикальные законодательные инициативы, появление ИИ-ассистентов и защита сайтов от ИИ-ботов перестраивают Интернет на наших глазах. Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год? По традиции опишем это в виде восьми новогодних обещаний. Что обещаем себе в 2026? Изучить новые законы своего региона Минувший год был богат на законодательные инициативы, значительно меняющие правила пользования Сетью для обычных людей. За последнее время законодатели различных стран: запретили соцсети подросткам; ввели строгую проверку возраста, например по удостоверению личности, при посещении тех или иных категорий сайтов; потребовали получать явное родительское согласие на доступ несовершеннолетних ко многим онлайн-сервисам; применяли разные формы давления, включая блокировки и судебные иски к онлайн-платформам, не соблюдающим уже принятые законы о защите детей — наиболее яркая ситуация здесь у Roblox. Почитайте новости на сайтах, подающих их спокойно и не сенсационно, изучите комментарии юристов. Надо понять, какие обязательства ложатся на вас, а если у вас есть несовершеннолетние дети — что меняется для них. Возможно, с детьми предстоят трудные разговоры о новых правилах пользования соцсетями или играми. Важно, чтобы подростковый протест не привел детей к опасным ошибкам, таким как установка вредоносного ПО, замаскированного под «мод обхода ограничений», или уход в мелкие и никем не модерируемые соцсети. Подстраховать подрастающее поколение поможет надежная защита их компьютеров и смартфонов вместе с инструментами родительского контроля. Но дело не сводится к простому соблюдению законов. Почти наверняка вы столкнетесь с негативными побочными эффектами, которые законодатели не предусмотрели. View the full article

В ноябре 2025 года эксперты «Лаборатории Касперского» обнаружили новый стилер Stealka, который ворует данные у пользователей Windows. Злоумышленники используют его для кражи учетных записей и криптовалюты, а также для установки майнера на устройстве жертвы. Чаще всего инфостилер маскируется под кряки, читы и моды для игр. Рассказываем, как злоумышленники распространяют стилер и как от него защититься. Как распространяется Stealka Стилер — это вредонос, который крадет конфиденциальную информацию с устройства жертвы и отправляет ее на сервер злоумышленников. В основном Stealka распространяют на популярных ресурсах — вроде GitHub, SourceForge, Softpedia, sites.google.com и других — под видом кряков известных программ, читов и модов для игр. Чтобы вредонос начал работать, пользователь должен самостоятельно запустить файл. Вот, например, опубликованный на SourceForge вредоносный мод для Roblox. SourceForge — легитимный сайт, на котором злоумышленники выложили мод со Stealka внутри View the full article

Признайтесь: вы давно хотели приобщиться к новому воплощению NFT — подаркам в Telegram — но все как-то не доходили руки. Тема на хайпе — разработчики активно плодят изображения в партнерстве, например, с рэпером Снуп Доггом и другими знаменитостями. У всех друзей профили уже пестрят новомодными картинками, и вам тоже жутко хочется запрыгнуть в этот хайп-трейн «любой ценой, но бесплатно». И вдруг вам приходит щедрое предложение от незнакомца — получить парочку подобных подарков без капиталовложений. Выглядящий совсем как официальный бот устраивает airdrop — это такой аттракцион неслыханной щедрости в мире NFT, когда небольшое количество новых криптоактивов бесплатно раздается сообществу в рамках промоакции. Термин перекочевал в Telegram ввиду криптоприроды этих подарков и NFT-механики «под капотом». Ограничить время акции — любимый прием маркетологов… и мошенников View the full article

Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству. Как выглядит вредоносное письмо Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых. В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы. В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта. View the full article

Загадка: пользователь зашел на мошеннический сайт, решил оформить покупку и ввел данные банковской карты, имя и адрес. Что произошло дальше? Если вы думаете, что злоумышленники просто сняли деньги и исчезли — вы ошибаетесь. Увы, все гораздо сложнее. На самом деле украденная информация попадает на гигантский конвейер теневого рынка, где данные жертв циркулируют годами, переходя из рук в руки, и повторно используются для новых атак. Мы в «Лаборатории Касперского» изучили, какой путь проходят данные после фишинговой атаки: кому они достаются, как их сортируют, перепродают и используют на теневом рынке. В этом материале мы покажем маршрут похищенных данных и расскажем, как защититься, если вы уже столкнулись с фишингом или хотите избежать его в будущем. Подробный отчет с техническими деталями читайте в блоге Securelist. Сбор данных Фишинговые сайты тщательно маскируются под настоящие: иногда дизайн, интерфейс и даже домен практически неотличимы от оригинала. Чаще всего злоумышленники используют для кражи данных HTML-формы, в которых пользователю предлагают ввести логин и пароль, реквизиты карты или другую конфиденциальную информацию. Как только пользователь нажимает кнопку «Войти» или «Оплатить», информация мгновенно уходит к мошенникам. Иногда данные собирают не напрямую через сайт, а через легитимные сервисы вроде Google Forms, чтобы скрыть конечный сервер. Поддельный сайт DHL. Пользователя просят ввести логин и пароль от настоящего аккаунта DHL View the full article

Правоохранительные органы Южной Кореи арестовали четырех подозреваемых во взломе 120 000 IP-камер, установленных как в частных домах, так и в коммерческих помещениях — например, в комнатах караоке, студии пилатеса и гинекологической клинике. Полученные с камер записи сексуального характера двое из взломщиков продавали через зарубежный сайт для взрослых. Объясняем, что представляют собой IP-камеры и в чем состоят их уязвимости, а также подробно рассказываем об инциденте в Южной Корее и о том, как не стать жертвой злоумышленников, охотящихся за горячими видео. Как работают IP-камеры? IP-камера — это видеокамера, подключенная к Интернету по протоколу IP (Internet Protocol), которая позволяет просматривать изображение с нее удаленно через смартфон или компьютер. В отличие от классических систем видеонаблюдения CCTV, таким камерам не нужен какой-то локальный «центр наблюдения», как в фильмах, или даже простой компьютер, к которому бы они были подключены. IP-камера сразу передает видеопоток в реальном времени на любое устройство, подключившееся к ней через Интернет. Помимо этого, производители большинства современных IP-камер, как правило, дают возможность приобрести некоторый объем в облачном хранилище и просматривать архив видеосъемки из любой точки мира. В последние годы IP-камеры стали особенно популярны и используются в самых разных помещениях и для разных задач — от домашнего видеонаблюдения за детьми и питомцами до обеспечения безопасности складов, офисов, квартир с посуточной арендой (хоть это часто и незаконно) и небольших бизнесов. Самые простые варианты IP-камер можно купить онлайн за 2–3 тысячи рублей. Бюджетная IP-камера с Full HD на маркетплейсе стоит меньше 2000 рублей — доступность делает такие устройства крайне популярными для дома и малого бизнеса View the full article

Очень часто злоумышленники атакуют «устаревший и неиспользуемый тестовый аккаунт» или в публичном доступе оказываются облачные хранилища с критическими, но не самыми свежими данными. Или атака успешно эксплуатирует уязвимость в компонентах приложения, которая была устранена два года назад. Читая истории этих взломов, замечаешь лейтмотив — в атаках использовано что-то устаревшее: сервис, сервер, учетная запись… Части корпоративной ИТ-инфраструктуры иногда выпадают из поля зрения ИТ и ИБ и становятся, по сути, никем не управляемыми, бесполезными и просто забытыми. Такие ИТ-зомби создают риски для информационной безопасности и регуляторного соответствия, а также риски избыточных операционных затрат. В целом это часть теневого ИТ, с той лишь разницей, что они вообще никому не нужны, не известны и не приносят пользы. В этом посте попробуем определить, какие активы требуют первоочередного внимания, как их обнаружить и в какой форме проводить реагирование. Физические и виртуальные серверы Приоритет: высокий. Уязвимые серверы — это точки входа для кибератак, которые при этом потребляют ресурсы и создают риски для регуляторного соответствия. Распространенность: высокая. Физические и виртуальные серверы остаются бесхозными в крупных инфраструктурах после проектов по миграции или после слияния и поглощения компаний. Часто оказываются забытыми тестовые серверы, которые уже не используются после запуска ИТ-проектов, а также веб-серверы для неактуальных проектов, работающие без домена. Масштаб последней проблемы иллюстрирует статистика сервиса Let’s Encrypt — половина запросов на продление домена в 2024 году приходила от устройств, которые более не связаны с запрошенным доменом. Число таких устройств — порядка миллиона. View the full article

Недавно на новостных сайтах появилась информация о том, что некие злоумышленники распространяют инфостилер через бесплатные файлы 3D-моделей для ПО Blender. Это само по себе достаточно неприятное явление, но оно подсвечивает еще более серьезную проблему — угрозы для бизнеса, создаваемые бесплатным ПО. Причем не уязвимостями в нем, а непосредственно его штатными функциями. Почему Blender и онлайн-маркетплейсы 3D-моделей могут быть источниками риска Blender — это программное обеспечение для создания 3D-графики и анимации, которое используется множеством специалистов по визуализации в различных областях. Программа бесплатная, имеет открытый исходный код и предоставляет широкую функциональность. Среди прочих возможностей Blender есть и поддержка выполнения Python-скриптов, которые используются для автоматизации задач и расширения функциональности ПО. Программный пакет позволяет импортировать в проект любые внешние файлы, которые пользователи могут найти на специализированных маркетплейсах вроде CGTrader или Sketchfab. На этих площадках художники и студии выкладывают свои 3D-модели — как платные, так и бесплатные. И в любом из файлов с моделью теоретически могут быть Python-скрипты. В итоге мы имеем маркетплейсы, на которые файлы могут быть загружены любым пользователем и которые далеко не факт, что проверяют содержимое этих файлов. И имеем программный пакет с функцией Auto Run Python Scripts, которая позволяет файлам автоматически выполнять встроенные в них Python-скрипты сразу после открытия. То есть, по сути, запускать на компьютере посторонний код без дополнительных действий пользователя. View the full article

Инфостилеры, ворующие с компьютера пароли, куки, документы и другие ценные данные, стали самой быстрорастущей угрозой в 2025 году. Это острая проблема для всех операционных систем и всех регионов. Чтобы распространять заразу, преступники используют все возможные приманки, и одной из любимых наживок в этом году, конечно, стали ИИ-инструменты. В новой кампании, обнаруженной экспертами «Лаборатории Касперского», атакующие заманивают жертв на сайт, где якобы приведена инструкция по установке Atlas — нового браузера OpenAI — для macOS. Убедительность атаке придает то, что ссылка-приманка ведет… на официальный сайт СhatGPT! Но как? Ссылка-приманка в поиске Чтобы привлекать жертв, злоумышленники размещают платную поисковую рекламу в Google. При попытке поискать chatgpt atlas первой же спонсорской ссылкой может оказаться сайт, полный адрес которого в рекламе не виден, но очевидно, что он расположен на домене chatgpt.com. Заголовок страницы в рекламной выдаче тоже ожидаемый: ChatGPT™ Atlas for macOS — Download ChatGPT Atlas for Mac. Пользователь, желающий скачать новый браузер, вполне может перейти по этой ссылке. Спонсированная ссылка в поиске Google на инструкцию по установке вредоносного ПО под видом ChatGPT Atlas для macOS, размещенную на официальном сайте ChatGPT. Как такое может быть? View the full article

Что максимально быстро приносит киберпреступнику прибыль? Атака на системы, в результате которой он может добраться до конфиденциальной информации или непосредственно до финансов. Поэтому неудивительно, что целые группы злоумышленников специализируются на встраиваемых системах: в первую очередь на банкоматах с наличными, платежных системах, в которых можно перехватить транзакции, медицинском оборудовании, где обрабатываются и хранятся персональные данные, и так далее. Все эти устройства далеко не всегда имеют должный уровень защиты (как кибер, так и физической), а потому достаточно часто становятся удобной целью для атакующих. Классическая проблема защиты встраиваемых систем под управлением Windows заключается в том, что они, как правило, устаревают гораздо медленнее, чем их программное обеспечение. Зачастую это достаточно дорогие устройства, которые никто не будет менять просто из-за того, что операционная система перестала обновляться. В результате среди встраиваемых систем много устройств, ресурсы которых ограничены в силу узкой специализированности, ПО устарело, а система перестала получать обновления безопасности. Причем последняя проблема обостряется с прекращением поддержки Windows 10. Множество устройств, которые могут выполнять свои основные функции еще не один год, никогда не смогут обновиться до Windows 11 просто потому, что в них нет модуля TPM. Ситуация на рынке встраиваемых Linux-устройств не сильно лучше. Те, что построены на базе процессоров x86, в среднем пока имеют более свежее железо, но и оно со временем устаревает. Множество новых встраиваемых систем, работающих под Linux, и вовсе основаны на архитектуре ARM, у которой своя специфика. Из-за всех этих особенностей стандартные защитные решения для рабочих станций не очень подходят. Для того чтобы обеспечить их безопасность, нужен продукт, оснащенный технологиями, которые могут успешно противостоять современным угрозам для встраиваемых систем. При этом он должен быть способен работать не только на современном железе под последними версиями ОС, но и на оборудовании с ограниченными ресурсами, да еще и обеспечивать идеальную стабильность в «необслуживаемом» режиме и совместимость со специфическим ПО. В идеале — управляться из той же консоли, что и остальная инфраструктура, и поддерживать интеграцию с корпоративными SIEM-системами. Как вы, вероятно, догадались, мы говорим о Kaspersky Embedded Systems Security. Чем может помочь Kaspersky Embedded Systems Security О специфических особенностях защиты встраиваемых систем и нашем варианте решения этой задачи мы уже неоднократно говорили в этом блоге. Однако Kaspersky Embedded Systems Security продолжает развиваться — в конце ноября мы выпустили глобальное обновление продукта, доработав как его Windows-версию, так и Linux-вариант. View the full article

Хотя личные сообщения в мессенджерах воспринимаются как разговор без посторонних, на самом деле ситуация не так проста. И переписку, и данные о самом факте общения могут использовать в рекламе, в обучении ИИ, могут передать правоохранительным органам и спецслужбам. А еще к вам в личку могут прийти совершенно незнакомые люди или жулики, прикидывающиеся начальством. Наконец, злоумышленники могут получить доступ к вашему аккаунту методами социальной инженерии и изучать всю вашу переписку в реальном времени. В каких сервисах вероятность этих неприятных событий ниже? Таким вопросом задались эксперты компании Incogni. Они решили сравнить популярные соцсети и мессенджеры, отсортировав их по убыванию приватности, в результате чего получился Social Media Privacy Ranking 2025. Исследование вышло масштабное, охватив 15 соцсетей и мессенджеров, сопоставленных по 18 параметрам. Сегодня мы сосредоточимся на оценках мессенджеров и платформ, где в приоритете прямое общение, а из параметров оценки выберем только наиболее практичные. Итак, какие из распространенных мессенджеров наиболее приватны? Общий рейтинг приватности Начнем с итогов, к которым пришли в Incogni, — просуммировав все свои параметры, они получили следующий рейтинг приватности мессенджеров (меньше баллов — больше приватность): Discord — 10,23 Telegram — 13,08 Snapchat — 13,39 FB Messenger* — 22,22 WhatsApp — 23,17 View the full article

3 декабря стало известно о скоординированном устранении критической уязвимости CVE-2025-55182 (CVSSv3 — 10), которая содержалась в React server components (RSC), а также во множестве производных проектов и фреймворков: Next.js, React Router RSC preview, Redwood SDK, Waku, RSC-плагинах Vite и Parcel. Уязвимость позволяет любому интернет-пользователю без всякой аутентификации отправить на уязвимый сервер запрос и добиться выполнения произвольного кода. Учитывая, что на базе React и Next.js построены десятки миллионов сайтов, включая Airbnb и Netflix, а уязвимые версии компонентов найдены примерно в 39% облачных инфраструктур, масштаб эксплуатации может быть очень серьезным. Меры по защите своих онлайн-сервисов нужно принимать незамедлительно. Для уязвимости Next.js сначала завели отдельную CVE-2025-66478, но ее сочли дубликатом, поэтому дефект Next.js тоже относится к CVE-2025-55182. Где и как работает уязвимость React4Shell React — это популярная библиотека JavaScript для создания пользовательских интерфейсов веб-приложений. Благодаря компонентам RSC, появившимся в React 18 в 2020 году, часть работы по сборке веб-страницы выполняется не в браузере, а на сервере. Код веб-страницы может вызывать функции React, которые сработают на сервере, получить от них результат выполнения и вставить его в веб-страницу. Это позволяет ускорить некоторые веб-сайты — браузеру не нужно загружать лишний код. RSC разделяет приложение на серверные и клиентские компоненты, где первые могут выполнять серверные операции (запросы к БД, доступ к секретам, сложные вычисления), а вторые остаются интерактивными на машине у пользователя. Для быстрой потоковой передачи сериализованной информации между клиентом и сервером используется специальный легкий протокол Flight, работающий на основе HTTP. Как раз в обработке запросов Flight и кроется CVE-2025-55182 — которая заключается в небезопасной десериализации потоков данных. Уязвимости подвержены React Server Components версий 19.0.0, 19.1.0, 19.1.1, 19.2.0, а точнее пакеты react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack. Уязвимые версии Next.js: 15.0.4, 15.1.8, 15.2.5, 15.3.5, 15.4.7, 15.5.6, 16.0.6. Для эксплуатации уязвимости, атакующий может отправить серверу простой http-запрос, и еще до аутентификации и любых проверок этот запрос может инициировать запуск процесса на сервере с правами самого React. Данных о реальной эксплуатации CVE-2025-55182 пока нет, но эксперты солидарны, что она возможна и вероятней всего будет масштабной. Wiz называют свой тестовый RCE-эксплойт работающим почти со 100% надежностью. На GitHub уже доступен прототип эксплойта, поэтому злоумышленникам не составит труда доработать его и начать массовые атаки. View the full article

C октября этого года наши технологии фиксируют вредоносные рассылки файлов, в названии которых эксплуатируется тема годовых премий и бонусов. Целями этой кампании являются сотрудники российских организаций. Ближе к концу года все подводят итоги и пытаются посчитать, насколько эффективно поработали, поэтому шансы, что сотрудник кликнет на файл, в названии которого есть слова «Список сотрудников, рекомендованных к премированию», значительно выше. На этом и пытаются играть атакующие. Еще одной интересной особенностью данной вредоносной кампании является то, что в качестве полезной нагрузки выступает XLL-файл, что достаточно нестандартно. В чем заключаются особенности вредоносного XLL-файла Чаще всего во вредоносных рассылках такого рода злоумышленники используют файлы с двойными расширениями (например, .docx.lnk) в надежде на то, что человек примет файл за текстовый документ, а на самом деле кликнет на ярлык Windows. Атакующие, конечно, меняют иконку, но в некоторых интерфейсах — в первую очередь в «проводнике Windows» — очевидно, что тип файла не соответствует видимому расширению, как показано, например, вот в этом посте. Именно поэтому в данном случае в письмах, замаскированных под документы, рассылается вредоносный файл с расширением .xll. Тип файла XLL служит для надстроек Microsoft Excel и, по сути, представляет собой DLL-библиотеку, которая запускается непосредственно программой для работы с электронными таблицами. В «проводнике» файлы с расширением .xll отображаются с собственной иконкой, которая немного отличается от легитимного документа Excel, но тем не менее выполнена в том же стиле и содержит узнаваемый логотип. Но главное — тип файла отображается как Microsoft Excel XLL Add-in. Файл легко перепутать с обычным офисным документом. Даже достаточно бдительный человек, скорее всего, успокоится, увидев первые два слова, а расширение файла .xll легко перепутать со стандартными расширениями .xls или .xlsx. Впрочем, для верности в некоторых случаях злоумышленники и тут используют двойные расширения, а имена файлов специально растягивают, чтобы расширение вообще не влезло в отображаемое поле Name. Двойной клик по такому файлу приводит к запуску Microsoft Excel, который автоматически пытается загрузить и выполнить XLL-библиотеку. View the full article

Люди доверяют нейросетям самое интимное и важное — проверяют медицинские диагнозы, советуются в любовных делах или «ходят к ИИ» вместо психолога. Уже известны случаи планирования суицидов, нападений и другие общественно опасных действий с помощью LLM. Поэтому к переписке людей с ИИ постепенно растет внимание властей, коммерческих компаний и просто любопытных. Наверняка найдутся и желающие применить на практике новую атаку Whisper Leak. Ведь она позволяет определить общую тему беседы с нейросетью, никак не вмешиваясь в трафик, а просто анализируя ритм отправки и приема зашифрованных пакетов по сети к серверу ИИ. Но оставить свою переписку в секрете все же возможно — об этом немного ниже. Как устроена атака Whisper Leak Все языковые модели выдают результат постепенно — для нас это выглядит, словно «собеседник» набирает текст слово за словом. На самом же деле языковые модели оперируют не отдельными символами и словами, а токенами — своего рода «смысловыми единицами» LLM, и ответ нейросети появляется на экране по мере генерации токенов. Этот режим вывода называется streaming, и, измеряя его параметры, оказывается, можно понять тему разговора. Мы уже рассказывали об исследовании, в котором ученым с достаточно высокой степенью достоверности удалось воссоздать текст переписки с чат-ботом, анализируя длину каждого из отправленных им токенов. Исследователи из Microsoft продолжили эту тему и проанализировали параметры поступления ответа от 30 разных ИИ-моделей в ответ на 11,8 тысяч запросов. 100 запросов были посвящены теме «легально ли отмывание денег» в разных формулировках, а остальные запросы были случайными, на совершенно разные темы. Сравнив задержку поступления пакетов от сервера, их размер и общее количество, исследователи смогли очень точно отделить «опасные» запросы от «обычных». Для анализа тоже использовали нейросети, хоть и не LLM. В зависимости от того, какую модель изучали, точность определения «опасных» тем варьировалась от 71% до 100%, причем для 19 из 30 моделей она превысила 97%. Затем исследователи провели более сложный и приближенный к жизни эксперимент. Они проверили подборку из 10 тысяч случайных разговоров, и только один из них был посвящен опасной теме. Здесь результаты разделились сильнее, но все равно гипотетический «атакующий» оказался довольно успешен. Для моделей DeepSeek-R1, Llama-4, GPT-4o mini, Grok-2, -3 и моделей Mistral Small и Mistral Large удалось обнаружить искомую иголку в стоге сена в 50% экспериментов с нулем ложных срабатываний. Для Qwen2.5, Llama 3.1, GPT-4.1, OpenAI o1-mini, Llama 4, DeepSeek-V3 успешность поиска составила всего 20% при том же отсутствии ложных срабатываний. А вот в Gemini 2.5 Pro, Claude 3 Haiku и GPT-4o mini поймать «опасные» чаты на серверах Microsoft удалось лишь в 5% случаев. Для остальных протестированных моделей процент успеха был еще ниже. Важно учесть, что результат зависит не только от конкретной ИИ-модели, но и от настроек сервера, на котором она запущена, поэтому одна и та же модель OpenAI может показывать разные результаты в инфраструктуре Microsoft и на серверах самой OpenAI. То же верно для всех моделей open source. View the full article

Представьте, что вас позвали на частную игру в покер с известными спортсменами. Кому бы вы предпочли доверить тасовку карт — дилеру или специальному автоматизированному устройству? Фундаментально этот вопрос сводится к тому, во что вы больше верите: в честность дилера или в надежность устройства. Многие игроки в покер, скорее всего, предпочли бы специальное устройство — его явно сложнее подкупить или запугать, чем дилера-человека. Однако исследователи кибербезопасности еще в 2023 году показали, что одну из популярных моделей таких устройств — Deckmate 2 от производителя Light & Wonder — довольно несложно взломать. Два года спустя правоохранительные органы нашли следы взлома этих устройств уже не в лабораторных условиях, а в самой что ни на есть дикой природе. В этом посте мы подробно расскажем, как устроена тасовальная машина Deckmate 2, почему конструкция устройства способствует жульничеству, как взлом этого устройства взяли на вооружение преступники и при чем тут баскетбол. Как устроена автоматическая машина для тасования карт Deckmate 2 Машина для автоматического тасования карт Deckmate 2 была запущена в производство в 2012 году. С тех пор она успела стать одной из самых популярных моделей, используемых почти во всех крупных казино и частных покерных клубах. Устройство представляет собой черную коробку размером со средний офисный шредер, которая обычно устанавливается под покерным столом. Deckmate 2 — профессиональная машина для автоматического тасования карт, которая быстро перемешивает колоду, попутно проверяя, что в ней есть все 52 карты и не подмешаны лишние. Источник View the full article

Видеорегистраторы, популярные в одних странах и полностью запрещенные в других, обычно воспринимаются как страховка на случай ДТП и спорных ситуаций на дорогах. Но у сингапурских исследователей кибербезопасности свое, особое мнение. Видеорегистраторы показались им подходящей основой для… системы массовой слежки, которая к тому же может расширяться автоматически. Детали исследования были представлены на конференции Security Analyst Summit 2025. «Шпионские» возможности видеорегистратора Как вообще применить для слежки устройство, не подключенное к Интернету? Большинство видеорегистраторов действительно не оснащены SIM-картой и связью 4G/5G, зато даже недорогие модели имеют Wi-Fi. По Wi-Fi к устройству может подключаться смартфон водителя, чтобы через мобильное приложение провести настройки, скачать видео на телефон и так далее. Как выяснилось, многие регистраторы допускают обход аутентификации и к ним можно подключиться с чужого устройства, а затем скачать сохраненные данные. Атакующему есть чем поживиться. Во-первых, это видео высокого разрешения, на котором четко видны номерные и дорожные знаки. Некоторые модели видеорегистраторов также снимают видео внутри машины, есть и модели с широкоугольными камерами или камерами заднего вида. Во-вторых, видеорегистраторы могут записывать звуки в машине — в первую очередь разговоры. В-третьих, видео- и звукозаписи снабжены точным временем создания и GPS-метками. Поэтому, скачав данные с регистратора, можно проследить за передвижениями владельца, получить изображения мест, где он ездит и паркуется, узнать темы бесед в машине и зачастую получить фото и видео с пассажирами машины или людьми, которые находятся рядом с авто. Конечно, для целевой слежки нужно будет взломать конкретный видеорегистратор, а для массовой — скомпрометировать большое количество устройств. View the full article

Учетная запись «Госуслуг» — лакомый кусочек для мошенников. Угнав ваш аккаунт, злоумышленники не только получают доступ к вашим персональным данным – адресу, СНИЛС, данным паспорта и других документов, номерам счетов — но могут также брать кредиты или микрозаймы, входить в ваши онлайн-банки, оформлять на ваше имя электронные сим-карты, авторизовываться от вашего имени в других сервисах и совершать еще много неприятных действий. Эксперты «Лаборатории Касперского» обнаружили новую мошенническую схему по угону аккаунтов в «Госуслугах». Рассказываем о том, как она работает и как защититься от злоумышленников. «Коллеги, пришел приказ…» Атака нацелена на сотрудников разнообразных российских компаний. Потенциальную жертву «представитель отдела кадров» добавляет в группу Telegram с убедительным названием, соответствующим имени компании, где якобы присутствуют и другие сотрудники компании. В чате сразу появляется убедительная легенда: компания «переносит данные актуальных кадров на электронные носители» и «удаляет из архива тех, кто не работает, чтобы они больше не числились». Для пущей правдоподобности злоумышленники имитируют активные обсуждения в чате. Часть «участников» упоминает, что раньше уже слышала о подобной процедуре, и активно подтверждает свои ФИО и дату рождения. Другие не понимают, зачем все это нужно, и задают вопросы, на которые любезно отвечает «кадровик» — мол, это нужно для того, чтобы в архиве не было «мертвых душ», а работающим сотрудникам правильно начислялся стаж и не урезали пенсию. Конечно, Telegram-профили всех этих участников — фальшивые и нужны злоумышленникам лишь для того, чтобы убедить жертву в правдоподобности происходящего. На самом деле за такими «сотрудниками» стоят даже не люди, а боты, которых обучили вести убедительные беседы. View the full article

Практически любой эксперт по кибербезопасности не будет спорить с тем, что атаки на серверы Microsoft Exchange следует считать неизбежными, а риск компрометации серверов Exchange всегда высок. В октябре Microsoft завершила поддержку Exchange Server 2019, так что единственным поддерживаемым on-premise-решением в 2026 году остается Exchange Server Subscription Edition (Exchange SE). При этом во многих организациях продолжают эксплуатироваться версии 2016, 2013 и даже более древние. Для злоумышленников Exchange — настоящий магнит. Благодаря его популярности, сложности и изобилию настроек, а главное — доступности из внешних сетей, используя Exchange, злоумышленники проводят широкий спектр атак: проникновение в почтовые ящики с помощью атак password spraying или целевого фишинга; взлом учетных записей через устаревшие протоколы аутентификации; целевая кража писем посредством внедрения вредоносных правил обработки почты через Exchange Web Services; похищение токенов аутентификации сотрудников или подделка сообщений из-за недостатков обработки почты в инфраструктуре Exchange; эксплуатация уязвимостей в Exchange и IIS для запуска произвольного кода на сервере (веб-шеллов); распространение по сети и компрометация серверов (в этом случае сервер Exchange служит опорным хостом для разведки, хостинга ВПО и туннелирования трафика); долгосрочная кража почты при помощи специализированных имплантов для Exchange. Чтобы оценить сложность и разнообразие атак на Exchange, стоит почитать исследования по угрозам GhostContainer, Owowa, ProxyNotShell, PowerExchange. Усложнить злоумышленникам компрометацию Exchange и снизить остроту последствий атаки возможно, но придется принять целый ряд мер — от простой смены настроек до трудоемкой миграции протоколов аутентификации. Обзорное руководство по приоритетным мерам защиты недавно совместно выпустили CISA, Canadian Center for Cyber Security и другие англоязычные ИБ-регуляторы. С чего начать укрепление защиты on-premise-сервера Exchange? Миграция с версий EOL И Microsoft, и CISA рекомендуют переход на Exchange SE, чтобы своевременно получать обновления безопасности. Для организаций, которые не могут совершить переход, по специальной платной подписке доступен период дополнительной поддержки версий 2016 и 2019 (extended security updates, ESU). Microsoft подчеркивает, что обновление версий 2016 и 2019 до Exchange SE сопоставимо по сложности с установкой обычного накопительного обновления. Если по какой-то причине необходимо оставить в работе неподдерживаемую версию, нужно максимально изолировать ее от внутренних и внешних сетей, а обработку почтовых соединений проводить через специально настроенный почтовый шлюз e-mail security gateway. View the full article

Недавно мы обнаружили новую вредоносную кампанию, в рамках которой злоумышленники используют достаточно интересный подход. Они создают собственные подписанные сборки легитимного инструмента удаленного доступа. А для их распространения массово генерируют с помощью ИИ-сервиса вредоносные веб-страницы, весьма убедительно притворяющиеся… официальными сайтами различных приложений. Рассказываем подробнее о том, как работает данная атака, почему она особенно опасна для пользователей — и как от нее защититься. Как работает данная атака Судя по всему, злоумышленники используют несколько вариантов «стартовой площадки» для своих атак. Во-первых, они явно рассчитывают, что значительное число пользователей будет попадать на созданные ими фейковые страницы через простой поиск в Google. Дело в том, что чаще всего поддельные сайты имеют адреса, совпадающие с целевыми поисковыми запросами — или близкие к ним. Иногда в выдаче Google можно поймать сразу несколько покемонов фейковых сайтов, притворяющихся легитимными, — в данном случае это клоны Polymarket View the full article

В дни распродаж стоит позаботиться о подарках не только себе, но и своим питомцам — чтобы те не грустили и не голодали, когда вы уходите из дома, и не терялись на прогулках. Сегодня расскажем про пять полезных вещей, которые облегчат ваш совместный быт с четвероногими друзьями, и научим, как безопасно использовать IoT-устройства для питомцев и защитить домашнюю сеть. 1. Умная кормушка Жизненно необходимая штука, когда вам нужно отлучиться, а питомца (по понятным причинам это кошка или собака мелкой породы) нужно как-то кормить. Автокормушки умеют не только выдавать корм по расписанию: модели посложнее позволяют наблюдать за питомцем в режиме реального времени и даже подзывать вашим голосом. Умные кормушки подключаются к смартфону по Bluetooth или Wi-Fi, управляются через приложение и позволяют настроить до 12 кормлений в сутки с точным контролем порций. Есть модели, оснащенные весами — с их помощью можно понять, сколько питомец съел на самом деле. Бывают устройства как для влажного, так и для сухого корма. Для последнего важно проверить ограничения по объему порции и размеру гранул — корм для крупных собак может не пройти через диспенсер автокормушки. Если в доме несколько животных, можно подобрать каждому индивидуальную кормушку, выдающую корм по RFID-метке в ошейнике питомца, — так каждому достанется своя порция. View the full article

Вредоносные расширения браузера остаются существенной слепой зоной для ИБ-отделов многих организаций. Они уверенно вошли в арсенал киберпреступников: применяются для кражи сессий и учетных записей, шпионажа, маскировки других преступных активностей, мошенничества с рекламой, похищения криптовалюты. Громкие инциденты с вредоносными расширениями тоже нередки: от компрометации ИБ-расширения Cyberhaven до массовой публикации расширений, выполняющих функции инфостилера. Злоумышленнику расширения удобны тем, что они получают в браузере разрешения и широкий доступ к информации SaaS-приложений и сайтов, не являясь при этом самостоятельными приложениями, что позволяет им обходить типовые политики и инструменты ИБ-контроля. Служба ИБ в компании должна бороться с проблемой систематически. Чтобы управлять в организации браузерными расширениями, нужно комбинировать инструменты управления политикой со специализированными сервисами или инструментами анализа расширений. Именно этому был посвящен доклад Афанасиоса Гиатсоса (Athanasios Giatsos) на Security Analyst Summit 2025. Угрожающие возможности веб-расширений и новшества Manifest V3 Веб-расширение в браузере имеет полный доступ к информации веб-страниц, что позволяет атакующим считывать и изменять любые данные, доступные пользователю через веб-приложение, в том числе финансовые и медицинские. Расширения часто получают доступ и к важным «невидимым» данным: cookie, локальному хранилищу данных (localStorage), настройкам прокси-сервера. Это упрощает похищение сессий. Иногда возможности расширений выходят далеко за пределы веб-страниц: они могут иметь доступ к геолокации, загрузкам браузера, захвату изображения с рабочего стола, содержимому буфера обмена, оповещениям браузера. В наиболее популярной до недавнего времени архитектуре расширений Manifest V2, работавшей в Chrome, Edge, Opera, Vivaldi, Firefox и Safari, расширения трудноотличимы по возможностям от полноценных приложений. Они могут постоянно выполнять в фоновом режиме скрипты и держать открытыми невидимые веб-страницы, загружать и выполнять скрипты с сайтов в Интернете, обращаться к произвольным сайтам за информацией или отправлять ее. Чтобы сократить возможные злоупотребления (а заодно ограничить блокировщики рекламы), Google перевела Chromium и Chrome на Manifest V3, в котором многие функции были переработаны или заблокированы. Теперь расширения обязаны декларировать все сайты, к которым обращаются, не могут выполнять сторонний код, динамически загружаемый с сайта, а вместо фоновых скриптов должны пользоваться короткоживущими «микросервисами». Хотя некоторые виды атак в новой архитектуре проводить сложнее, злоумышленники вполне могут переписать вредоносный код, сохранив большую часть необходимых функций, но потеряв в скрытности. Потому использование в организации только браузеров и расширений, работающих исключительно с Manifest V3, упрощает мониторинг, но не является панацеей. Также V3 никак не затрагивает ключевую проблему расширений: они как правило загружаются из официальных магазинов приложений с легитимных доменов Google, Microsoft или Mozilla, их активность выглядит, как инициированная самим браузером, и отличить действия, выполненные расширением, от сделанного пользователем вручную довольно сложно. View the full article

«Черная пятница» — это ежегодная охота за скидками, которая часто превращается в хаос импульсивных покупок. Магазины обещают невероятные скидки 50–70%, но действительно ли они таковы? В 2025 году у нас появился новый союзник в борьбе за разумные траты — искусственный интеллект. Рассказываем, как ChatGPT, Claude и другие LLM-модели помогут вам сэкономить и не попасться на уловки недобросовестных продавцов. Прежде чем обсуждать, как ИИ поможет сэкономить, важно понять, в какую сторону мы воюем. Исследования показывают неутешительную картину: значительная часть «суперскидок» на «черную пятницу» — это маркетинговая иллюзия. Схема проста и эффективна: в начале октября магазины повышают цены на товары, иногда в полтора-два раза. Затем, когда наступает «черная пятница», они «урезают» цену на те же 50%, и на ценнике красуется впечатляющая скидка. Фактически же вы покупаете товар по обычной цене, а то и дороже. Европейская директива Omnibus требует от ритейлеров указывать минимальную цену за последние 30 дней, но даже это правило легко обойти. Магазины просто поднимают цену за месяц до распродажи, формально соблюдая закон, но продолжая вводить покупателей в заблуждение. Как LLM помогает экономить Искусственный интеллект меняет правила игры. По данным аналитиков, в 2024 году ИИ-инструменты во время «киберпятницы» помогли покупателям провести транзакции на общую сумму $60 миллиардов, и в 2025 году эти цифры только вырастут. Уже каждый третий покупатель в США планирует использовать ИИ для шопинга. LLM не поддается эмоциям, не реагирует на маркетинговые триггеры вроде «осталось 2 часа!» и «последний товар на складе!» Вместо этого модель анализирует огромные объемы данных, сравнивает цены, отслеживает историю стоимости и помогает принимать рациональные решения. ИИ может просканировать сотни интернет-магазинов за секунды, найдя не только нужный товар по лучшей цене, но и более дешевые аналоги с похожими характеристиками. Современные LLM-модели могут помочь вам разобраться, действительно ли скидка выгодна или это обман. Например, Amazon добавил в своего ИИ-ассистента Rufus функцию отслеживания изменения цен, хотя пользователи и отмечают, что пока ассистент работает не всегда как следует. С помощью пары промптов ИИ учитывает ваши предпочтения, бюджет и предыдущие покупки, чтобы предложить именно то, что вам нужно, без излишнего информационного шума. Вместо того чтобы часами изучать таблицы характеристик, просто спросите у ассистента: «Чем отличается пылесос А от пылесоса Б?» — и получите ответ, даже если на сайтах продавцов нет функции сравнения. Промпты ниже можно использовать для ChatGPT/Claude/Gemini. View the full article

К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп) но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;( (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество

Исследователи кибербезопасности рассказали о новом способе атаки на ИИ-браузеры под названием AI Sidebar Spoofing. В этой атаке эксплуатируется формирующаяся у пользователей привычка слепо доверять инструкциям от искусственного интеллекта. Исследователи смогли успешно применить AI Sidebar Spoofing к двум популярным ИИ-браузерам — Comet от компании Perplexity и Atlas от OpenAI. Изначально для своих экспериментов исследователи использовали Comet, но впоследствии подтвердили работоспособность атаки и в браузере Atlas. В нашем посте мы также будем объяснять механику работы AI Sidebar Spoofing на примере Comet, однако призываем читателя помнить, что все нижесказанное относится и к Atlas. Как работают ИИ-браузеры Для начала давайте разберемся с тем, что собой представляют ИИ-браузеры. Идея о замене или, по крайней мере, преобразовании искусственным интеллектом привычного процесса поиска в Интернете начала активно обсуждаться в 2023–2024 годах. Тогда же были сделаны и первые попытки интеграции ИИ в поиск. Сначала это были дополнительные функции внутри привычных браузеров — например, Microsoft Edge Copilot и Brave Leo — реализованные в виде ИИ-сайдбаров. Они добавляли в интерфейс браузера встроенные помощники для резюмирования страниц, ответов на вопросы и навигации. К 2025 году эволюция этой идеи привела к появлению Comet от Perplexity AI — первого браузера, изначально спроектированного для взаимодействия с ИИ. В результате искусственный интеллект в Comet стал не дополнением, а центральным элементом интерфейса, объединяющим поиск, анализ и автоматизацию работы воедино. Вскоре после этого, в октябре 2025 года, OpenAI представила собственный ИИ-браузер Atlas, основанный на той же идее. View the full article

В сети организации атакующим все реже встречается такая роскошь, как рабочий компьютер без агента EDR, поэтому злоумышленники делают акцент на компрометацию серверов или разнообразных специализированных устройств. Они тоже подключены к сети, имеют достаточно широкие доступы, но при этом не защищенны EDR и часто не снабжены журналированием. О типах уязвимых офисных устройств мы подробно писали ранее. Реальные атаки 2025 года сосредоточены на сетевых устройствах (VPN, файрволы, роутеры), системах видеонаблюдения и собственно серверах. Но не стоит сбрасывать со счетов и принтеры. Об этом напомнил независимый исследователь Петер Гайслер в своем докладе на Security Analyst Summit 2025. Он описал найденную им уязвимость в принтерах и МФУ Canon (CVE-2024-12649, CVSS 9.8), которая позволяет запустить на устройствах вредоносный код. Самое интересное в этой уязвимости — для ее эксплуатации достаточно отправить на печать невинного вида файл. Вредоносная матрешка: атака через CVE-2024-12649 Атака начинается с того, что злоумышленник отправляет на печать файл в формате XPS. Этот изобретенный Microsoft формат содержит все необходимое для успешной печати документа и является альтернативой PDF. По сути XPS — это архив формата ZIP, содержащий подробное описание документа, все его изображения, а также использованные в оформлении шрифты. Шрифты, как правило, хранятся в широко используемом формате TTF (TrueType Font), изобретенном Apple. Как раз в шрифте, который обычно не воспринимается как нечто опасное, и содержится вредоносный код. По задумке создателей формата TTF, буквы шрифта должны выглядеть одинаково на любом носителе и в любом размере — от самого маленького символа на экране до самого большого на бумажном плакате. Чтобы достичь этой цели, к каждой букве могут быть написаны инструкции хинтинга (font hinting, font instruction), описывающие нюансы отображения букв в маленьких размерах. По сути, инструкции хинтинга — это команды для компактной виртуальной машины, которая, несмотря на простоту, поддерживает все основные «строительные блоки» программирования: управление памятью, переходы, ветвления. Гайслер с коллегами изучили, как эта виртуальная машина реализована в принтерах Canon и обнаружили, что некоторые инструкции хинтинга TTF выполняются небезопасным образом, например команды виртуальной машины, управляющие стеком, не проверяют его на переполнение. В результате им удалось создать вредоносный шрифт, который при печати документа с этим шрифтом на некоторых принтерах Canon вызывает переполнение стека, запись данных за пределы буферов виртуальной машины и в итоге — выполнение кода на процессоре принтера. Вся атака проводится через файл TTF, остальное содержимое файла XPS безобидно. Впрочем, даже в файле TTF заметить вредоносный код довольно сложно. Он не очень длинный: первая часть является инструкциями виртуальной машины TTF, а вторая работает на базе экзотической фирменной ОС Canon (DryOS). Стоит отметить, что Canon в последние годы уделяет внимание защите прошивок принтеров, например использует предусмотренные в процессорах ARM регистры DACR и флаги NX (No-Execute), чтобы ограничить возможности модифицировать системный код или запустить код в тех фрагментах памяти, где должны храниться данные. Несмотря на это, общая архитектура DryOS не позволяет эффективно реализовать характерные для современных «больших» ОС механизмы защиты памяти вроде ASLR или Stack Canary. Поэтому исследователи иногда находят способы обойти эту защиту. Например, в описываемой атаке вредоносный код удалось исполнить, разместив его при помощи трюка с TTF в буфере памяти, предназначенном для другого протокола печати, IPP. View the full article