Сегодня в ТОП-5 — ботнет SSHStalker взломал 7000 машин под управлением Linux, расширение Chrome крадет корпоративные данные, фальшивый 7-Zip превращает ПК в скрытый прокси-узел, вредоносная надстройка для Outlook похитила более 4000 учетных данных Microsoft, уязвимость в приложении «Блокнот» в Windows 11 позволяла выполнить удаленный код.

Ботнет SSHStalker взломал 7000 машин под управлением Linux

Исследователи из компании Flare обнаружили ботнет SSHStalker, который использовал подбор паролей для аутентификации по SSH в атаке на Linux-сервера. После проникновения в систему вредоносная программа создает бэкдор и устанавливает исполняемый файл, выполняющий сканирование, пытаясь найти другие уязвимые серверы. Пока ботнет только поддерживает присутствие, но он способен запускать DDoS-атаки и заниматься криптомайнингом. Рекомендуется отключить аутентификацию по SSH-паролям на Linux-машинах и заменить ее аутентификацией на основе SSH-ключей или скрыть вход по паролям за VPN.

Расширение Chrome крадет корпоративные данные

Группа исследователей угроз Socket обнаружила вредоносное расширение для Google Chrome под названием CL Suite. Оно открыто позиционирует себя как способ сбора данных Business Suite, но при этом похищает TOTP-коды, коды двухфакторной аутентификации, списки контактов Business Manager и аналитические данные, после чего пе��есылает информацию в канал Telegram злоумышленника. Похищенные данные включают имена, электронные адреса, уровни доступа и связанные рекламные аккаунты. Организациям следует внедрить списков разрешенных расширений и осуществлять мониторинг необычного сетевого трафика и доменов.

Фальшивый 7-Zip превращает ПК в скрытый прокси-узел

Аналог популярного сайта-архиватора 7-Zip распространял троянизированный установщик, который незаметно превращал компьютеры в резидентные прокси-узлы. Установщик является функциональной копией 7-Zip и подписан с использованием ныне отозванного сертификата, что придает ему поверхностную легитимность. Зараженный хост регистрируется как резидентный прокси-узел, позволяя третьим сторонам направлять трафик через IP-адрес жертвы. Вредоносное ПО также использует DNS-over-HTTPS через резолвер Google, что снижает видимость для традиционного мониторинга DNS и усложняет обнаружение на основе сети. Следует проверять исходный код ПО и отслеживать несанкционированные службы Windows и изменения правил брандмауэра.

Вредоносная надстройка для Outlook похитила более 4000 учетных данных Microsoft

Обнаружено вредоносное дополнение для Microsoft Outlook, которое украло данные 4000 учетных записей Microsoft, номера кредитных карт и ответы на вопросы по безопасности банковских операций. В 2022 году в магазине надстроек Microsoft Office появился инструмент для планирования встреч под названием AgreeTo. В какой-то момент разработчик отказался от него, и после истечения срока действия URL-адреса[АЯ1]  злоумышленник присвоил себе этот URL, на котором развернул фишинговый набор: когда пользователи открывали надстройку, они видели обычную страницу входа в Microsoft внутри Outlook, вводили учетные данные, которые отправлялись в Telegram-бот злоумышленника вместе с IP-адресом, а затем их перенаправляло на настоящую страницу входа в Microsoft. Тем, кто ранее пользовался AgreeTo, следует сменить пароль для учетной записи Microsoft и проверить свой почтовый ящик на наличие признаков злоупотребления.

Уязвимость в приложении «Блокнот» в Windows 11 позволяла выполнить удаленный код

Microsoft устранила уязвимость CVE-2026-20841 (CVSS: 8.8) в приложении «Блокнот» в Windows 11, которая позволяла злоумышленникам удаленно выполнять вредоносный код. Это происходило при открытии пользователем вредоносного файла Markdown (.md) и перехода по встроенной ссылке. В этом случае «Блокнот» обрабатывает непроверенные протоколы, которые загружают и выполняют удаленные файлы, без надлежащей проверки. Злоумышленники могут создавать такие файлы, используя пользовательские схемы протоколов, которые выглядят легитимными, но указывают на серверы, контролируемые распространителями уязвимости. Затем вредоносная полезная нагрузка запускается с теми же правами, что и вошедший в систему пользователь, то есть злоумышленники получают идентичные права в системе. Пользователям Windows 11 следует оперативно обновить «Блокнот» до актуальной версии.