Обновить
32K+
142

Пользователь

28
Рейтинг
597
Подписчики
Отправить сообщение

Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса

Время на прочтение5 мин
Охват и читатели8.6K

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали разбор ландшафта угроз для малого и среднего бизнеса. По данным отчета, небольшие компании остаются мишенью как для операторов массовых вредоносных кампаний, так и для тех, кто использует подрядчика как точку входа в инфраструктуру более крупной организации. Авторы статьи отдельно отмечают, что в 2026 году одной из главных приманок стали популярные ИИ-сервисы.

Главная новость в отчете: с января по апрель 2026 года защитные решения «Лаборатории Касперского» зафиксировали 33 352 атаки на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО маскировалось под один из пяти популярных ИИ-сервисов. Это почти в пять раз больше, чем за аналогичный период 2025 года. Всего было обнаружено более 1100 уникальных образцов такого ПО — на 21% больше, чем в прошлом году. В основном это разнообразные троянские программы, в том числе загрузчики, которые подтягивают на скомпрометированную машину дополнительную нагрузку. Среди приманок авторы называют сервис Claude и приложение OpenClaw (бывший Clawdbot, он же Moltbot), ставшие особо популярными в 2026 году. Как и следовало ожидать, чем более на слуху конкретный инструмент, тем выше вероятность столкнуться с его поддельной копией в Сети. Разбивку по типам популярных сервисов, под которые маскировались вредоносные кампании, можно посмотреть на скриншоте выше.

Читать далее

Security Week 2626: вредоносные обои рабочего стола в Steam Workshop

Время на прочтение4 мин
Охват и читатели4.3K

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали разбор свежей кампании по распространению вредоносного ПО в Steam Workshop, встроенной в игровую платформу Steam мастерской для обмена пользовательским контентом. Для заражения пользователей злоумышленники используют программу Wallpaper Engine — это платная утилита для создания кастомных обоев рабочего стола. Возможности программы достаточно широки — от анимации и воспроизведения видео до запуска приложений. Именно этой особенностью и воспользовались организаторы атаки.

Исследователи наблюдали два варианта распространения вредоносного ПО под видом анимированных обоев. В самом простом варианте жертве доставлялся архив, внутри которого содержались и обещанные обои, и вредоносные файлы. Чуть более сложный метод предполагал распространение в уже запароленном архиве. К нему был приложен скрипт, который распаковывал архив и запускал вредоносную нагрузку автоматически. Обои публиковались в Steam Workshop с конца 2025 года. Авторы отчета обнаружили десятки вредоносных обоев, причем некоторые из них имели десятки тысяч скачиваний. Результат установки такого ПО ожидаемый: кража учетной записи Steam, установка вымогателя-шифровальщика и запуск криптомайнера.

Read more

Security Week 2625: непростой набор патчей от Microsoft

Время на прочтение4 мин
Охват и читатели11K

На прошлой неделе компания Microsoft выпустила очередной кумулятивный набор патчей для своих продуктов. В соответствии с общей тенденцией на увеличение количества обнаруживаемых уязвимостей за единицу времени, данный релиз исправляет рекордные 206 уязвимостей, из них 39 имеют статус критических. Если делить заплатки по категориям, то 63 патча закрывают уязвимости, ведущие к повышению привилегий, 56 багов обеспечивают выполнение произвольного кода, еще 30 могут приводить к утечке информации.

Наиболее опасная уязвимость имеет идентификатор CVE-2026-45657, близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS. Это ошибка в ядре Windows при обработке сетевых пакетов данных, результатом эксплуатации которой может быть удаленное выполнение произвольного кода, затрагивает она Windows 11, а также Windows Server 2022 и 2025. Такого же высокого рейтинга удостоились еще две проблемы — CVE-2026-47291 и CVE-2026-44815, они также относятся к сетевому стеку в Windows, соответственно затрагивая драйвер HTTP.sys и встроенный клиент DHCP. Кроме того, была закрыта уязвимость, позволяющая обойти BitLocker, ранее раскрытая анонимом, известным как Nightmare Eclipse. Об этом многомесячном противостоянии стоит поговорить подробнее.

Читать далее

Security Week 2624: троян в хентай-играх

Время на прочтение4 мин
Охват и читатели11K

Исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносного ПО Argamal, распространяемого на специализированных ресурсах вместе с хентай-играми. Данная вредоносная кампания была обнаружена в этом году, хотя некоторые связанные с ней DLL-файлы существовали как минимум с 2024 года.

Игры с вредоносным довеском, как правило, заливались на публичный файлообменник, ссылки на который публиковались на тематических веб-сайтах. Распространялись они и через торрент-трекеры. Во всех случаях это был архив с полностью функциональной игрой, которая дополнялась модифицированной библиотекой ffmpeg.dll.

Читать далее

Security Week 2623: слежка за пользователями через SSD

Время на прочтение5 мин
Охват и читатели12K

На прошлой неделе исследователи из Грацского технического университета в Австрии опубликовали научную работу, в которой предложили метод отслеживания пользовательской активности через браузер. Варианты атак, в которых вкладка с вредоносным сайтом может, например, определять, какие страницы открыты по соседству, предлагались и ранее, но полагались в основном на особенности работы браузеров. Новая атака FROST также использует особенности браузеров, но основным каналом утечки оказываются не они, а производительность накопителя данных.

Общая схема атаки выглядит следующим образом: пользователя заманивают на вредоносную страницу, которая при помощи стандартных технологий браузеров реализует активный и регулярный обмен данными на SSD. Производительность SSD ниже, чем у оперативной памяти, что вызывает определенные задержки при обмене, когда к накопителю также обращаются другие программы и веб-сайты. Как выяснилось, паттерны этих задержек позволяют с достаточно высокой надежностью выявлять не только запущенные на ПК программы, но и посещаемые веб-сайты.

Читать далее

Security Week 2622: эффективность Claude Mythos по версии Cloudflare

Время на прочтение4 мин
Охват и читатели10K

На прошлой неделе компания Cloudflare поделилась своими впечатлениями о работе ИИ-модели Claude Mythos. Эта модель разработана компанией Anthropic, и в данный момент доступ к ней предоставляется «по приглашениям» в рамках проекта Project Glasswing. Одной из причин такого закрытого процесса тестирования является достаточно высокая эффективность ИИ-ассистента при поиске и обнаружении уязвимостей. Независимые подтверждения этой эффективности уже были опубликованы ранее, например от команды разработчиков браузера Mozilla Firefox.

В отличие от отчета Mozilla, Cloudflare в своей публикации не приводит примеры обнаруженных уязвимостей. Говорится только о том, что Mythos тестировалась на кодовой базе Cloudflare и что уязвимости действительно были обнаружены. Зато Cloudflare не ограничивается простым тезисом о том, что для эффективной работы ИИ-модели требуется разработка соответствующей обвязки, а подробно описывает, на какие этапы внутри этой обвязки разбивается автоматизированный поиск уязвимостей.

Читать далее

Security Week 2621: три уязвимости нулевого дня в Windows

Время на прочтение3 мин
Охват и читатели11K

На прошлой неделе стало известно о трех новых уязвимостях нулевого дня в Windows. Обычно термин zero-day применяется в случае, если уязвимость на момент обнаружения используется в реальных атаках, но в данном случае имеет место другая ситуация. Данные о проблемах в открытом доступе опубликовал аноним, называющий себя Nightmare Eclipse. Уязвимости снабжены демонстрационным кодом, который вполне возможно применить для реальных атак, — и это при отсутствии патча от производителя. Отсюда и квалификация zero-day, намеренно созданная человеком, который, судя по его риторике, затаил некую обиду на Microsoft.

Наибольший интерес представляет проблема YellowKey — это ошибка в логике работы системы шифрования BitLocker (подробное описание в издании Ars Technica, новость на Хабре). При наличии физического доступа к компьютеру или ноутбуку YellowKey позволяет полностью обойти шифрование и получить прямой доступ к данным. Эксплойт работает так: нужно записать набор файлов на флешку, подключить ее к компьютеру, загрузить его в режиме Recovery. Дальнейшая последовательность действий открывает консоль, в которой будет предоставлен полный доступ к зашифрованному хранилищу данных.

Читать далее

Security Week 2620: эффект от ИИ для поиска уязвимостей в Firefox

Время на прочтение4 мин
Охват и читатели8.7K

На прошлой неделе разработчики браузера Mozilla Firefox опубликовали детальный отчет об использовании искусственного интеллекта для поиска уязвимостей (оригинальный пост, новость на Хабре). Публикации предшествовал краткий анонс в конце апреля: тогда стало известно, что в Mozilla получили доступ к ИИ-модели Claude Mythos компании Anthropic, которая пока недоступна публично всем желающим. В анонсе разработчики браузера не стеснялись в хвалебных эпитетах, предрекая скорый конец уязвимостям нулевого дня — когда разработчик ПО обнаруживает баг, который уже эксплуатируется в реальных атаках.

В новой публикации приведены конкретные примеры в виде 12 уязвимостей. Всего в релизе Firefox 150 была закрыта 271 проблема, все они были найдены с применением Claude Mythos. Если добавить уязвимости, найденные и закрытые другими методами (в том числе обнаруженные с помощью других ИИ-моделей), всего за апрель получится 423 патча, в то время как за весь предыдущий год было закрыто 353 проблемы, так или иначе влияющих на безопасность работы браузера. Из 271 уязвимости, найденной с помощью ИИ, 180 имеют рейтинг sec-high — это внутренняя квалификация Mozilla, указывающая на высокую (но не максимальную) опасность проблемы. Такие баги могут быть эксплуатированы без дополнительных сложностей — например, пользователя достаточно будет заманить на подготовленную страницу.

Читать далее

Security Week 2619: особенности уязвимости Copy Fail в ядре Linux

Время на прочтение3 мин
Охват и читатели11K

Важной новостью прошлой недели стало обнародование данных об опасной уязвимости в ядре Linux, получившей название Copy Fail (мини-сайт, новость на Хабре), которая открывает относительно простой способ локального повышения привилегий. Авторы оригинального исследования не стесняются рекламировать ИИ-ассистент для анализа кодовой базы, который нашел данную проблему в течение часа. Исследователи «Лаборатории Касперского» провели анализ уязвимости и предложили варианты обнаружения атак с ее использованием.

Уязвимость получила идентификатор CVE-2026-31431 и рейтинг 7,8 балла по шкале CVSS. Ошибка была внесена в код модуля ядра algif_aead еще в 2017 году: тогда была внедрена поддержка оптимизаций in-place при работе системы шифрования AEAD. Это, в свою очередь, привело к дефекту обработки буферов, что дало потенциальному атакующему возможность контролируемо изменять содержимое кэша любого файла, доступного для чтения.

Читать далее

Security Week 2617: криптостилеры в китайском Apple App Store

Время на прочтение3 мин
Охват и читатели7.4K

Исследователи «Лаборатории Касперского» изучили тактику распространения вредоносных программ через официальный магазин приложений App Store для устройств Apple. В марте этого года в китайском App Store были обнаружены более двух десятков приложений, мимикрирующих под популярные программы для работы с криптовалютой. Для обхода проверок при публикации приложения в них заложена какая-то рудиментарная функциональность, обычно даже не имеющая никакого отношения к криптовалютам. Но главной задачей такой программы после установки является открытие браузера и направление пользователя на страницу, с которой будет установлена уже настоящая вредоносная программа методом добавления Enterprise-профиля на устройство.

Злоумышленники воспользовались особенностями App Store в Китае, из-за которых некоторые официальные приложения для работы с криптовалютой там недоступны. Всего было найдено 26 программ, маскирующиеся под популярные криптокошельки, в частности под MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. В ряде случаев название приложения было случайным, но в описании утверждалось, что из-за ограничений в Китае в нем «спрятано» официальное ПО для работы с каким-либо сервисом.

Читать далее

Security Week 2616: взлом сайта CPU-Z и HWMonitor

Время на прочтение3 мин
Охват и читатели9.3K

9 апреля был взломан веб-сайт cpuid.com, с которого распространяются популярные утилиты CPU-Z, HWMonitor и PerfMonitor. В течение примерно 18 часов ссылки на загрузку этих утилит были подменены на вредоносные. Специалисты «Лаборатории Касперского» провели анализ данной кибератаки, в ходе которой на компьютеры жертв устанавливалось ПО для кражи персональных данных.

Модифицированные инсталляторы содержали оригинальный легитимный дистрибутив соответствующей утилиты и вредоносную библиотеку CRYPTBASE.DLL. Она отвечает за подключение к командному серверу и запуск следующей стадии атаки. Интересным моментом является тот факт, что организаторы атаки повторно использовали командный сервер, который ранее был замечен в совсем другой атаке: в марте он был задействован при распространении поддельной версии популярного FTP-клиента FileZilla.

Читать далее

Security Week 2615: атака Rowhammer на видеокарты Nvidia

Время на прочтение4 мин
Охват и читатели6K

На прошлой неделе были опубликованы сразу три научные работы, так или иначе предлагающие варианты атаки Rowhammer для видеокарт Nvidia. Подобные атаки часто имеют чисто научный интерес, но не в этом случае: во всех работах показаны методы эксплуатации с реально опасными последствиями вплоть до получения прав суперпользователя на целевой системе. Новые атаки были испытаны на видеокартах с видеопамятью стандарта GDDR6, в частности на GeForce RTX3060 и RTX6000. Именно для RTX6000 и подобных моделей новые атаки наиболее актуальны, так как это промышленный видеоускоритель, часто используемый в облачных решениях с общим доступом к вычислительным ресурсам. Именно там перехват контроля над системой‑хостом со стороны клиента представляет наибольшую опасность.

Самая первая атака Rowhammer была впервые продемонстрирована в 2014 году в отношении модулей памяти DDR3. Возможность изменения данных в ячейках памяти при обращении к соседним рядам ячеек была известна и ранее, но именно 12 лет назад эту особенность применили для целевого изменения данных в оперативной памяти так, чтобы, например, создать условия для выполнения произвольного кода или похитить секретные данные. С тех пор были предложены как методы противодействия подобным атакам, так и способы их обхода. Последним достижением академических исследователей стала демонстрация атаки «класса» Rowhammer на новейшие модули памяти стандарта DDR5.

Читать далее

Security Week 2614: атака класса supply chain на библиотеку LiteLLM

Время на прочтение3 мин
Охват и читатели7.9K

Громкой новостью прошлой недели стал взлом библиотеки LiteLLM, используемой в качестве посредника для коммуникации с большим количеством языковых моделей (сообщение от разработчиков, новость на Хабре). Через другое вредоносное приложение на Python была взломана учетная запись мейнтейнера проекта, после чего сразу две версии LiteLLM (1.82.7 и 1.82.8) с вредоносными модулями были загружены в репозиторий PyPI. Отчет с анализом вредоносного кода опубликовали эксперты «Лаборатории Касперского».

В версии 1.82.7 вредоносный код был встроен в файл proxy_server.py. В версии 1.82.8 дополнительно появился .pth-файл, благодаря которому вредоносный код выполнялся при каждом запуске интерпретатора, даже если зараженная библиотека не использовалась. После запуска зараженный скрипт начинал рекурсивный обход рабочих директорий в системе жертвы. В каждой директории скрипт просматривал содержимое файлов, которое выводил в буфер stdout и сохранял в файл для последующей отправки на командный сервер злоумышленников. Далее скрипт собирал информацию о системе и также сохранял в файл. После этого он переходил к поиску конфиденциальных данных, включая следующие типы: 

Читать далее

Security Week 2613: уязвимости в дешевых устройствах IP-KVM

Время на прочтение4 мин
Охват и читатели7.7K

Исследователи компании Eclypsium в свежем отчете сообщают об обнаружении целого набора уязвимостей в четырех пользовательских адаптерах IP-KVM. Такие адаптеры, как следует из названия, позволяют удаленно управлять компьютером, эмулируя клавиатуру, мышь и внешний дисплей. Компрометация таких адаптеров, соответственно, позволяет полностью перехватить контроль над управляемым устройством. В Eclypsium справедливо предположили, что дешевые (от 30 до 100 долларов) пользовательские устройства будут хуже защищены, чем аналогичные решения для применения в корпоративных сетях.

Читать далее

Security Week 2612: ненастоящая уязвимость в архивах ZIP

Время на прочтение3 мин
Охват и читатели9.6K

На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method. При желании данные в архиве можно вовсе не сжимать, и тогда в этом поле будет прописано 0 (STORED). Обычный сжатый архив имеет свойство DEFLATE compressed. Защитному решению или архиватору данный статус указывает на то, что архив нужно сначала распаковать.

«Метод», предложенный Азизом, максимально простой. Устанавливаем в поле Compression Method статус STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Собственно, на этом все. Защитные решения доверяют описанию архива и сканируют его как контейнер с несжатыми данными. Так как на самом деле данные заархивированы, вредоносное содержимое не будет прочитано. Что открывает возможность «протаскивания» вредоносного кода на компьютер жертвы с последующим выполнением. Но именно на стадии выполнения вредоносного кода казалось бы стройная идея исследователя быстро рушится.

Читать далее

Security Week 2611: атаки на мобильные устройства в 2025 году

Время на прочтение4 мин
Охват и читатели6.1K

Эксперты «Лаборатории Касперского» опубликовали итоговый отчет по угрозам для мобильных устройств за 2025 год. Всего за прошлый год было предотвращено более 14 миллионов атак с использованием вредоносного или рекламного ПО. Было обнаружено около 815 тысяч вариантов вредоносных программ, из которых 255 тысяч относились к банковским троянам. Большая часть вредоносного ПО относится к классу Adware (62%) и RiskTool (19%), троянские программы составили чуть больше 17% от общего количества зловредов, банковские трояны — 9%. При этом, по сравнению с 2024 годом, количество вредоносных программ, наносящих реальный урон, выросло, а доля нежелательного рекламного ПО снизилась.

Отдельный интерес представляют приведенные в отчете примеры неординарного вредоносного ПО, обнаруженного в 2025 году. Это, например, выявленный в конце 2025 года бэкдор Keenadu, который встраивался прямо в прошивки ряда поддельных Android-смартфонов. В отчете также отмечен IoT-ботнет Kimwolf (обзор на китайском языке), нацеленный на приставки Android TV. Зараженные устройства в дальнейшем использовались для проведения DDoS-атак.

Читать далее

Security Week 2610: новые атаки на разработчиков ПО

Время на прочтение3 мин
Охват и читатели6.8K

Совсем недавно мы писали о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали отчет о еще одной похожей атаке. В более раннем исследовании основное внимание было уделено социальной инженерии, в то время как Microsoft подробно рассказывает о технической стороне атаки.

Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.

Читать далее

От скалярной тоски к SIMD-эйфории: как подружить IDA Pro с инструкциями RISC-V P Extension

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели7.8K

У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).

То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.

Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.

Читать далее

Security Week 2609: новые варианты атак ClickFix

Время на прочтение3 мин
Охват и читатели6.3K

На прошлой неделе опубликовано сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда Microsoft Threat Intelligence поделилась чуть более сложным, чем обычно, вариантом атаки, продемонстрированном на скриншоте ниже. Как правило, команда, которую злоумышленники заставляют запустить, содержит адрес, с которого загружается и выполняется вредоносный скрипт. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, в этот простой сценарий вставлен еще один шаг: обращение к контролируемому DNS-серверу.

От имени пользователя происходит обращение к DNS-серверу c использованием утилиты nslookup, запрашиваются данные для домена example.com. Из полученных в ответ данных выделяется строка NAME:, которая и содержит вторую часть вредоносного скрипта. Он, в свою очередь, напрямую скачивает ZIP-архив с набором вредоносных программ. На финальной стадии один из VBS-скриптов прописывается в автозапуск и на компьютер жертвы устанавливается троянская программа ModeloRAT. Это далеко не самый изощренный вариант атаки ClickFix. Ранее та же Microsoft сообщала о нетривиальной тактике, предусматривающей намеренное выведение из строя браузера путем установки вредоносного расширения под видом адблокера.

Читать далее

Security Week 2608: вредоносные тестовые задания для программистов

Время на прочтение4 мин
Охват и читатели5.3K

На прошлой неделе компания ReversingLabs опубликовала подробный отчет о вредоносной кампании, направленной на разработчиков ПО, занятых в индустрии криптовалют. Кампания атрибутирована группировке Lazarus, работающей из Северной Кореи и известной благодаря атакам, целью которых является кража цифровой валюты. В данном случае речь идет о весьма продуманной и хорошо спланированной операции, жертвами которой становятся программисты, ищущие работу. Привлекательные, но вполне реалистичные вакансии ведут к тестовому заданию, содержащему вредоносный код.

Авторы отчета отдают должное организаторам атаки: их легенда была подготовлена с большим вниманием к деталям. Поддельная компания Veltrix Capital имела собственный веб-сайт, регулярно обновляемые аккаунты в соцсетях, а также собственный репозиторий в GitHub. «Вакансии» от имени несуществующей компании публиковались на LinkedIn и в профильных сообществах на Reddit. Некоторым потенциальным жертвам предложения рассылались лично, причем, вероятно, для этого нанимались настоящие рекрутеры-фрилансеры. Сами вакансии (как показано на скриншоте выше) выглядели максимально правдоподобно, с щедрыми, но реалистичными окладами. Во всех случаях было указано, что требуется или желателен опыт работы в финтехе.

Читать далее
1
23 ...

Информация

В рейтинге
Не участвует
Откуда
Москва и Московская обл., Россия
Зарегистрирован
Активность