SecAtor

SecAtor

@true_secator

Руки-ножницы российского инфосека.Для связи - mschniperson@mailfence.com

41 348подписчиков
Несколько раз в день🇷🇺

Похожие каналы

Все →

Последние посты

Исследователи Лаборатории Касперского обнаружили новую вредоносную кампанию, нацеленную на пользователей хентай-игр из категории контента для взрослых.В апреле этого года в ходе планового мониторинга телеметрических данных исследовали обнаружили несколько подозрительных DLL-файлов. Дальнейший анализ показал, что различные версии этих DLL существовали как минимум с 2024 года.Они распространялись вместе с играми, созданными на базе разных игровых движков и языков программирования, включая RenPy (Python), RPG Maker MV (JavaScript) и другие.При этом все выявленные игры относились к категории хентай-игр. Во время поиска источников распространения нашлись веб-сайты, на которых ппубликовались скрины игр и ссылки для их скачивания, которые перенаправляли пользователей на бесплатный файлообменник PixelDrain.Помимо этих сайтов, троянизированные игры также распространялись через различные торрент-трекеры, такие как AniRena. Как на специализированных сайтах, так и через торрент-трекеры зараженные игры распространялись в виде архива.Внутри этого архива находились полностью функциональные легитимные файлы игры вместе с измененным ffmpeg.dll. Поскольку она требуется для корректной работы игры, библиотека загружается сразу после ее запуска.При запуске зараженные игры устанавливают на компьютер пользователя новый, ранее неизвестный вредоносный имплант.Выждав несколько дней, он скачивает и запускает троянец, что приводит к полной компрометации системы и дает злоумышленникам широкие возможности удаленного управления устройством жертвы. В ЛК назвали это семейство вредоносного ПО Argamal.В более ранних версиях командным сервером по умолчанию выступает asper1[.]freeddns[.]org, а в последних версиях — Winst0[.]kozow[.]com. Оба домена указывают на IP-адрес 186[.]158.223.35.Для закрепления в системе Argamal использует технику перехвата COM-объектов (COM hijacking), подменяя значение InprocServer32 для DLL компонента Windows Color System Calibration Loader.Поскольку соответствующая задача за

18 июн. 2026 г.5 800В Telegram

Исследователи F6 представили исследование новой волны атак финансово мотивированной группировки Hive0117 на финансовые подразделения компаний в России, Беларуси, Казахстане и Узбекистане.Hive0117 действует с конца 2021 года, используя в своих атаках бесфайловое вредоносное ПО DarkWatchman. Она нацелена на финансовые отделы организаций из различных отраслей.Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для нее характерны всплески активности - после массовых рассылок обычно наступает затишье, порой до нескольких месяцев.С начала 2026 года злоумышленники начали проводить вредоносные рассылки на бухгалтеров. Только в России адресатами киберпреступников стали свыше 3000 компаний из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты.Кроме того, среди получателей оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).Пик активности пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз.В ряде случаев рассылки вредоносных писем проводились от ранее скомпрометированной организации по её контрагентам, что увеличивало шансы преступников на результативность атаки.Злоумышленники направляли вредоносные письма под видом обычной деловой почты. Преступники использовали, например, такие темы для писем, как: «Документы от <дата направления письма>», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».Вредоносный файл скрывался в исполняемых EXE-файлах или в RAR-архивах под видом документов. Пароли к архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисо

18 июн. 2026 г.6 550В Telegram

Атака на цепочку поставок затронула ShapedPlugin, разработчика плагинов для WordPress, имеющего более 400 000 активных установок своих общедоступных решениях. Внедрение плагинов с бэкдором осуществлялось через официальную инфраструктуру обновлений.Вредоносная ПО предоставляла злоумышленникам постоянный доступ к сайтам, похищала учетные данные администратора и секреты 2FA, а также использовала множество механизмов удаленного доступа.Атаку заметили исследователи Wordfence после получения уведомления о подозрительной активности 11 июня 2026 года.В ходе расследования обнаружили, что злоумышленники скомпрометировали конвейер сборки и распространения ShapedPlugin, внедряя вредоносный код в пакеты платных плагинов, распространяемые через систему обновлений Easy Digital Downloads (EDD) поставщика.ShapedPlugin незамедлительно начала расследование после получения уведомления и готовит проверенные версии плагина после проведения проверок безопасности и валидационного тестирования.Wordfence подтвердила, что скомпрометированные копии Real Testimonials Pro версии 3.2.5 распространялись через официальную точку обновления ShapedPlugin еще 12 июня. Исследователи также связали атаку с Product Slider Pro для WooCommerce и Smart Post Pro.Вредоносные пакеты содержали файл LicenseLoader.php, который автоматически загружался в административной панели WordPress. Загрузчик связывался с C2 по адресу 194.76.217.28:2871, загружал полезную нагрузку второго этапа, устанавливал её как фейковый плагин, сообщал злоумышленникам домен жертвы, а затем удалял себя, чтобы затруднить криминалистический анализ.Вредоносная ПО маскировалась под плагины с названиями woocommerce-subscription или woocommerce-notification, имитируя легитимные расширения WooCommerce.Она включала в себя несколько инструментов для злоумышленников, в том числе Tiny File Manager 2.6, Adminer 5.2.1, веб-оболочку, бэкдор для REST API, компоненты для кражи учетных данных и механизм обхода авторизации.Вредоносная ПО перехватывала событи

18 июн. 2026 г.6 390В Telegram

В продолжение предыдущего материала в отношении масштабной утечки FortiBleed:Исследователь Кевин Бомонт независимо проверил часть скомпрометированных данных и сообщил также, что некоторые учетные данные являются подлинными.После дальнейшего анализа данных, Бомонт опубликовал дополнительные результаты, указывающие на то, что набор данных содержит учетные данные примерно для 75 000 устройств Fortinet, большинство из которых остаются подключенными к сети.По словам Бомонта, данные, по всей видимости, получены из экспортированных конфигураций Fortinet, поскольку содержат информацию, включая адреса электронной почты, которая обычно доступна только через конфигурационные файлы.Он также заявил, что затронутые IP-адреса отличаются от адресов, фигурировавших в утечке данных Fortinet о Belsen Group в 2025 году, что еще раз указывает на то, что это более недавняя и масштабная группа скомпрометированных устройств.Основываясь на телеметрии Shodan, утечка затронула примерно половину всех доступных через интернет межсетевых экранов Fortinet, и большинство затронутых устройств предоставляют доступ к своим интерфейсам управления FortiGate напрямую из интернета.Источник данных конфигурации остается неизвестным, неясно, были ли они украдены через ранее выявленные уязвимости Fortinet, через недавно обнаруженную ошибку или другим способом.Hudson Rock разработала инструмент для проверки того, затронула ли уязвимость FortiBleed вашу организацию.В Fortinet полагают, что, по результатам ее расследования, учетные данные были получены в результате предыдущих инцидентов и атак методом перебора паролей, и не связаны с какими-либо недавно выявленными уязвимостями, утечками данных или уведомлениями о безопасности.

18 июн. 2026 г.5 460В Telegram

Недавно обнаруженная масштабная утечка данных FortiBleed раскрывает учетные данные VPN-серверов Fortinet и FortiGate для 73 932 URL-адресов межсетевых экранов в организациях по всему миру.Утекшие данные были впервые обнаружены исследователем Бобом Дьяченко, который утверждает, что обнаружил сервер, содержащий, по всей видимости, валидные учетные данные для VPN Fortinet, включая имена пользователей, адреса электронной почты и пароли в открытом виде.При этом база данных содержит записи о компаниях Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid и многих других. В найденных файлах указаны тысячи экземпляров оборудования ведущих поставщиков. Только один из экземпляров содержит 21 634 доменных имени - от Chevron до самой Fortinet. И все они - с потенциально рабочими паролями к устройствам FortiGate, полученными различными способами.В раскрытые данные также вошли комментарии, содержащие информацию об отрасли, доходах и количестве сотрудников каждой организации, предположительно, для планирования атак.Согласно расследованию, злоумышленники предположительно совершили около 1,16 млрд. попыток взлома учетных данных 320 777 целевых устройств FortiGate и еще 2,1 млрд. попыток в отношении 163 650 систем Microsoft SQL Server.Дьяченко также отметил, что злоумышленники перехватили хеши аутентификации SSL VPN, взломали их с помощью кластера из 45 графических процессоров, управляемого через Hashtopolis, и использовали полученные учетные данные для проникновения во внутренние среды Active Directory.Диаченко рассказал, что хакеры случайно оставили в сети открытую директорию с артефактами, строками подключения, инструментами, скриптами и данными. Аналитические данные были полученные через их задания cron, историю команд bash, журналы и т.д.Исследователь также заявил, что различные организации в Японии, Тайване, Вьетнаме, Ираке и Турции были полностью скомпрометированы, включая турецкого подрядчика НАТО по оборонным закупкам, у которого, предположител

18 июн. 2026 г.5 490В Telegram

DragonForce задействовала специально разработанное вредоносное ПО под названием Backdoor.Turn для сокрытия управляющего трафика внутри инфраструктуры ретрансляции Microsoft Teams.Бэкдор использует протокол TURN (Traversal Using Relays around NAT), применяемый Microsoft Teams для передачи сообщений, когда прямое соединение с клиентом недоступно (например, для клиентов в частной сети).DragonForce - это банда вымогателей, действующая как минимум с 2023 года, которая использует организационную структуру, подобную картелю, и связана с известной группировкой Scattered Spider.По данным Symantec, хакеры использовали специально разработанное вредоносное ПО на языке Go для атаки на крупную американскую сервисную компанию.Backdoor.Turn полагается на уязвимость в инфраструктуре TURN Teams, получая анонимный токен посетителя Teams, используя легитимный ретранслятор Microsoft TURN во время установления соединения, а затем подключаясь к серверу C2 злоумышленника.В результате ИБ-специалисты видят трафик, связанный с инфраструктурой Microsoft Teams, что позволяет вредоносному ПО скрывать свои коммуникации в доверенной сети.В прошлом году Praetorian представила технику под названием Ghost Calls, продемонстрировав, как временные учетные данные TURN для Teams и Zoom могут быть использованы для создания скрытых каналов связи через доверенную инфраструктуру конференц-связи.Ghost Calls была продемонстрирована в 2025 году, а Backdoor.Turn стало первым известным в реальных условиях вредоносным ПО, использующим ретрансляторы TURN Microsoft Teams для маскировки трафика управления и контроля.Исследователи также обращают внимание на использование уязвимости драйвера HWAuidoOs2Ec.sys компании Huawei, который применяется для обхода тактики BYOVD.Как отмечает Symantec, атака, зафиксированная в декабре 2025 года, скорее всего, началась с использования неизвестной уязвимости в сервере SQL или MSSQL.Получив доступ к системе, злоумышленник скачивал ZIP, содержащий легитимный исполняемый файл VirtualBo

17 июн. 2026 г.5 670В Telegram

Исследователи JFrog, SafeDep, Socket и StepSecurity сообщают об атаке на цепочку поставок программного обеспечения под кодовым названием easy-day -js, в результате которой были скомпрометированы до 144 пакетов npm, связанных с Mastra, популярным фреймворком с открытым исходным кодом на JavaScript и TypeScript для создания ИИ-приложений.Один аккаунт npm (ehindero) за короткий промежуток времени 17 июня 2026 года массово опубликовал более 140 вредоносных пакетов в рамках сети Mastra.Сами зараженные пакеты не содержат вредоносного кода. Вместо этого он внедряется с помощью сторонней библиотеки easy-day-js, которая добавляется в список зависимостей каждого пакета в рамках автоматизированной кампании по распространению вредоносного кода, длившейся 88 минут.В своем анализе SafeDep описала easy-day-js как клон библиотеки для работы с датами dayjs, который загружает и запускает троян удаленного доступа, предназначенный для кражи криптовалюты.Библиотека JavaScript была опубликована пользователем npm под ником sergey2016 16 июня 2026 года в 7:05 утра по UTC как чистая, полностью функциональная копия, а вредоносные изменения были внесены 17 июня 2026 года в 1:01 утра по UTC.Поскольку Mastra находится на стыке разработки ИИ и облачной инфраструктуры, ее пакеты регулярно устанавливаются в средах, содержащих одни из самых конфиденциальных учетных данных в современной разработке ПО, что делает ее исключительно ценной целью.Пакет easy-day-js запускает обфусцированную полезную нагрузку, которая срабатывает во время выполнения postinstall-хука и действует как загрузчик или дроппер для полезной нагрузки второго этапа из 23.254.164[.]92 после отключения проверки TLS-сертификатов.Затем полезная нагрузка выполняется как отдельный фоновый процесс, после чего загрузчик предпринимает шаги для самоуничтожения, чтобы минимизировать следы, которые могли бы быть использованы для анализа.Финальный этап - это кроссплатформенный стилер, способный собирать историю браузера, данные из более чем 160

17 июн. 2026 г.5 640В Telegram

Новый банковский троян для Android под названием Rokarolla способен атаковать 217 банковских и криптовалютных приложений, используя обширный набор из 137 команд.Вредоносное ПО распространяется через вредоносные веб-сайты, якобы предоставляющие приложения Google Chrome или TikTok, позволяя получить полный административный контроль над скомпрометированным устройством.Его возможности включают кражу учетных данных экрана блокировки, списков контактов и данных SMS, а также использование кейлоггеров для непрерывной записи пользовательского ввода.В процессе установки вредоносное приложение действует как загрузчик и имитирует Google Play Protect, встроенную в Android антивирусную систему, предлагая пользователям возможность установить Chrome или TikTok, которые содержат вредоносное ПО Rokarolla.Как отмечают в Zimperium, при запуске на устройстве Rokarolla запрашивает разрешения на доступ к службе специальных возможностей, а также к уведомлениям, SMS и звонкам. Zimperium даже создала репозиторий на GitHub со всеми 137 командами, доступными для Rokarolla.Основная цель вредоносной ПО, по всей видимости, - кража финансовой информации. Для этого она проверяет зараженное устройство по списку из 217 целевых приложений, а затем загружает фишинговую полезную нагрузку, соответствующую любым совпадающим приложениям.Когда жертва открывает приложение из списка, Rokarolla отображает фейковое окно входа в систему, чтобы украсть учетные данные, информацию о кредитных картах и другие финансовые данные.Однако использование наложений выходит за рамки кражи данных. Вредоносная ПО также использует этот метод для перехвата PIN-кода/графического ключа блокировки экрана и управления устройством даже в заблокированном состоянии.Кроме того, наложения используются для сокрытия активности вредоносного ПО и блокировки взаимодействия с пользователем путем отображения поддельных экранов установки при необходимости.К дополнительным методам обхода относятся отключение Google Play Protect, скрытие значка пр

17 июн. 2026 г.5 500В Telegram

Китайские силовики арестовали 67 подозреваемых, связанных с Silver Fox, крупнейшей и наиболее активной киберпреступной группировкой страны, нацеленной на ее внутреннюю аудиторию.Аресты были произведены в пяти провинциях и затронули всех - от разработчиков до операторов фишинговых сайтов и различных других причастных лиц.Властям удалось установить личность некоего Цзи Моуфэй, который был главным разработчиком и селлером вредоносного ПО группировки, получившего название трояна Silver Fox. Цзи и четверо его сообщников были арестованы в провинции Чжэцзян.Также в провинции Цзилинь были арестованы еще 28 человек, в том числе мужчина по имени Чен, у которого, как сообщается, был обнаружен вариант троянской программы этой группировки.Сообщается также о других арестах в провинции Шаньдун, где был задержан человек некий Ян и 15 подозреваемых за создание фишинговых сайтов, которые заманивали пользователей к загрузке файлов, зараженных трояном Silver Fox.В провинции Гуандун был задержан еще один подозреваемый по имени Ли, а также 13 других лиц, предположительно использовавших троян для доступа к системам и кражи онлайн-активов и средств жертв.И наконец, в провинции Чжэцзян был арестован подозреваемый по имени Чжоу и двое его сообщников за разработку фейковых сайтов для скачивания приложений, содержащих троянскую ПО этой группы.Silver Fox начала свою деятельность в середине 2024 года и ориентировалась исключительно на пользователей, говорящих на китайском языке и проживающих как в Китае, так и за рубежом.Позже группа расширила свою деятельность, включив в нее и другие страны, однако основная часть ее работы по-прежнему была направлена в отношении Китая.Как оказалось впоследствии, силовая операция в отношении этой группировки была ожидаема, поскольку в конце мая китайский CERT выпустил предупреждение, касающееся ее деятельности.Основной метод работы Silver Fox включал рассылку вредоносного спама и создание поддельных сайтов для скачивания, призванных заманить жертв к установке тр

17 июн. 2026 г.5 710В Telegram
SecAtor — пост в ТГ канале

• У компании WIZ недавно есть хороший мини-курс для начинающих багхантеров. Он включает в себя 4 модуля, которые содержат необходимый материал для последующего прохождения практических заданий. • Учитывайте, что курс на английском языке и ориентирован для начинающих специалистов.• К слову, курс содержит задания, которые принесли исследователям реальные вознаграждения (от 3 до 27 тыс. баксов) от очень крупных компаний.➡ https://www.wiz.io/bug-bounty-masterclass• P.S. У WIZ есть еще ряд полезных и бесплатных курсов. Вероятно вы найдете что-то полезное для себя.S.E. ▪️ infosec.work ▪️ VT

17 июн. 2026 г.5 690В Telegram

В киберподполье сегодня жарко: одни злоумышленники затребовали от Nintendo 2 млн. долл. за утечку корпоративных данных за десятилетний период, а другие реализуют большой массив данных в отношении более 5,5 млн. граждан Швеции (примерно половину населения). Отметились также и другие известные акторы.Называющий себя ShadowByte$ утверждает, что украл около 859 МБ корпоративных данных Nintendo и требует выкуп в размере 2 миллионов долларов, дабы предотвратить публикацию данных.Утекшие образцы данных предположительно содержат конфиденциальную внутреннюю документацию, включая имена сотрудников, корпоративные адреса электронной почты, результаты опросов отдела кадров, отзывы сотрудников, показатели эффективности работы организации, внутренние отчеты и плановую документацию.Исследователи, изучившие образцы, обнаружили доказательства, свидетельствующие о том, что по крайней мере часть данных может быть подлинной, включая опросы вовлеченности сотрудников, датируемые 2016 годом, и упоминания лиц, которые, судя по всему, до сих пор работают в Nintendo.Остается неясным, была ли реально взломана сама компания Nintendo или же злоумышленники получили доступ через стороннюю HR-платформу, при этом в качестве примера приводится программное обеспечение для повышения вовлеченности сотрудников TinyPulse.Другой злоумышленник утверждает, что данные по гражданам Швеции были получены с сайтов ilait.se и adressfakta.se, которые распространяют контактную и адресную информацию в коммерческих целях.Согласно утверждениям, набор данных включает в себя как персональные данные, так и информацию о географическом местоположении и данные, связанные с недвижимостью.Однако вопрос о том, насколько деликатна эта ситуация, остается без ответа. Кроме того, в наборе данных лишь 18 образцов записей четко идентифицируемы и согласуются друг с другом. Поэтому проверить весь масштаб предполагаемого нарушения невозможно.Кроме того, подкатила новая группа жертв ShinyHunters: хакерская группа разместила на своем DLS

16 июн. 2026 г.6 130В Telegram

Исследователи BI.ZONE озадачились вопросом анализа веб-логов, которые представляют собой важный источник данных при расследовании инцидентов, помогая выявлять атаки и подозрительную активность.Как отмечают в BI.ZONE, в большинстве случаев компании используют не один сайт или сервер, а десятки: одни доступны в интернете, другие работают только внутри организации. Наиболее популярными веб‑ресурсами и средами выполнения являются - nginx - веб‑сервер и обратный прокси. В современных инфраструктурах чаще всего располагается на периметре: принимает от пользователей HTTP‑ и HTTPS‑запросы, перенаправляет их на внутренние сервисы. Поэтому его логи - один из первых источников информации о внешней активности, включая сканирование и атаки.- IIS - веб‑сервер от Microsoft, глубоко интегрированный с операционной системой Windows. Чаще всего используется, чтобы размещать приложения на платформе .NET. Логи IIS позволяют анализировать взаимодействие пользователей с приложением и выявлять аномалии на уровне бизнес‑логики.- Apache - классический веб‑сервер, который широко применялся в предыдущих поколениях инфраструктур. Сейчас чаще встречается в legacy‑системах, однако по‑прежнему остается важным источником событий кибербезопасности из‑за своей распространенности.- Node.js - среда выполнения JavaScript, в рамках которой разработчики самостоятельно реализуют веб‑серверную логику. В отличие от классических веб‑серверов, формат и содержание логов здесь зависят от реализации приложения, однако в них также есть ценные данные для анализа активности.Несмотря на различие в технологиях, у всех этих решений есть общая особенность: все они содержат полезные события для аналитиков SOC.Каждый HTTP‑запрос, который приходит на веб‑сервер, оставляет данные, например обращение к странице, попытку авторизации, ошибку или даже вредоносный запрос. Все эти события записываются в логи, которые аналитик отслеживает и использует для правил корреляции.В своем отчете Бизоны акцентировались на самых распростран

16 июн. 2026 г.5 780В Telegram

Исследователи ESET обнаружили два ранее не описанных варианта SprySOCKS для Windows - бэкдора, ранее известного только для Linux и связанного с китайской FishMonger.Недавно обнаруженные варианты вредоносного ПО значительно расширяют возможности группы, внедряя механизмы обеспечения постоянного присутствия в Windows и, в одной из версий, руткит на уровне ядра, предназначенный для сокрытия активности от средств безопасности.По данным ESET, вредоносная ПО для Windows была первоначально обнаружена в файлах, загруженных на VirusTotal, но телеметрия показала реальную активность в период с 2023 по 2024 год.Атаки были направлены в основном на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане. Исследователи с высокой степенью уверенности отнесли вредоносную ПО к FishMonger на основе сходства кода, операционных характеристик и пересечения инфраструктуры.Считается, что FishMonger (Earth Lusca, TAG-22, Aquatic Panda и Red Dev 10), действует из Чэнду, Китай, под эгидой Winnti Group. Ранее группа была замечена в кибершпионских кампаниях и известна использованием ShadowPad, Spyder, FunnySwitch, BIOPASS RAT и Cobalt Strike.Недавно обнаруженная вредоносная программа SprySOCKS для Windows существует в двух вариантах: WIN_DRV и WIN_PLUS. Оба поддерживают связь по протоколам TCP, UDP и WebSocket и поддерживают более 30 команд C2 для разведки системы, управления процессами, контроля служб, файловых операций и удаленного выполнения команд.Наиболее сложная версия, WIN_DRV, включает в себя драйвер ядра под названием RawWNPF, который функционирует как руткит.Драйвер может скрывать активные сетевые соединения, запущенные процессы, вредоносные файлы и ключи реестра от администраторов и средств безопасности.Он также включает в себя скрытый пассивный механизм бэкдора, который перенаправляет специально сформированный сетевой трафик с любого открытого TCP-порта на скрытый порт прослушивания вредоносной ПО, позволяя операторам взаимодействовать с имплантатом, не раскрывая е

16 июн. 2026 г.5 240В Telegram

Исследователи Лаборатории Касперского обнаружили в мастерской Steam обнаружены десятки вредоносных обоев для Wallpaper Engine с 100 тыс. активных пользователей в день. С конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное ПО.Основной целью атакующих является кража аккаунтов игроков, преимущественно из Китая (89%) и России (5,5%). Далее Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%).Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop.Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Через механизм «обои в виде приложения» в ЛК зафиксировали распространение самых разных типов вредоносного ПО: от популярных стилеров до бэкдоров, криптомайнеров, ботнетов.Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга. Wallpaper Engine включает в себя встроенный редактор обоев для создания собственных проектов и поддерживает несколько типов обоев, включая и приложения - активные окна любого стороннего ПО, совместимого с Windows, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.Последний тип является самостоятельным программным обеспечением. Среди них могут быть игры, которые запускаются прямо на рабочем столе, планировщики и календари, системы мониторинга, утилиты для отслеживания загрузки видеокарты или процессора и т.д.Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное ПО. В ЛК обнаружили в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз.При анализе таких обоев зафиксировано два типа распространения: через архив, внутри которого были ис

16 июн. 2026 г.6 380В Telegram

Исследователи Defused сообщают об эксплуатации ряда критических уязвимостей в платформе обнаружения киберугроз FortiSandbox от Fortinet.14 апреля Fortinet выпустила обновления для трех критически важных уязвимостей: CVE-2026-39813, CVE-2026-39808 и CVE-2026-25089.Они позволяют неавторизованным злоумышленникам повышать привилегии и удаленно выполнять несанкционированный код посредством простых атак с внедрением команд, не требующих взаимодействия с пользователем.Для решения этих проблем и блокировки входящих атак администраторам необходимо обновить затронутые развертывания до последних выпущенных версий.Как предупреждают в Defused, за последние 24 часа наблюдается эксплуатация множества уязвимостей Fortinet FortiSandbox, включая: CVE-2026-39813 (ранее не зафиксировано случаев эксплуатации), CVE-2026-39808, CVE-2026-25089 (эксплойт, вероятно, некорректный).При этом рабочий эксплойт для последней еще не был публично представлен. В свою очередь, Fortinet пока никак не отреагировала на сообщения об активной эксплуатации уязвимости.Тем не менее, уязвимости в системе безопасности Fortinet часто использовались в атаках с применением ransowmare (зачастую в виде нулей) и в кампаниях кибершпионажа для взлома сетей жертв.В общей сложности на карандаше в CISA сейчас 26 уязвимостей Fortinet, которые были использованы в атаках в последние годы, 13 из которых были использованы группировками, занимающимися вымогательством.

16 июн. 2026 г.6 920В Telegram