ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — в Telegram нашли две новые схемы взлома аккаунтов и кражи денег, новый бэкдор Keenadu скрывается в прошивке Android и крадет данные, обнаружены уязвимости в расширениях VS Code, PromptSpy: троян, который блокирует своё исключение, используя ИИ Gemini, исправлена критическая уязвимость в Windows Admin Center.

В Telegram нашли две новые схемы взлома аккаунтов и кражи денег

Эксперты «Лаборатории Касперского» обнаружили новые схемы атак, нацеленные на пользователей Telegram в России. В первой схеме под предлогом переезда групповых чатов злоумышленники распространяют ссылки, ведущие на вредоносные мини-программы, где под видом капчи выманивают исходник доступа к аккаунту. Во следующий схеме мошенники предлагают пользователям Android скачать якобы «исправленную» версию Telegram для обхода ограничений и замедления работы, которая на самом деле содержит троян Mamont, похищающий банковские информация. Для защиты рекомендуется не доверять мини-приложениям, не открывать подозрительные файлы, установить облачный пароль для двухфакторной аутентификации.

Новый бэкдор Keenadu скрывается в прошивке Android и крадет информация

Исследователи «Лаборатории Касперского» обнаружили бэкдор Keenadu, внедренный в прошивки планшетов на Android через атаку на цепочку поставок. Бэкдор внедряется в Zygote, центральный процесс операционной системы Android, откуда его невозможно удалить без полной перепрошивки устройства, и попадает в адресное пространство каждого запускаемого приложения. Keenadu представляет собой многоуровневый загрузчик, который предоставляет операторам неограниченные возможности для контроля устройства жертвы. Он остается скрытым приблизительно двух с половиной месяцев, после чего начинает загружать дополнительные модули для подмены поисковых запросов, монетизации установок программ и скрытого взаимодействия с рекламой. Хотя сейчас было зафиксировано, что бэкдор используется главным образом для различных видов рекламного мошенничества, исследователи не исключают, что в будущем это вредоносное ПО может пойти по стопам Triada и начать красть учетные информация.

Обнаружены уязвимости в расширениях VS Code

Исследователи из OX Security выявили уязвимости в четырех популярных расширениях Microsoft VS Code: Live Server — CVE-2025-65717 (CVSS: 9.1), Code Runner — CVE-2025-65715 (CVSS: 7.8), Markdown Preview Enhanced — CVE-2025-65716 (CVSS: 8.8) и Microsoft Live Preview. Эксплойты позволяют злоумышленникам похищать локальные файлы и удаленно выполнять исходник, используя вредоносные веб-сайты, специально созданные файлы или фишинговые атаки. Уязвимости в трех расширениях остаются неисправленными. Уязвимость в Microsoft Live Preview не имеет идентификатора и была устранена компанией Microsoft в версии 0.4.16+. Рекомендуется апдейтнуть расширение Microsoft Live Preview до последней версии, а равным образом избегать применения ненадежных конфигураций.

PromptSpy: троян, который блокирует своё удаление, используя ИИ Gemini

Исследователи ESET обнаружили Android-троян PromptSpy, который использует ИИ Gemini от Google для повышения своей устойчивости на разных устройствах. Вредонос анализирует монитор устройства и с помощью ИИ получает инструкции, как заблокировать себя в списке последних приложений («повесить замок»), чтобы предотвратить автоматическое закрытие приложения. Встроенный VNC-модуль обеспечивает злоумышленникам удалённый доступ к экрану, кражу паролей и запись действий жертвы в реальном времени. Одновременно при попытке пользователей удалить приложение или отключить специальные разрешения троян накладывает прозрачные, невидимые прямоугольники на кнопки пользовательского интерфейса. Хотя массовых заражений пока не зафиксировано, образцы уже распространяются через фишинговые сайты.

Исправлена критическая уязвимость в Windows Admin Center

Компания Microsoft исправила критическую уязвимость CVE-2026-26119 (CVSS: 8.8) в Windows Admin Center, обнаруженную исследователем Андреа Пьерини. Она позволяла авторизованному злоумышленнику повысить привилегии в сети до уровня владельца приложения. Патч был включен в версию 2511, выпущенную в декабре 2025 года, однако данные о реальных атаках отсутствуют. Несмотря на это, эксперты Microsoft присвоили уязвимости рейтинг «высокой вероятности эксплуатации». Согласно заявлению Пьерини, в определенных сценариях уязвимость могла привести к полной компрометации домена, начиная со стандартного пользователя. Рекомендуется немедленно обновиться до последней версии, а равным образом ограничить веб доступ к инструменту и применять принцип минимальных привилегий для снижения риска компрометации.