ТОП-5 ИБ-событий недели по версии Jet CSIRT

4 мин
ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — группировка Lurking Lizard создает сеть прокси-серверов, RedWing: Мобильное ВПО для захвата личных данных, CSS-инъекция в Opera GX крала информация страниц, злоумышленники используют учетные записи GitHub для сбора данных, O-UNC-066: вишинг и фальшивая регистрация passkey в Microsoft 365.

Группировка Lurking Lizard создает сеть прокси-серверов

Исследователи из Infoblox сообщили о новой группировке Lurking Lizard, которая активна как минимум с 2022 года. Злоумышленники занимаются бизнесом по предоставлению резидентных прокси-серверов, используя инфраструктуру, состоящую из свыше 230 похожих доменов. Модель работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем зараженные устройства продают как часть прокси-сети. Злоумышленники приобретали домены после истечения срока их действия, чтобы унаследовать их накопленную историю и легитимность. Так, домен 7zip[.]com был куплен после того, как его владелец не продлил регистрацию, хотя настоящий веб-сайт находится по адресу 7-zip[.]org. Скачанный архиватор выглядит легитимно и параллельно подключает устройство к прокси-инфраструктуре. В дополнение к этого, Lurking Lizard выдает себя за крупных поставщиков прокси-серверов, в том числе IPIDEA, SmartProxy, IP Royal и 911Proxy.

RedWing: Мобильное ВПО для захвата личных данных

Команда zLabs обнаружила новый вариант шпионского ПО для Android — RedWing. Он сдается в аренду в Telegram как готовый сервис для банковского мошенничества и даёт возможность захватить телефон жертвы, украсть ее банковские логины и получить одноразовые коды двухфакторной аутентификации. Заражение начинается с фишинговой ссылки, которая открывает поддельную страницу магазина приложений. Пользователя убеждают установить приложение в обход официального магазина. Далее запрашиваются разрешения, в том числе доступ к службе специальных возможностей Android, которую вредоносное ПО использует для чтения экрана и управления устройством. Рекомендуется устанавливать приложения только из официальных источников и остерегаться приложений, которые скрывают свой значок после установки.

CSS-инъекция в Opera GX крала информация страниц

Исследователи из zhero_web_security обнаружили уязвимость в Opera GX, игровой версии браузера Opera, которая позволяла незаметно установить модификацию (GX Mod) и применять ее для проведения XS-Leak-атаки через универсальную CSS-инъекцию. Это давало функция извлекать данные со страниц, которые посещает жертва. Уязвимость заключается в способе установки: Opera GX автоматически загружает и активирует модификацию без запроса подтверждения — единственным предупреждением служит небольшая панель под адресной строкой. Итак, вредоносная веб-страница может установить модификацию незаметно, например, загрузив скрытый iframe, указывающий на файл .crx. После установки мода JavaScript перенаправлял браузер на целевую страницу, и данные извлекались в течение нескольких секунд. В ходе эксперимента удалось восстановить цельный адрес Gmail авторизованного пользователя по одному посещению, без единого клика. Opera исправила уязвимость в версии 130.0.5847.89 и заявила, что не обнаружила доказательств ее использования в реальных условиях.

Злоумышленники используют учетные записи GitHub для сбора данных

Команда Datadog Security Research отслеживает некоторое количество кампаний, в контексте которых злоумышленники систематически перебирают репозитории и учетные записи пользователей через api GitHub. Операторы используют автоматизированные инструменты для сбора данных с помощью пользовательских агентов, выдающих себя за легитимные. Большинство запросов нацелены на общедоступные данные и возвращают успешные ответы (HTTP 200), что делает их похожими на обычный трафик api. В некоторых случаях активность выходит за рамки перечисления общедоступной информации, создавая впечатление успешного клонирования частных репозиториев. Эта данные может быть использована злоумышленником для проведения разведки и программного составления карты активности организации, связанной с GitHub, в частности, ее общедоступных репозиториев, ее участников, тех, на кого эти участники подписаны, и какие проекты они модифицируют. Отслеживать и выявлять подобные действия можно, если обращать внимание на такие поля как пользовательский агент, тип токена, исходный ASN (если доступен) и попытки выполнения действий.

O-UNC-066: вишинг и фальшивая регистрация passkey в Microsoft 365

Исследователи из Okta зафиксировали атаки группы O-UNC-066, направленные на процедура регистрации пароля для клиентов Microsoft 365. Злоумышленник регистрирует домены, содержащие слово "passkey", в контексте схемы фишинга с использованием голосового фишинга («вишинг»). Затем киберпреступники звонят целевым пользователям по телефону, пытаясь убедить их в необходимости регистрации нового ключа доступа (passkey). Пользователей перенаправляют на фишинговый веб-сайт, который точно имитирует процесс регистрации ключа доступа для Microsoft. Фишинговый набор, используемый в этих атаках, представляет собой управляемую оператором панель на PHP, в которой жертву практически в режиме реального времени проводят через процедура регистрации пароля. Пользователь думает, что он создает пароль в Microsoft, тем не менее в это время злоумышленник регистрирует свой собственный пароль в учетной записи целевого пользователя, получая итак несанкционированный доступ. Компаниям рекомендуется применять надежные системы аутентификации и уведомлять сотрудников о возможных методах фишинга.

Читают сейчас

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

19 минут назад

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

С февраля 2026 года Роскомнадзор ограничивает работу мессенджера Telegram на территории России. Пользователи пытаются обойти ограничения и ищут доступные способы на просторах интернета. Этим начали по

Гарда повысила уровень защиты веб-приложений и ускорила обработку запросов

23 минуты назад

Гарда повысила уровень защиты веб-приложений и ускорила обработку запросов

Мы выпустили новую версию межсетевого экрана уровня приложений «Гарда WAF» 3.2. В новой версии реализованы поддержка ICAP, сквозная работа с HTTP/2, графический конструктор правил, взаимодействие с Op

SpaceXAI удалит все пользовательские информация Grok Build в связи с опасений по поводу конфиденциальности

35 минут назад

SpaceXAI удалит все пользовательские информация Grok Build в связи с опасений по поводу конфиденциальности

SpaceXAI удалит все пользовательские информация из консольного агента для разработки Grok Build. Ранее независимый исследователь по информационной безопасности обнаружил, что Grok Build обрабатывает и

Крупнейший в Японии оператор такси отключил IT-системы после кибератаки

41 минуту назад

Крупнейший в Японии оператор такси отключил IT-системы после кибератаки

Крупнейший в Японии оператор такси Nihon Kotsu сообщил о кибератаке против своих IT-систем, что привело к отключению этой инфраструктуры. Инцидент произошёл 11 июля 2026 года, повлияв на систему диспе

Минпромторг обсуждает уменьшение скидки на покупку электромобилей и гибридов

52 минуты назад

Минпромторг обсуждает уменьшение скидки на покупку электромобилей и гибридов

Минпромторг обсужпозволяет корректировки программ льготного автокредитования и лизинга электромобилей и гибридов: рассматривается падение размера скидки на покупку таких машин. Об этом пишет «Ъ» со сс