• bitcoinBitcoin (BTC) $ 62,013.00
  • ethereumEthereum (ETH) $ 1,740.83
  • tetherTether (USDT) $ 0.999132
  • bnbBNB (BNB) $ 564.26
  • usd-coinUSDC (USDC) $ 0.999925
  • xrpXRP (XRP) $ 1.08
  • solanaSolana (SOL) $ 77.18
  • tronTRON (TRX) $ 0.327570
  • staked-etherLido Staked Ether (STETH) $ 2,265.05
  • figure-helocFigure Heloc (FIGR_HELOC) $ 1.03
  • hyperliquidHyperliquid (HYPE) $ 68.21
  • dogecoinDogecoin (DOGE) $ 0.071912
  • usdsUSDS (USDS) $ 0.999860
  • rainRain (RAIN) $ 0.014719
  • leo-tokenLEO Token (LEO) $ 9.44
  • wrapped-stethWrapped stETH (WSTETH) $ 2,779.67
  • zcashZcash (ZEC) $ 463.07
  • whitebitWhiteBIT Coin (WBT) $ 55.01
  • wrapped-bitcoinWrapped Bitcoin (WBTC) $ 76,243.00
  • cardanoCardano (ADA) $ 0.166882
  • binance-bridged-usdt-bnb-smart-chainBinance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762
  • stellarStellar (XLM) $ 0.181576
  • wrapped-beacon-ethWrapped Beacon ETH (WBETH) $ 2,466.93
  • moneroMonero (XMR) $ 321.61
  • chainlinkChainlink (LINK) $ 7.60
  • canton-networkCanton (CC) $ 0.125995
  • wrapped-eethWrapped eETH (WEETH) $ 2,465.31
  • bitcoin-cashBitcoin Cash (BCH) $ 232.12
  • daiDai (DAI) $ 0.999578
  • susdssUSDS (SUSDS) $ 1.08
  • usd1-wlfiUSD1 (USD1) $ 0.998963
  • ethena-usdeEthena USDe (USDE) $ 0.998447
  • the-open-networkGram (prev. Toncoin) (GRAM) $ 1.59
  • coinbase-wrapped-btcCoinbase Wrapped BTC (CBBTC) $ 76,366.00
  • litecoinLitecoin (LTC) $ 43.66
  • global-dollarGlobal Dollar (USDG) $ 0.999846
  • hashnote-usycCircle USYC (USYC) $ 1.13
  • wethWETH (WETH) $ 2,268.37
  • hedera-hashgraphHedera (HBAR) $ 0.069047
  • suiSui (SUI) $ 0.705095
  • paypal-usdPayPal USD (PYUSD) $ 1.00
  • usdt0USDT0 (USDT0) $ 0.998824
  • avalanche-2Avalanche (AVAX) $ 6.41
  • crypto-com-chainCronos (CRO) $ 0.056823
  • tether-goldTether Gold (XAUT) $ 4,072.87
  • shiba-inuShiba Inu (SHIB) $ 0.000004
  • nearNEAR Protocol (NEAR) $ 1.87
  • blackrock-usd-institutional-digital-liquidity-fundBlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00
  • ondo-us-dollar-yieldOndo US Dollar Yield (USDY) $ 1.13
  • ethena-staked-usdeEthena Staked USDe (SUSDE) $ 1.22
  • uniswapUniswap (UNI) $ 3.31
  • bittensorBittensor (TAO) $ 204.49
  • world-liberty-financialWorld Liberty Financial (WLFI) $ 0.058177
  • pax-goldPAX Gold (PAXG) $ 4,076.60
  • memecoreMemeCore (M) $ 1.34
  • aster-2Aster (ASTER) $ 0.619748
  • htx-daoHTX DAO (HTX) $ 0.000002
  • okbOKB (OKB) $ 77.64
  • ripple-usdRipple USD (RLUSD) $ 0.999985
  • ondo-financeOndo (ONDO) $ 0.317886
  • little-pepe-5Little Pepe (LILPEPE) $ 2.16
  • usddUSDD (USDD) $ 0.999189
  • syrupusdcsyrupUSDC (SYRUPUSDC) $ 1.15
  • falcon-financeFalcon USD (USDF) $ 0.996716
  • polkadotPolkadot (DOT) $ 0.829454
  • morphoMorpho (MORPHO) $ 2.11
  • mantleMantle (MNT) $ 0.415653
  • dexeDeXe (DEXE) $ 28.83
  • aaveAave (AAVE) $ 87.40
  • bfusdBFUSD (BFUSD) $ 0.998381
  • worldcoin-wldWorldcoin (WLD) $ 0.372382
  • skySky (SKY) $ 0.053435
  • internet-computerInternet Computer (ICP) $ 2.16
  • bitget-tokenBitget Token (BGB) $ 1.64
  • pi-networkPi Network (PI) $ 0.102112
  • ethereum-classicEthereum Classic (ETC) $ 6.93
  • pepePepe (PEPE) $ 0.000003
  • united-stablesUnited Stables (U) $ 0.999800
  • jupiter-perpetuals-liquidity-provider-tokenJupiter Perpetuals Liquidity Provider Token (JLP) $ 4.00
  • eutblSpiko EU T-Bills Money Market Fund (EUTBL) $ 1.20
  • blockchain-capitalBlockchain Capital (BCAP) $ 106.63
  • quant-networkQuant (QNT) $ 64.75
  • kucoin-sharesKuCoin (KCS) $ 6.80
  • janus-henderson-anemoy-treasury-fundJanus Henderson Anemoy Treasury Fund (JTRSY) $ 1.11
  • jito-staked-solJito Staked SOL (JITOSOL) $ 124.46
  • usdgoUSDGO (USDGO) $ 0.999983
  • stable-2​​Stable (STABLE) $ 0.035383
  • kelp-dao-restaked-ethKelp DAO Restaked ETH (RSETH) $ 2,404.69
  • superstate-short-duration-us-government-securities-fund-ustbInvesco Short Duration US Government Securities Fund (USTB) $ 11.14
  • justJUST (JST) $ 0.095539
  • binance-peg-wethBinance-Peg WETH (WETH) $ 2,262.26
  • polygon-ecosystem-tokenPOL (ex-MATIC) (POL) $ 0.075861
  • rocket-pool-ethRocket Pool ETH (RETH) $ 2,631.35
  • cosmosCosmos Hub (ATOM) $ 1.56
  • kaspaKaspa (KAS) $ 0.028830
  • binance-bridged-usdc-bnb-smart-chainBinance Bridged USDC (BNB Smart Chain) (USDC) $ 0.999945
  • render-tokenRender (RENDER) $ 1.53
  • algorandAlgorand (ALGO) $ 0.084334
  • wbnbWrapped BNB (WBNB) $ 759.61
  • adi-tokenADI (ADI) $ 5.90

Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности

0 1

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки.
  • Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона.
  • Около 300 фейковых репозиториев на GitHub распространяли инфостилер.
  • США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud.
  • Содержание:

    Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки

    Эксперты SlowMist раскрыли комплексный подход для кражи криптовалют инфостилера для macOS. По их данным, вредонос перехватывает авторизованные сессии в мессенджерах и атакует как программные, так и аппаратные кошельки. 

    Попав на устройство, вирус собирал конфиденциальные данные: пароли из связки ключей macOS Keychain, файлы cookie из Safari, скрытые записи в Apple Notes, а также базы данных более десятка криптокошельков и браузерных расширений.

    Как действует вредонос:

  • кража аккаунтов в обход 2FA. Вирус копирует файлы локальной сессии Telegram Desktop. Эти данные позволяют хакерам зайти в аккаунт жертвы на другом Mac без ввода номера телефона, СМС-кода или пароля двухфакторной аутентификации, так как система воспринимает подключение как продолжение уже авторизованной сессии;
  • фишинг. ПО заменяет легитимные приложения для управления аппаратными кошельками (Ledger Live и Trezor Suite) на их точные копии. Их единственная цель — обманом заставить пользователя ввести сид-фразу.
  • По данным специалистов, украденные базы данных злоумышленники расшифровывают в офлайн-режиме, используя пароли, извлеченные из зараженного Mac.

    Под прицелом инфостилера оказались кошельки Exodus, Atomic, Electrum, Wasabi, Monero, а также клиенты полных нод (Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core).

    В SlowMist призвали пользователей, подозревающих компрометацию своего Mac, немедленно принудительно завершить все активные сеансы в настройках Telegram, заново авторизоваться и сменить пароли. Для сохранения криптоактивов эксперты посоветовали сгенерировать новую сид-фразу на чистом устройстве и экстренно перевести туда все средства.

    Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона

    Суд приговорил двух ключевых участников хакерской группировки Scattered Spider к пяти годам и шести месяцам тюремного заключения. Об этом сообщает Национальное криминальное агентство Великобритании (NCA).

    20-летний Тальха Джубайр и 18-летний Оуэн Флауэрс признаны виновными во взломе IT-инфраструктуры Управления транспорта Лондона (TfL) в августе 2024 года.

    Атака на TfL, обеспечивающее работу транспорта для 8,4 млн лондонцев, привела к масштабному сбою: из строя вышли 148 внутренних систем, отключились сервисы Dial-a-Ride, заказ льготных проездных, цифровые платежи и система возврата средств. Всем 27 000 сотрудникам ведомства пришлось менять пароли на рабочих местах. 

    Прямой ущерб и затраты на восстановление инфраструктуры TfL составили £29 млн. По оценкам властей, если бы хакерам удалось полностью остановить транспортную сеть, экономика Великобритании могла потерять до £56 млрд.

    Оба злоумышленника арестованы сотрудниками NCA в сентябре 2024 года, спустя две недели после взлома. В ходе обысков на устройствах Флауэрса нашли не только улики по делу TfL, но и доказательства подготовки кибератак на американские медицинские компании Sutter Health и SSM Health Care Corporation.

    В NCA назвали Scattered Spider «самой серьезной киберугрозой для Великобритании за последние годы». Помимо атаки на транспортную систему, за группировкой числится множество других обвинений в преступлениях:

  • рейды на ритейл. В июле 2025 года NCA арестовало еще четверых участников банды, причастных к взломам крупнейших британских торговых сетей, включая Harrods, Marks & Spencer и Co-op;
  • обвинения в США. В сентябре 2025 года Минюст США заочно предъявил обвинения Джубайру. По данным американского следствия, с мая 2022 по сентябрь 2025 года он был причастен ко взлому как минимум 120 сетей в США, включая объекты критической инфраструктуры и суды;
  • шантаж. Всего за один год (с августа 2024 по июль 2025 года) Джубайр и его сообщники вымогали у жертв по всему миру более $115 млн.
  • Около 300 фейковых репозиториев на GitHub распространяли инфостилер

    Хакеры развернули 292 поддельных репозитория на GitHub, замаскированных под популярные антивирусы, утилиты для разработчиков, криптовалютные сервисы и игровые программы. Об этом заявили специалисты Arctic Wolf. 

    Каждый фейковый репозиторий содержал файл README со ссылкой на фишинговый лендинг. Страница загрузки использовала динамические шаблоны и автоматически подстраивала свой дизайн и заголовки под тот бренд, который искала жертва.

    Пользователю предлагалось скачать ZIP-архив, содержимое которого перегенерировалось каждую минуту для обхода анализа сигнатур. Внутри находились апдейтер с цифровой подписью WinGUP и библиотека с трояном libcurl.dll. При запуске вредонос загружался и работал исключительно в оперативной памяти.

    Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности

    Источник: Arctic Wolf.

    Анализ показал, что злоумышленники использовали модифицированную версию стилера BoryptGrab. Вирус не пытался закрепиться в системе и похищал:

  • данные 19 браузеров и 32 криптокошельков;
  • локальные сессии Telegram, Steam и токены Discord;
  • содержимое диспетчера учетных данных Windows;
  • файлы с рабочего стола и из папки «Документы», если их названия связаны с паролями, бэкапами или сид-фразами.
  • Эксперты выделили опасную особенность: вредонос обходит защиту Google Chrome путем прямого внедрения кода в процесс браузера.

    Украденные данные архивируются и отправляются на командный сервер, базирующийся в РФ. К моменту публикации отчета администрация GitHub удалила большую часть мошеннических репозиториев.

    США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud

    Минюст США предъявил трем гражданам РФ обвинения в управлении Bulletproof-хостингами — Media Land и ML.Cloud. 

    По данным следствия, их инфраструктура использовалась крупнейшими программами-вымогателями, включая Lockbit, Blacksuit и Play, и нанесла ущерб организациям по всему миру на сумму свыше $62 млн.

    Хостинги Bulletproof сознательно игнорировали любые жалобы на вредоносную активность и требования правоохранительных органов об удалении контента. Злоумышленники использовали серверы Media Land и ML.Cloud для развертывания командных серверов, проведения фишинговых кампаний, DDoS-атак и распространения вредоносов. При этом их инфраструктура располагалась в разных странах, включая США, Китай, Нидерланды и Финляндию.

    Согласно обвинительному заключению, роли в преступной группе распределялись следующим образом:

  • Александр Волосовик (известный на даркнет-форумах под ником Yalishanda) — являлся владельцем хостинга Media Land;
  • Юлия Панкова — владела ML.Cloud, а также отвечала за юридическое сопровождение и финансовые вопросы;
  • Кирилл Затолокин — занимался сбором платежей от киберпреступников.
  • Деятельность группировки затронула жителей не менее 20 штатов США. В числе пострадавших оказались банки, школы, больницы, правительственные структуры и медиакомпании.

    В связи с этим Госдепартамент объявил награду в размере $10 млн за любую информацию, которая поможет раскрыть связи этих лиц или их компаний с иностранными правительствами, а также за данные об их вредоносной активности.

    В ноябре прошлого года США, Великобритания и Австралия уже ввели жесткие санкции против фигурантов дела и их компаний. В июле к ограничениям официально присоединился ЕС, который включил Media Land, ML.Cloud и Александра Волосовика в свой первый совместный с Великобританией пакет киберсанкций против РФ.

    Один из модулей стилера OkoBot специализировался на краже сид-фраз

    Эксперты «Лаборатории Касперского» обнаружили вредоносный фреймворк OkoBot, атакующий пользователей Windows как минимум с апреля 2025 года. Один из его модулей, SeedHunter, нацелен на кражу сид-фраз у владельцев аппаратных криптокошельков Ledger и Trezor.

    В отличие от большинства вирусов, которые просто удаляют оригинальный софт и подкидывают вместо него фейковую копию, SeedHunter действует тоньше. Он внедряет вредоносный код непосредственно во внутренние процессы уже установленных легитимных приложений Ledger Live и Trezor Suite.

    Модуль сканирует USB-порты компьютера и не проявляет себя до тех пор, пока пользователь физически не подключит аппаратный кошелек к ПК. Как только система распознает устройство, SeedHunter блокирует интерфейс и выводит поверх оригинального приложения поддельное окно с требованием ввести сид-фразу. Поскольку запрос исходит изнутри официальной программы, пользователи теряют бдительность.

    По данным специалистов, OkoBot проникает на устройство жертвы через мошеннические уведомления ClickFix в браузере или троянизированные репозитории на GitHub.

    Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности

    Источник: «Лаборатория Касперского».

    Помимо SeedHunter, фреймворк несет в себе более 20 вредоносных нагрузок для слежки:

  • разворачивает скрытые SSH-туннели и модифицирует системные файлы для невидимого доступа к компьютеру;
  • устанавливает скрытые браузерные расширения (включая стилер Rilide);
  • использует кейлоггеры и тайно записывает видео с экрана в формате MP4 каждый раз, когда жертва открывает парольные менеджеры (1Password), локальные кошельки (Exodus) или вкладки с MetaMask.
  • Исследователи зафиксировали сотни заражений более чем в 25 странах: лидируют Бразилия, Вьетнам, Канада и Мексика. При этом серверы злоумышленников не атакуют IP-адреса из России и стран СНГ, а в коде фишинговых страниц SeedHunter найдены комментарии на русском языке.

    Исследование 85 браузерных криптокошельков указало на трекинг, деанонимизацию и утечку адресов

    Ученые из исследовательской группы DistriNet Левенского католического университета Бельгии проанализировали 85 популярных браузерных криптокошельков с суммарной аудиторией в Chrome Web Store свыше 35 млн пользователей.

    Аудит показал, что архитектура большинства из них позволяет сторонним трекерам связывать адреса пользователей, отслеживать их перемещения по сети и деанонимизировать личность. Эксперты подчеркнули, что речь идет не об уязвимостях или хакерских взломах, а о легитимных функциях и штатном поведении программ.

    В ходе тестов они зафиксировали три ключевые проблемы конфиденциальности:

  • связывание адресов. 17 кошельков передавали данные так, что сервер провайдера мог объединить разные адреса одного пользователя в единый профиль;
  • трекинг после выхода. 36 из 85 кошельков раскрывали сайтам свое присутствие, формируя цифровой отпечаток. При этом многие Web3-приложения и кошельки некорректно отзывали доступ после отключения;
  • деанонимизация через скрытые фреймы. Трекинговый скрипт может незаметно подгрузить доверенное Web3-приложение, получить адрес кошелька и связать его с именем, email или историей посещений пользователя. 
  • Исследователи уведомили разработчиков о проблеме трекинга еще до публикации работы. По состоянию на лето 2026 года исправления внесли только Coinbase Wallet, Coin98 и Hana Wallet. Большинство же крупных игроков отказались признавать уязвимость:

  • MetaMask закрыл отчет как дубликат, назвав проблему «известным нюансом», исправление которого «сломает слишком много существующих Web3-приложений»;
  • Rabby заявил, что для атаки вредоносный скрипт должен одновременно находиться на двух сайтах, что «практически невозможно», а значит, «уязвимости не существует»;
  • OKX признала техническую правоту ученых, но закрыла заявку как «информационную», поскольку данные утекают без прямой кражи денег;
  • Bybit, Backpack и Core классифицировали риски как низкие или выходящие за рамки их программ баг-баунти.
  • Эксперты рекомендовали регулярно открывать настройки расширений и вручную очищать «список подключенных сайтов», а также использовать изолированные профили браузера для разной активности.

    Также на ForkLog:

  • Опрос выявил пробелы в защите корпоративных ИИ-агентов.
  • СМИ: утечка раскрыла источники данных Suno.
  • Summer.fi закроет интерфейс после взлома на $6 млн.
  • Bonzo Lend потерял $9 млн из-за атаки на ценовой оракул.
  • Что почитать на выходных?

    В новом материале ForkLog разобрался, как ончейн-анализ сочетается с разведкой по открытым источникам, какие инструменты используют криптодетективы и где проходит граница между расследованием и слежкой.

    Источник: forklog.com

    Оставьте ответ

    Ваш электронный адрес не будет опубликован.