Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности

security_new4

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки.
  • Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона.
  • Около 300 фейковых репозиториев на GitHub распространяли инфостилер.
  • США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud.

Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки

Эксперты SlowMist раскрыли комплексный подход для кражи криптовалют инфостилера для macOS. По их данным, вредонос перехватывает авторизованные сессии в мессенджерах и атакует как программные, так и аппаратные кошельки. 

Попав на устройство, вирус собирал конфиденциальные данные: пароли из связки ключей macOS Keychain, файлы cookie из Safari, скрытые записи в Apple Notes, а также базы данных более десятка криптокошельков и браузерных расширений.

Как действует вредонос:

  • кража аккаунтов в обход 2FA. Вирус копирует файлы локальной сессии Telegram Desktop. Эти данные позволяют хакерам зайти в аккаунт жертвы на другом Mac без ввода номера телефона, СМС-кода или пароля двухфакторной аутентификации, так как система воспринимает подключение как продолжение уже авторизованной сессии;
  • фишинг. ПО заменяет легитимные приложения для управления аппаратными кошельками (Ledger Live и Trezor Suite) на их точные копии. Их единственная цель — обманом заставить пользователя ввести сид-фразу.

По данным специалистов, украденные базы данных злоумышленники расшифровывают в офлайн-режиме, используя пароли, извлеченные из зараженного Mac.

Под прицелом инфостилера оказались кошельки Exodus, Atomic, Electrum, Wasabi, Monero, а также клиенты полных нод (Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core).

В SlowMist призвали пользователей, подозревающих компрометацию своего Mac, немедленно принудительно завершить все активные сеансы в настройках Telegram, заново авторизоваться и сменить пароли. Для сохранения криптоактивов эксперты посоветовали сгенерировать новую сид-фразу на чистом устройстве и экстренно перевести туда все средства.

Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона

Суд приговорил двух ключевых участников хакерской группировки Scattered Spider к пяти годам и шести месяцам тюремного заключения. Об этом сообщает Национальное криминальное агентство Великобритании (NCA).

20-летний Тальха Джубайр и 18-летний Оуэн Флауэрс признаны виновными во взломе IT-инфраструктуры Управления транспорта Лондона (TfL) в августе 2024 года.

Атака на TfL, обеспечивающее работу транспорта для 8,4 млн лондонцев, привела к масштабному сбою: из строя вышли 148 внутренних систем, отключились сервисы Dial-a-Ride, заказ льготных проездных, цифровые платежи и система возврата средств. Всем 27 000 сотрудникам ведомства пришлось менять пароли на рабочих местах. 

Прямой ущерб и затраты на восстановление инфраструктуры TfL составили £29 млн. По оценкам властей, если бы хакерам удалось полностью остановить транспортную сеть, экономика Великобритании могла потерять до £56 млрд.

Оба злоумышленника арестованы сотрудниками NCA в сентябре 2024 года, спустя две недели после взлома. В ходе обысков на устройствах Флауэрса нашли не только улики по делу TfL, но и доказательства подготовки кибератак на американские медицинские компании Sutter Health и SSM Health Care Corporation.

В NCA назвали Scattered Spider «самой серьезной киберугрозой для Великобритании за последние годы». Помимо атаки на транспортную систему, за группировкой числится множество других обвинений в преступлениях:

  • рейды на ритейл.В июле 2025 года NCA арестовало еще четверых участников банды, причастных к взломам крупнейших британских торговых сетей, включая Harrods, Marks & Spencer и Co-op;
  • обвинения в США.В сентябре 2025 года Минюст США заочно предъявил обвинения Джубайру. По данным американского следствия, с мая 2022 по сентябрь 2025 года он был причастен ко взлому как минимум 120 сетей в США, включая объекты критической инфраструктуры и суды;
  • шантаж.Всего за один год (с августа 2024 по июль 2025 года) Джубайр и его сообщники вымогали у жертв по всему миру более $115 млн.

Около 300 фейковых репозиториев на GitHub распространяли инфостилер

Хакеры развернули 292 поддельных репозитория на GitHub, замаскированных под популярные антивирусы, утилиты для разработчиков, криптовалютные сервисы и игровые программы. Об этом заявили специалисты Arctic Wolf

Каждый фейковый репозиторий содержал файл README со ссылкой на фишинговый лендинг. Страница загрузки использовала динамические шаблоны и автоматически подстраивала свой дизайн и заголовки под тот бренд, который искала жертва.

Пользователю предлагалось скачать ZIP-архив, содержимое которого перегенерировалось каждую минуту для обхода анализа сигнатур. Внутри находились апдейтер с цифровой подписью WinGUP и библиотека с трояном libcurl.dll. При запуске вредонос загружался и работал исключительно в оперативной памяти.

image

Анализ показал, что злоумышленники использовали модифицированную версию стилера BoryptGrab. Вирус не пытался закрепиться в системе и похищал:

  • данные 19 браузеров и 32 криптокошельков;
  • локальные сессии Telegram, Steam и токены Discord;
  • содержимое диспетчера учетных данных Windows;
  • файлы с рабочего стола и из папки «Документы», если их названия связаны с паролями, бэкапами или сид-фразами.

Эксперты выделили опасную особенность: вредонос обходит защиту Google Chrome путем прямого внедрения кода в процесс браузера.

Украденные данные архивируются и отправляются на командный сервер, базирующийся в РФ. К моменту публикации отчета администрация GitHub удалила большую часть мошеннических репозиториев.

США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud

Минюст США предъявил трем гражданам РФ обвинения в управлении Bulletproof-хостингами — Media Land и ML.Cloud. 

По данным следствия, их инфраструктура использовалась крупнейшими программами-вымогателями, включая Lockbit, Blacksuit и Play, и нанесла ущерб организациям по всему миру на сумму свыше $62 млн.

Хостинги Bulletproof сознательно игнорировали любые жалобы на вредоносную активность и требования правоохранительных органов об удалении контента. Злоумышленники использовали серверы Media Land и ML.Cloud для развертывания командных серверов, проведения фишинговых кампаний, DDoS-атак и распространения вредоносов. При этом их инфраструктура располагалась в разных странах, включая США, Китай, Нидерланды и Финляндию.

Согласно обвинительному заключению, роли в преступной группе распределялись следующим образом:

  • Александр Волосовик(известный на даркнет-форумах под ником Yalishanda) — являлся владельцем хостинга Media Land;
  • Юлия Панкова— владела ML.Cloud, а также отвечала за юридическое сопровождение и финансовые вопросы;
  • Кирилл Затолокин— занимался сбором платежей от киберпреступников.

Деятельность группировки затронула жителей не менее 20 штатов США. В числе пострадавших оказались банки, школы, больницы, правительственные структуры и медиакомпании.

В связи с этим Госдепартамент объявил награду в размере $10 млн за любую информацию, которая поможет раскрыть связи этих лиц или их компаний с иностранными правительствами, а также за данные об их вредоносной активности.

В ноябре прошлого года США, Великобритания и Австралия уже ввели жесткие санкции против фигурантов дела и их компаний. В июле к ограничениям официально присоединился ЕС, который включил Media Land, ML.Cloud и Александра Волосовика в свой первый совместный с Великобританией пакет киберсанкций против РФ.

Один из модулей стилера OkoBot специализировался на краже сид-фраз

Эксперты «Лаборатории Касперского» обнаружили вредоносный фреймворк OkoBot, атакующий пользователей Windows как минимум с апреля 2025 года. Один из его модулей, SeedHunter, нацелен на кражу сид-фраз у владельцев аппаратных криптокошельков Ledger и Trezor.

В отличие от большинства вирусов, которые просто удаляют оригинальный софт и подкидывают вместо него фейковую копию, SeedHunter действует тоньше. Он внедряет вредоносный код непосредственно во внутренние процессы уже установленных легитимных приложений Ledger Live и Trezor Suite.

Модуль сканирует USB-порты компьютера и не проявляет себя до тех пор, пока пользователь физически не подключит аппаратный кошелек к ПК. Как только система распознает устройство, SeedHunter блокирует интерфейс и выводит поверх оригинального приложения поддельное окно с требованием ввести сид-фразу. Поскольку запрос исходит изнутри официальной программы, пользователи теряют бдительность.

По данным специалистов, OkoBot проникает на устройство жертвы через мошеннические уведомления ClickFix в браузере или троянизированные репозитории на GitHub.

image

Помимо SeedHunter, фреймворк несет в себе более 20 вредоносных нагрузок для слежки:

  • разворачивает скрытые SSH-туннели и модифицирует системные файлы для невидимого доступа к компьютеру;
  • устанавливает скрытые браузерные расширения (включая стилер Rilide);
  • использует кейлоггеры и тайно записывает видео с экрана в формате MP4 каждый раз, когда жертва открывает парольные менеджеры (1Password), локальные кошельки (Exodus) или вкладки с MetaMask.

Исследователи зафиксировали сотни заражений более чем в 25 странах: лидируют Бразилия, Вьетнам, Канада и Мексика. При этом серверы злоумышленников не атакуют IP-адреса из России и стран СНГ, а в коде фишинговых страниц SeedHunter найдены комментарии на русском языке.

Исследование 85 браузерных криптокошельков указало на трекинг, деанонимизацию и утечку адресов

Ученые из исследовательской группы DistriNet Левенского католического университета Бельгии проанализировали 85 популярных браузерных криптокошельков с суммарной аудиторией в Chrome Web Store свыше 35 млн пользователей.

Аудит показал, что архитектура большинства из них позволяет сторонним трекерам связывать адреса пользователей, отслеживать их перемещения по сети и деанонимизировать личность. Эксперты подчеркнули, что речь идет не об уязвимостях или хакерских взломах, а о легитимных функциях и штатном поведении программ.

В ходе тестов они зафиксировали три ключевые проблемы конфиденциальности:

  • связывание адресов.17 кошельков передавали данные так, что сервер провайдера мог объединить разные адреса одного пользователя в единый профиль;
  • трекинг после выхода.36 из 85 кошельков раскрывали сайтам свое присутствие, формируя цифровой отпечаток. При этом многиеWeb3-приложения и кошельки некорректно отзывали доступ после отключения;
  • деанонимизация через скрытые фреймы.Трекинговый скрипт может незаметно подгрузить доверенное Web3-приложение, получить адрес кошелька и связать его с именем, email или историей посещений пользователя.

Исследователи уведомили разработчиков о проблеме трекинга еще до публикации работы. По состоянию на лето 2026 года исправления внесли только Coinbase Wallet, Coin98 и Hana Wallet. Большинство же крупных игроков отказались признавать уязвимость:

  • MetaMask закрыл отчет как дубликат, назвав проблему «известным нюансом», исправление которого «сломает слишком много существующих Web3-приложений»;
  • Rabby заявил, что для атаки вредоносный скрипт должен одновременно находиться на двух сайтах, что «практически невозможно», а значит, «уязвимости не существует»;
  • OKX признала техническую правоту ученых, но закрыла заявку как «информационную», поскольку данные утекают без прямой кражи денег;
  • Bybit, Backpack и Core классифицировали риски как низкие или выходящие за рамки их программ баг-баунти.

Эксперты рекомендовали регулярно открывать настройки расширений и вручную очищать «список подключенных сайтов», а также использовать изолированные профили браузера для разной активности.

Также на ForkLog:

  • Опросвыявилпробелы в защите корпоративных ИИ-агентов.
  • СМИ: утечкараскрылаисточники данных Suno.
  • Summer.fiзакроетинтерфейс после взлома на $6 млн.
  • Bonzo Lendпотерял$9 млн из-за атаки на ценовой оракул.

Что почитать на выходных?

В новом материале ForkLog разобрался, как ончейн-анализ сочетается с разведкой по открытым источникам, какие инструменты используют криптодетективы и где проходит граница между расследованием и слежкой.

Источник: https://forklog.com/news/prigovor-hakeram-scattered-spider-ataki-na-apparatnye-koshelki-i-drugie-sobytiya-kiberbezopasnosti

Наверх