Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Кейсы
О компании
Контакты
Блог
Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Блог
Контакты
О компании
Новости
Ссылка открывающая меню сайта
Продукты
Кейсы
AFT
AFT
Все продукты
Все продукты
EASM
EASM
CTF
CTF
EDU
EDU
REQ
REQ
AWR
AWR
Обзор новостей информационной безопасности с 4 по 10 апреля 2025 года

Дайджест Start X № 416

10 апреля 2025
7 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Злоумышленники используют рекламные объявления на платформе Google Ads для распространения вредоноса Gootloader среди юристов, которые ищут шаблоны документов
Как действуют преступники
  1. Злоумышленники приобрели домен, оформили хостинг и настроили инфраструктуру для распространения вредоноса.
  2. Используя взломанный рекламный аккаунт британской компании Med Media Group Ltd, они разместили объявления на платформе Google Ads.
  3. Реклама предлагает популярные юридические шаблоны — например, для соглашений о неразглашении.
  4. Кликнув на рекламу, пользователь попадает на сайт злоумышленников «lawliner[.]com». Там ему предлагают ввести адрес электронной почты, на который позже приходит письмо с якобы нужным документом.
  5. Приложенный документ — архив с файлом JavaScript, замаскированным под нужный шаблон. После распаковки архива и запуска файл активирует вредоносный код, создающий запланированную задачу в системе.
  6. Эта задача запускает PowerShell-скрипт, собирающий информацию об устройстве: от названий процессов и файлов на рабочем столе до переменных окружения и доступного места на дисках.
  7. Данные отправляются на несколько доменов, часть из которых — скомпрометированные блоги WordPress, перенаправляющие информацию на командный сервер хакеров. Остальные домены являются фальшивыми, имитирующими легитимные ресурсы, но участвующими в передаче данных злоумышленникам.
Компания F6 предупреждает о новом сценарии мошенничества с арендой жилья на российских курортах
Особенности кампании
  1. Мошенники размещают в соцсетях короткие видео с выгодными предложениями. Например, «Апартаменты в Сочи / Светлогорске. 5 минут до моря. От 3000 ₽ в сутки».
  2. Для публикации злоумышленники обычно используют недавно созданные аккаунты с накрученными просмотрами. Ролик выглядит как видеообзор квартиры или слайд-шоу из фотографий, которые находят в интернете.
  3. Цену на аренду указывают ниже рыночной или обещают заманчивые скидки. Например, «Квартира в центре за 2000 ₽ в сутки вместо 5000 ₽».
  4. В переписке мошенники сообщают, что предоплата не требуется: потенциальной жертве предлагают «безопасное бронирование» через известный сервис.
  5. Преступники используют поддельные ресурсы, имитирующие популярные российские сервисы для бронирования отелей и квартир.
  6. В переписке злоумышленники уверяют, что работают «без серых схем» и «только официально», предоплата в один рубль нужна для «гарантии» намерений клиента, остальную сумму автоматически спишут при заселении. Если потенциальный арендатор соглашается на такие условия, ему присылают ссылку на фейковый ресурс, внешне похожий на страницу известного сервиса.
  7. При переходе по ссылке пользователи устройств на iOS видят страницу фейкового сервиса с фотографиями квартиры, ценой и кнопкой «Забронировать». После выбора дат заселения отображается сумма аренды. После нажатия кнопки «Оплатить» — страница с формой для ввода данных банковской карты, а затем — кода из СМС. Мошенники могут попросить прислать им код или скриншот с кодом в личные сообщения.
  8. Пользователи устройств на Android при переходе по ссылке от мошенников вначале увидят такие же страницы фейкового ресурса с фотографиями квартирами, ценой, номером объекта и выбором дат для бронирования. Но после нажатия кнопки «Оплатить» их перенаправят на фейковый Google Play с предложением установить «фирменное» приложение сервиса для продолжения бронирования.
  9. Если пользователь установит программу, ему предложат ввести данные банковской карты и код из СМС. На самом деле это приложение — вредоносная программа, которая позволяет перехватывать данные банковской карты и СМС, отправлять сообщения и передавать злоумышленникам информацию, которую владелец вводит на своём телефоне.
  10. После ввода кода из СМС преступники получают возможность списать все деньги со счёта жертвы.
Злоумышленники взламывают корпоративные учетные записи для email-маркетинга Mailchimp, SendGrid, HubSpot, Mailgun и Zoho и рассылают мошеннические письма пользователям Coinbase и Ledger
Особенности кампании
  1. Хакеры выявляют жертв, имеющих доступ к CRM и email-платформам для массовых рассылок.
  2. Затем эти люди подвергаются целенаправленным фишинговым атакам: письма отправляются с поддельных адресов, а ссылки в них ведут на фальшивые страницы входа, которые тщательно замаскированы, чтобы казаться легитимными. К примеру, в письмах, адресованных клиентам MailChimp, злоумышленники использовали домены mail-chimpservices[.]com, mailchimp-sso[.]com и mailchimp-ssologin[.]com.
  3. Если атака удалась и учетные данные получены, злоумышленники экспортируют списки рассылки и генерируют новые API-ключи, чтобы сохранить доступ к взломанному аккаунту, даже если жертва быстро сменит пароль.
  4. Затем взломанная учетная запись используется для массовой рассылки фишинговых писем на криптовалютную тематику, в которых пользователям сообщают, что им нужно срочно выполнить определённые действия.
  5. Например, в посланиях может содержаться уже готовая seed-фраза для кошелька Coinbase, и пользователю предлагается ввести её в новый криптокошелек в рамках обновления или миграции. Если человек последует этой инструкции и переведет деньги в новый кошелек с новой seed-фразой, по сути, он предоставит злоумышленникам доступ ко всем своим средствам.
Злоумышленники атакуют отели фальшивыми письмами от Booking.com
Особенности кампании
  1. Фишинговая атака начинается с письма, визуально неотличимого от настоящих уведомлений Booking.com. Внутри — ссылка, якобы подтверждающая бронирование.
  2. При переходе по ссылке пользователь попадает на поддельную страницу входа в систему, где его просят пройти CAPTCHA.
  3. CAPTCHA не проверяет человечность пользователя. Она используется для копирования вредоносной команды в буфер обмена, после чего предлагается вставить её в командную строку Windows. Таким образом на устройство загружается троянская программа, обеспечивающая злоумышленникам удалённый доступ к системе отеля. Эта тактика широко известна под названием ClickFix.
  4. Цель мошенников — персональные данные клиентов, информация о бронированиях и платёжные сведения. Получив доступ к одному устройству, киберпреступники могут скомпрометировать всю сеть отеля, похитить тысячи записей и выставить их на продажу в даркнете. В некоторых случаях в ход идёт шифровальщик, блокирующий доступ к системе до момента выплаты выкупа.
  5. Среди доменов, задействованных в атаке, названы «vencys[.]com», «bokcentrpart[.]com» и «captpart[.]info». Первый используется для рассылки фальшивых писем, второй размещает страницу с обманной CAPTCHA, третий — источник загрузки вредоносного кода.
Злоумышленники выманивают у граждан деньги под предлогом оплаты «таможенных пошлин»
Особенности кампании
  1. На маркетплейсах и в торгующих импортными товарами Telegram-каналах они распространяют поддельный документ ФТС, якобы устанавливающий необходимость проведения таможенного платежа.
  2. Текст документа указывает на необходимость оплаты 25 000 рублей, разделенных на комиссию агента (14 000 рублей) и ТК (11 000 рублей),
  3. Оплатить комиссию предлагается переводом на банковскую карту или по СБП.
  4. На самом деле таможенная пошлина взимаются только при превышении беспошлинных лимитов. Уплатить её можно онлайн или при получении посылки.

Запрос на предварительную оплату на карту физического или юридического лица — это мошенничество. Кроме ФТС, ни одна другая организация, частное лицо или компания не имеет юридического права требовать оплату таможенных пошлин или сборов от физических лиц.

Инциденты

Мэрия Балтимора перевела мошеннику 1,5 млн долларов США в результате BEC-атаки
Злоумышленник, выдав себя за подрядчика, подменил банковские реквизиты в счетах на оплату и перенаправил средства себе.

Мошенничество было раскрыто в марте, когда банк сообщил о двух крупных переводах с городского счёта — на 803 000 и 721 000 долларов США. Вторая сумма была заморожена и возвращена, но первая транзакция, проведённая ещё в феврале, так и не была восстановлена.

Преступник в течение нескольких месяцев вёл переписку с городскими финансистами, выдавая себя за сотрудника подрядной организации. Он предоставил поддельные документы, включая аннулированные чеки и ИНН компании. Завоевав доверие, мошенник убедил финансистов мэрии изменить платёжные реквизиты в базе.

Балтимор активно переводил платёжные процессы в цифровую форму, однако удобства стали уязвимостью: мошенник использовал доступные онлайн-документы и стандартную процедуру изменения реквизитов, не вызвав подозрений. Действия злоумышленника не отличались от типичного поведения настоящих подрядчиков.
Хакеры iEM Group нарушили работу сайта Роскомнадзора
По данным сервиса Downdetector, пик перебоев пришёлся на промежуток между 14:45 и 15:30 по московскому времени. Атака затронула пользователей в Центральной России, Краснодарском крае и Татарстане. Жалобы касались невозможности открыть сайт Роскомнадзора, а также сбоев при попытках отправить уведомления — даже в те моменты, когда сайт был доступен. К 16:00 работа ресурса была полностью восстановлена.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Хакеры получили доступ к электронным письмам сотрудников американского финансового регулятора и больше года контролировали переписку
Утечка затронула примерно 150 тысяч сообщений, включая вложения, содержащие информацию о состоянии банков, поднадзорных Управлению контролёра денежного обращения США (OCC).

Для проникновения использовалась скомпрометированная учётная запись администратора почтовой системы OCC.

Переписка содержала конфиденциальные данные о финансовом положении организаций, подлежащих проверке, а также внутреннюю аналитику регулятора. Под наблюдение хакеров попали почтовые ящики заместителей главного контролёра, международных надзорных групп и других ключевых сотрудников.

Пока не установлено, кто стоит за атакой.
Группировка Jabaroot заявила о взломе Национального фонда социального обеспечения Марокко и краже конфиденциальных данных граждан
Мотив, стоящий за утечкой данных, остаётся неясным, но масштабы компрометации уже привлекли внимание сообщества кибербезопасности и экспертов по конфиденциальности в регионе. Утечка может быть расценена как крупнейшая кибератака по количеству жертв в Марокко.

Национальный фонд социального обеспечения Марокко (CNSS), или Caisse Nationale de Sécurité Sociale, — это государственное учреждение, отвечающее за управление системой обязательного социального обеспечения для наёмных работников в частном секторе Марокко, которая включает медицинское страхование, пособия по инвалидности и пенсии. Такие фонды хранят значительный объём цифровой информации о гражданах. Утечка данных такого масштаба может оказать негативное и долгосрочное влияние на личные данные граждан, что может привести к риску мошенничества и кражи личных данных.

Что еще почитать

Дайджест Start X № 414
Актуальные киберкампании и инциденты информационной безопасности с 21 по 27 марта 2025 года
Дайджест Start X № 413
Актуальные киберкампании и инциденты информационной безопасности с 14 по 20 марта 2025 года
Дайджест Start X № 412
Актуальные киберкампании и инциденты информационной безопасности с 7 по 13 марта 2025 года
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.