Обзор новостей информационной безопасности с 20 по 26 июня 2025 года

Дайджест Start X № 423

26 июня 2025
6 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Как действуют преступники
Злоумышленники могут предлагать: поставить дополнительную печать в российском паспорте; сообщить паспортные данные для записи в электронную очередь или дистанционного оформления талона. После этого этапа с жертвой уже могут связаться псевдопредставители других ведомств.
Особенности кампании
  1. Мошенники подготовили модифицированный установщик NetExtender версии 10.3.2.27. Он визуально полностью копировал оригинальное приложение, что позволяло легко вводить пользователей в заблуждение.
  2. Ключевым отличием стала цифровая подпись — её подделали, указав фиктивную организацию «CITYLIGHT MEDIA PRIVATE LIMITED». Сайт для загрузки этого вредоносного ПО также был фальшивым и внешне напоминал официальный ресурс SonicWall.
  3. Попав на поддельный сайт, пользователи загружали не настоящее приложение для безопасного соединения, а вредоносный аналог.
  4. После установки программа незаметно похищала данные конфигурации VPN — логины, пароли, домены и другую информацию — и отправляла их на удалённый сервер, управляемый злоумышленниками.

Инциденты

Проблема заключается в том, что на сайте поддержки компании любой желающий мог открыть тикет, указав лишь произвольный адрес электронной почты и тему письма. После этого система автоматически отправляет на указанный email номер заявки и использует ее название в качестве темы письма.

Злоумышленники злоупотребили этой функцией, рассылая пользователям тикеты с фишинговыми заголовками. Например «[СРОЧНО]: vault.trezor.guide — Создайте хранилище Trezor прямо сейчас, чтобы защитить активы, которые могу быть под угрозой».

Поскольку письма приходили с официального адреса help@trezor.io, для получателей они выглядели подлинными, однако в теме сообщений содержались фальшивые предупреждения и ссылка на мошеннический сайт. Пользователи, перешедшие по этой ссылке, попадали на фишинговую страницу, где их просили предоставить данные кошелька.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Как сообщила Ирина Волк, официальный представитель Министерства внутренних дел, деятельность этой группы охватывала три региона России: Москву, Ставропольский край и республику Кабардино-Балкарию.

Злоумышленники использовали персональные данные, включая номера полисов медицинского страхования, чтобы оформлять на случайных людей медицинские карты в подконтрольных частных клиниках. В эти карты вносились ложные сведения об оказанных услугах. Затем эти данные отправлялись в Фонд обязательного медицинского страхования, который производил выплаты за якобы оказанные услуги. Полученные средства участники группы присваивали себе.

С 2021 года сумма хищений превысила 50 миллионов рублей. По факту совершённого преступления было возбуждено уголовное дело по статье 159 часть 4 УК РФ (мошенничество в особо крупном размере). Все участники группы были задержаны.

В их жилищах и клиниках, расположенных в Москве, Ставрополе и Нальчике, были проведены обыски. В ходе следственных действий были изъяты документы, средства связи, цифровые носители и компьютерная техника.
Примерно 5 августа 2024 года компания McLaren узнала о подозрительной активности в инфраструктуре и немедленно активировала процессы экстренного реагирования. Кроме того, McLaren начала расследование с привлечением сторонних специалистов по криминалистике, чтобы обезопасить свою сеть и определить характер и масштабы деятельности.

В ходе расследования было установлено, что в период с 17 июля 2024 года по 3 августа 2024 года неизвестные получили несанкционированный доступ к сети и похитили файлы, содержащие личную информацию и конфиденциальные медицинские данные физических лиц: имя, номер социального страхования, номер водительского удостоверения, медицинские данные и информацию о медицинском страховании.

Представитель Макларен сообщил, в результате инцидента с безопасностью пострадали 743 131 человек. Медицинская организация предоставляет пострадавшим 12 месяцев бесплатного мониторинга кредитной истории, а также рекомендации о том, как защитить себя от мошенничества и кражи личных данных.
Клапан оставался в открытом положении около четырёх часов прежде чем вмешательство было обнаружено. При этом поток воды превышал установленный минимум лишь на 497 литров в секунду, тогда как русло реки способно было принять до 20 000 литров в секунду. Ситуация не угрожала людям или инфраструктуре, но показала, насколько критическая инфраструктура уязвима перед интернет-атаками.

Удачный взлом стал возможен из-за использования простого пароля для веб‑панели управления клапаном. Пока неясно, было ли открытие клапана на полную мощность намеренным или случайным.
В пятницу, 20 июня 2025 года посетители CoinMarketCap заметили странные всплывающие окна, которые предлагали им подключить свои кошельки к сайту. Если пользователи следовали инструкциям, вредоносный скрипт похищал у них криптовалюту.

Злоумышленники использовали уязвимость в анимированном логотипе компании на главной странице сайта и внедрили на страницы ресурса вредоносный JavaScript.

Когда пользователь заходил на страницу, скрипт выполнялся и отображал фальшивое всплывающее окно для подключения кошелька, имитируя легитимный запрос на Web3-транзакцию. Однако на самом деле скрипт был предназначен для кражи активов из подключенных кошельков.

Это была атака на цепочку поставок, то есть взлом был направлен не на собственные серверы CoinMarketCap, а на сторонний инструмент или ресурс, используемый CoinMarketCap. Такие атаки сложно обнаружить, поскольку они используют доверенные элементы платформы.

Позже выяснилось, что у 110 жертв было украдено 43 266 долларов США в криптовалюте, а участники атаки говорили на французском языке в своем Telegram-канале.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.