Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Кейсы
О компании
Контакты
Блог
Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Блог
Контакты
О компании
Новости
Ссылка открывающая меню сайта
Продукты
Кейсы
AFT
AFT
Все продукты
Все продукты
EASM
EASM
CTF
CTF
EDU
EDU
REQ
REQ
AWR
AWR
AFT
EASM
CTF
EDU
REQ
AWR
Обзор новостей информационной безопасности с 8 по 14 августа 2025 года

Дайджест Start X № 430

14 августа 2025
9 минут
эксперт по информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Фишинговая кампания от имени Booking.com использует символ «ん», чтобы обмануть пользователей
Особенности кампании
  1. Атакующие используют японский иероглиф хирагана «ん» (Unicode U+3093), который при беглом взгляде в некоторых шрифтах очень похож на последовательность латинских букв '/n' или '/~'. Это визуальное сходство позволяет мошенникам создавать URL-адреса, которые выглядят как настоящие домены Booking.com, но перенаправляют пользователей на вредоносный сайт.
  2. Текст в электронном письме вводит в заблуждение. Хотя он выглядит как адрес Booking.com, гиперссылка ведёт на: https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
  3. При отображении в адресной строке веб-браузера символы «ん» могут ввести пользователей в заблуждение, заставив их думать, что они переходят по подкаталогу booking.com.
  4. На самом деле зарегистрированный домен — www-account-booking[.]com, это вредоносная подмена, а всё, что было до этого, — просто вводящая в заблуждение строка поддомена.
  5. Жертвы, которые переходят по ссылке, перенаправляются на страницу
  6. www-account-booking[.]com/c.php?a=0, что приводит загрузке и запуску вредоносного MSI-установщика по ссылке https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi.
Специалисты «Доктор Веб» сообщили об атаке группировки Scaly Wolf, нацеленной на неназванную российскую компанию машиностроительного сектор
Особенности кампании
  1. Атака началась в мае 2025 года, когда пострадавшая компания стала постоянно получать электронные письма якобы финансового характера. Они содержали фишинговый PDF-документ, а также защищенный паролем ZIP-архив.
  2. В PDF-приманках говорилось, что поступивший «финансовый документ» якобы находится в прикрепленном архиве, и для его распаковки необходимо использовать указанный в тексте пароль. Причем оформление самих фишинговых PDF-файлов могло быть разным.
  3. Файл в архиве на самом деле являлся исполняемым, но злоумышленники замаскировали его под PDF-документ, присвоив двойное расширение (Акт Сверки.pdf.exe).
  4. Поскольку Windows по умолчанию скрывает расширения для удобства пользователей, потенциальная жертва не видит только последнее (настоящее) и ошибочно воспринимает файл как безобидный.
  5. Заражение начиналось с вредоноса Trojan.Updatar.1, который использовался для развертывания модульного бэкдора Updatar и предназначался для загрузки в целевую систему других компонентов. Бэкдор же используется для получения конфиденциальных данных с заражаемых компьютеров.
Специалисты F6 обнаружили 143 мошеннических сайта, которые прикрываются брендом «Здоровая Россия», а также несуществующей онлайн-клиники
Особенности кампании
  1. На страницах этих сайтов мужчинам и женщинам в возрасте от 35 до 75 лет предлагают получить помощь в избавлении от морщин и нормализации давления, лечении простатита, запоров и проблем с пищеварением, а также повышении потенции.
  2. Пользователям обещают бесплатные консультации специалистов, подбор оптимальной программы «лечения» и «восстановления», а также «все виды анализов».
  3. Для получения всех этих благ требуется указать имя и номер телефона.
  4. После этого жертве перезванивает «специалист» для проведения бесплатной консультации.
  5. Далее под видом врачебных рекомендаций пользователю предлагают по программе «индивидуального лечения» приобрести лекарственные средства или БАДы. Как правило, злоумышленники утверждают, что предлагаемые препараты не продаются в аптеках, а распространяются только дистанционно.
Новый сценарий телефонных мошенников использует тему актуализации данных в реестре электронных повесток
Особенности кампании
  1. Мошенники звонят жертвам и представляются сотрудниками военкоматов
  2. Используя срочность и психологическое давление, они пытаются получить коды из СМС для доступа к личным кабинетам граждан на портале «Госуслуги».
  3. Распознать злоумышленников можно по использованию мобильных номеров, в то время как госучреждения обычно звонят со стационарных городских номеров.
  4. Реальные звонки от военкоматов и других государственных органов носят информационный характер и не требуют срочных действий. Законное взаимодействие с гражданами происходит через официальные бумажные или электронные повестки, а один только телефонный звонок юридической силы не имеет.
Губернатор Санкт-Петербурга Александр Беглов предупредил жителей о новой схеме мошенничества с использованием дипфейка
Особенности кампании
  1. Жители Северной столицы получают в соцсетях и мессенджерах приглашения на персональную видеоконференцию с губернатором.
  2. Злоумышленники используют технологии ИИ, чтобы правдоподобно копировать голос и изображение.
  3. Под предлогом регистрации на видеоконференции у граждан выманивают личные данные и коды для входа в Госуслуги.
Александр Беглов призвал игнорировать такие письма и заявил, что должностные лица никогда не запрашивают личные данные или СМС-коды по телефону или в мессенджерах

Инциденты

Компания Manpower из Лансинга, штат Мичиган, сообщила, что утечка данных, вызванная атакой программы-вымогателя, затронула около 140 000 человек
Киберпреступники имели доступ к сети Manpower с 29 декабря 2024 года по 12 января 2025 года. За это время они похитили файлы, содержащие личную информацию.

22 января группа вымогателей RansomHub опубликовала на своём сайте информацию о компании Manpower, заявив, что похитила 500 ГБ данных, и приведя в качестве доказательства различные типы файлов.

Хакеры утверждали, что похитили кадровые, финансовые, маркетинговые и другие корпоративные документы, а также базы данных и другие файлы, содержащие личную информацию.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
В результате кибератаки у Колумбийского университета была похищена личная информация более чем 860 000 человек
24 июня в университете произошел сбой в работе ИТ-систем, а 1 июля стало известно, что причиной стали хакеры, которые, возможно, похитили данные из сети.

В обновлении от 5 августа Колумбийский университет сообщил, что злоумышленники получили доступ к информации о студентах и абитуриентах, в том числе к файлам, связанным с зачислением, регистрацией и финансовой помощью. Хакеры также получили доступ к личным данным некоторых сотрудников.

Утечка информации включает в себя контактные данные, номера социального страхования, демографические данные, сведения об образовании, информацию о финансовой помощи, данные о страховке и некоторые медицинские данные.

Хакеры не получили доступ к медицинским картам пациентов Медицинского центра Ирвинга при Колумбийском университете, подчеркнули в университете.
Расследование продолжается, но университет считает, что злоумышленники получили несанкционированный доступ к его системам примерно 16 мая.

В описании инцидента, предоставленном организацией, говорится о том, что она могла стать жертвой атаки с использованием программы-вымогателя, однако ни одна группировка не заявила о причастности.
Французская телекоммуникационная компания Bouygues Telecom стала жертвой кибератаки, в результате которой была скомпрометирована личная информация миллионов клиентов
Компания обнаружила кибератаку 4 августа. Расследование показало, что хакеры получили доступ к информации, связанной с аккаунтами некоторых клиентов, включая контактные данные, информацию о контрактах и номера банковских счетов (IBAN). Пострадали как частные лица, так и компании.

Компания заявила, что инцидент затронул 6,4 миллиона клиентов. Они получают уведомления по электронной почте или в виде текстовых сообщений и призываются быть бдительными в отношении мошеннических электронных писем или звонков с просьбой предоставить их данные. В заявлении также отмечено, что что пароли и данные платёжных карт не были скомпрометированы.
Утечка данных кредитного союза Connex из штата Коннектикут затронула 172 000 человек
Вторжение было обнаружено 3 июня, а расследование показало, что злоумышленник имел доступ к системам компании в период со 2 по 3 июня.

В файлах, которые могли быть загружены киберпреступниками, хранилась такая информация, как имена, номера счетов, данные дебетовых карт, номера социального страхования и государственные идентификационные номера, используемые для открытия счетов.

В Connex заявили, что нет никаких доказательств несанкционированного доступа к учётным записям или средствам участников.

На сайте компании в настоящее время отображается предупреждение о мошеннических звонках и текстовых сообщениях, в которых злоумышленники выдают себя за сотрудников Connex, чтобы получить PIN-коды, пароли и номера счетов.

Неясно, кто стоит за атакой на Connex и была ли это атака с использованием программы-вымогателя. Ни одна вымогательская группировка пока не взяла ответственность за инцидент.

Что еще почитать

Дайджест Start X № 429
Взломанные пользователи Диадок рассылают вирус. Мошенники обещают быстро и недорого пригнать автомобиль из Китая. Хакеры взломали Google, Adidas, Chanel по телефону. Сотрудник Cisco назвал хакеру код по телефону. Утечка данных авиакомпаний Air France и KLM.
Дайджест Start X № 428
Фиктивные виртуальные кредитки. Новые атаки на российские организации. Взлом систем телеком-оператора Orange. Утечки данных анонимной платформы для женщин. Кибератаки нарушили работу аптечных сетей и сети клиник. Замена домофона обошлась в 63 млн рублей. Кибератака на Аэрофлот
Дайджест Start X № 427
Новое мошенничество c удалённой работой. Кибершпионы атакуют российский авиапром. Уязвимость в SharePoint под прицелом. ИИ-помощнику удаляет данные на компьютерах пользователей. Первый дропер. Будет ли Dell платить выкуп за синтетические данные чс демо-платформы
Дайджест Start X № 426
Инвестиционные мошенники атакуют рождённых в СССР. Глобальный сбой Microsoft Outlook. Утечка данных покупателей Louis Vuitton в Великобритании. Технический сбой СБП. Episource сообщила о компрометации 5,4 млн медицинских карт. Ликвидация вымогательской группировки «Diskstation». Утечка данных Nippon Steel Solutions
Дайджест № 425
Мошенники выманивают деньги и личные данные под видом продажи онлайн-полисов ОСАГО. Ограбление криптовалютной биржи GMX. Создатель Flipper Zero стал жертвой фишинга. Хакер шантажирует испанскую телеком-компанию
Дайджест № 424
Фальшивые интернет-магазины известных брендов. Дроперство через букмейкеров. Атака на владельцев Ethereum. СМС-бластер обходит все фильтры. Стационарные телефоны несут угрозу. Атаки на авиакомпании. Взлом систем МУС
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.