Дайджест Start X № 454

Исследователи из команды Howler Cell (компания Cyderes) обнаружили масштабную вредоносную кампанию, в которой вирус прячется внутри установщиков пиратских игр. Игра при этом запускается и работает нормально — поэтому человек даже не подозревает, что заражён. Вредоносная программа называется RenEngine Loader: её задача — незаметно загрузить на компьютер следующие компоненты, которые крадут пароли, данные банковских карт и другую личную информацию.

Кампания активна как минимум с апреля 2025 года. Вредоносный код маскируется под обычную часть игрового движка Ren’Py — для пользователя заражение выглядит как нормальная установка. После запуска загрузчик подтягивает дополнительные модули и в итоге устанавливает программу-похититель данных (ACR Stealer), которая вытаскивает из браузера сохранённые пароли, файлы-куки, данные криптокошельков и информацию о системе. Среди игр-приманок — популярные серии: Far Cry, FIFA, Need for Speed, Assassin’s Creed.

Масштаб впечатляет: по данным исследования, зафиксировано около 400 тысяч обращений к серверу злоумышленников, ежедневно добавляется примерно 5 тысяч новых случаев. Россия входит в четвёрку наиболее затронутых стран (после Индии, США и Бразилии). «Лаборатория Касперского» подтвердила данные Cyderes и опубликовала собственный анализ на Securelist.

Программа-похититель паролей — это не просто «неудобно». Почта, социальные сети, маркетплейсы, банки, облачные хранилища с фотографиями — всё может утечь за один вечер. Часто человек узнаёт об этом не по уведомлению антивируса, а по списаниям денег или подозрительным входам в аккаунты.

Не устанавливайте пиратские сборки и «кряки» — это один из самых популярных способов доставки вредоносных программ. Если уже ставили — запустите полную проверку антивирусом, обновите систему, смените пароли (начните с почты), включите двухфакторную защиту и проверьте активные сессии в ключевых сервисах. «Я аккуратно скачиваю» обычно заканчивается на первой хорошо замаскированной раздаче.

Источник: Cyderes (Howler Cell), 4 февраля 2026; Kaspersky (Securelist), 11 февраля 2026.

Аналитики Google Threat Intelligence Group опубликовали отчёт об угрозах для оборонной промышленности, в котором отдельно выделили атаки через поддельные вакансии. Злоумышленники представляются рекрутерами, предлагают хорошую зарплату и быстрый процесс найма, а затем подсовывают вредоносные файлы под видом «тестового задания», ссылку на «созвон» или просят установить «приложение для интервью». Конечная цель — украсть ваши данные, пароли или получить доступ к устройству.

Атаки выглядят максимально правдоподобно: нормальная переписка, «корпоративный стиль», иногда даже сайт-двойник настоящей компании. Затем вас начинают торопить — «вакансия горячая», «пришлите сканы сегодня», «подключитесь по ссылке». По данным GTIG, такие схемы используют государственные группировки из нескольких стран — они создают фальшивые порталы для найма, сервисы для «составления резюме» и «тестирования кандидатов».

Для обычного человека это опасно не меньше: можно самому отправить скан паспорта или СНИЛС незнакомцу, установить на компьютер вредоносную программу под видом «клиента для собеседования» или открыть документ, который заразит устройство. Последствия — от кражи денег и аккаунтов до оформления кредитов на ваше имя. Поиск работы — стрессовая ситуация, и мошенники этим пользуются.

Перепроверяйте компанию и контакт: сверяйте домен почты с официальным сайтом, ищите рекрутера в открытых источниках. Не устанавливайте «приложения для интервью» по ссылкам из мессенджеров, не открывайте сомнительные файлы на рабочем компьютере, не отправляйте сканы документов до подписания официального предложения. Если вас торопят и давят — это повод остановиться и перезвонить в компанию по номеру с её сайта.

Источник: Google Threat Intelligence Group, 10 февраля 2026.

Полиция Нидерландов арестовала 21-летнего жителя города Дордрехт — третьего подозреваемого по делу о сервисе JokerOTP. Это платформа, которая позволяла мошенникам автоматически звонить жертвам, представляться «службой безопасности» банка или другого сервиса и выманивать одноразовые коды подтверждения. Именно те коды, которые нужны для входа в аккаунт или подтверждения операции.

За два года работы через JokerOTP было проведено более 28 тысяч атак в 13 странах мира. Ущерб оценивается как минимум в 10 миллионов долларов. Сервис работал по подписке и продавался через Telegram. Разработчик и соразработчик были задержаны ранее — в апреле и августе 2025 года. Полиция установила десятки покупателей платформы в Нидерландах и намерена привлечь их к ответственности.

Эта история показывает, что двухфакторная защита (когда для входа нужен не только пароль, но и одноразовый код) — не абсолютная гарантия безопасности. Если человек сам диктует код звонящему, никакая защита не поможет. Мошенники создают ощущение срочности: «вас взламывают прямо сейчас», «нужно подтвердить отмену операции» — и жертва в стрессе сама отдаёт ключ от своего аккаунта.

Золотое правило: одноразовые коды подтверждения никому не сообщаем — вообще никогда, ни по телефону, ни в чате. Если звонят «из банка» или «из поддержки» — кладите трубку и перезвоните сами по номеру с карты или с официального сайта. По возможности переходите на более устойчивые способы входа: ключи доступа (passkey), подтверждение через приложение с сопоставлением числа, аппаратные ключи. И помните: если пришёл код, который вы не запрашивали, — это сигнал, что кто-то пытается войти в ваш аккаунт.

Источник: BleepingComputer, 11 февраля 2026; полиция Нидерландов (politie.nl), 10 февраля 2026.

«Лаборатория Касперского» обнаружила массовую волну краж аккаунтов в Telegram. Мошенники пишут в большие групповые чаты сообщение вроде «админ потерял доступ, переходим в новый чат» — и прикладывают ссылку. Перейдя по ней, человек видит окно встроенного приложения Telegram, где его просят ввести пятизначный код. На самом деле это код для подключения нового устройства к аккаунту. Ввёл — и мошенники получили доступ к вашему профилю.

Схема особенно опасна тем, что всё происходит внутри самого Telegram, без перехода на сторонние сайты. Окно выглядит привычно, никакого «фишингового сайта» нет — поэтому заподозрить подвох сложнее. После угона аккаунта злоумышленники быстро рассылают ту же приманку от вашего имени по всем групповым чатам, в которых вы состоите. На начальном этапе они не всегда видят всю переписку, но со временем могут получить полный контроль.

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, угнанные аккаунты используют для финансового мошенничества: пишут вашим контактам с просьбой о деньгах, подменяют банковские реквизиты, изучают данные в чатах. Через ваш аккаунт могут также пытаться взломать другие сервисы, где привязан тот же номер телефона.

Главное правило: никогда и нигде не вводите коды, которые присылает Telegram, кроме экрана входа в само приложение. Если уже ввели код — немедленно откройте «Настройки» → «Конфиденциальность» → «Активные сессии» и нажмите «Завершить все другие сеансы». Обязательно включите двухэтапную проверку (пароль на вход). И договоритесь с близкими: любые «срочные переносы чатов» нужно перепроверять голосом или в другом мессенджере.

Источник: «Лаборатория Касперского», 11 февраля 2026.

Крупный поставщик ИТ-услуг Conduent подтвердил, что подвергся кибератаке, которая затронула работу его клиента — автопроизводителя Volvo. Такие атаки бьют «по цепочке»: злоумышленники взламывают подрядчика, а проблемы получают его клиенты и их пользователи.

По имеющимся данным, атака привела к сбоям в отдельных сервисах. Компания проводит расследование. В подобных ситуациях важен не только вопрос «когда всё починят», но и вопрос данных: у крупных подрядчиков обычно есть доступ к системам клиентов, документам, заявкам и контактным данным пользователей.

Обычный человек может даже не знать, что его автосервис, программа лояльности или колл-центр обслуживаются сторонней компанией. Когда у такого подрядчика происходит инцидент, в зоне риска оказываются привычные вещи: сроки обслуживания, доступность сервисов, а иногда и личные данные. За подобными атаками нередко следует вторая волна — мошенники начинают обзванивать людей, представляясь «службой поддержки», и используют реальную новость о сбое, чтобы звучать убедительнее.

Если вы видите новости о сбое у сервиса, которым пользуетесь, — ждите всплеска «сервисных» звонков и писем. Не диктуйте коды подтверждения и данные карты, даже если звонящий знает вашу заявку. Все вопросы решайте через официальные контакты компании, а на время инцидента разумно включить повышенную бдительность: лимиты по карте, уведомления о списаниях и проверку входов в аккаунты.

Источник: SecurityWeek, 11 февраля 2026.

BridgePay подтвердил, что массовый сбой в обработке платежей вызван атакой вымогателей: часть сервисов оказалась недоступна, а некоторые торговые точки сообщали, что временно принимают только наличные. Это хороший «учебник по рискам третьих сторон»: даже если у вас всё относительно неплохо, один подрядчик может остановить продажи.

Компания пишет, что подключила правоохранителей и внешние команды для расследования и восстановления, а первичные выводы — «данные платёжных карт не утекли». Но сам факт простоя критичной услуги показывает, что ИБ — это не только «не допустить утечку», но и обеспечить непрерывность бизнеса, когда всё уже сломалось.

Проверьте у себя план Б на случай недоступности платёжного шлюза: резервный провайдер, офлайн-режим, ручная обработка, лимиты и сценарии для касс/службы поддержки. Для И Б — пересмотрите требования к поставщикам (SLA, уведомления об инцидентах, сегментация, резервное восстановление), а также отработайте коммуникации: что и кому вы говорите в первые часы простоя.

Источник: Bleeping Computer, февраль 2026 года

Румынский оператор нефтепроводов Conpet сообщил о кибератаке, которая задела бизнес-системы и положила сайт, но, по заявлению компании, не затронула OT-контур: SCADA и телеком-системы продолжили работать. Это редкий случай, когда в пресс-релизе прямо подчёркивают «разделение IT и OT», и это хорошая новость.

При этом группировка Qilin заявила ответственность и утверждает, что украла почти 1 ТБ документов, а в качестве доказательств выложила фрагменты внутренних файлов (включая финансовые данные и сканы паспортов). Даже если производство не остановилось, утечка документов и последующий шантаж — всё равно полноценный кризис для компании.

Для организаций с промышленными сегментами вывод классический: держите жёсткую границу между IT и OT (с контролируемыми шлюзами и журналированием), регулярно проверяйте, что «временные» доступы подрядчиков не стали постоянными, и отрабатывайте сценарии вымогателей: изоляция, восстановление, коммуникации, юридические шаги. И да — бэкапы должны быть не только «где-то есть», а реально проверенными на восстановление.

Источник: Bleeping Computer, февраль 2026 года

Верховный суд России вынес знаковое решение: за сохранность персональных данных отвечает оператор — тот, кто эти данные собирает и организует их обработку, даже если часть работы выполняет сторонняя организация. Поводом стало дело Министерства труда, которое пыталось оспорить штраф за утечку данных, ссылаясь на вину подрядчика.

В ходе инцидента утекли данные около 1 400 сотрудников министерства и их родственников: ФИО, даты и места рождения, паспортные данные, реквизиты банковских карт. Минтруд утверждал, что виноват подрядчик, а атака могла идти от иностранных спецслужб. Суд этот аргумент не принял: если ведомство собрало данные и поручило кому-то с ними работать, то оно всё равно отвечает за результат. Кроме того, суд установил, что министерство узнало об утечке только после запроса контролирующего органа и не уведомило о ней в установленные 24 часа (дело № 5-АД25−119-К2).

Для обычного человека это важная новость: теперь компания или ведомство не сможет отправить вас разбираться с неизвестным подрядчиком. Есть понятный адресат — оператор, который обязан уведомить вас об утечке, объяснить, что именно произошло, и принять меры. С марта 2026 года вступают в силу ещё более жёсткие требования по защите данных в госорганах.

Если вы узнали об утечке своих данных — фиксируйте факты (скриншоты уведомлений, письма), меняйте пароли, включайте двухфакторную защиту и следите за банковскими операциями. При утечке паспортных или банковских данных обратитесь в банк и уточните, какие дополнительные ограничения можно включить: лимиты, запрет дистанционных операций, уведомления обо всех списаниях.

Источник: РАПСИ, 3 февраля 2026; Право.ру, 10 февраля 2026.

Microsoft объявила о двух новых инициативах для Windows: «Базовый режим безопасности» (Baseline Security Mode) и «Прозрачность и согласие пользователя» (User Transparency and Consent). Суть простая: программы больше не смогут незаметно добраться до камеры, микрофона, важных файлов или установить что-то ещё — система будет спрашивать разрешение, как это делают телефоны.

В «Базовом режиме безопасности» Windows по умолчанию будет разрешать запуск только тех программ, сервисов и драйверов, которые имеют цифровую подпись. Это значит, что системе будет проще заблокировать подозрительный компонент, который пытается проникнуть глубоко внутрь. Для старых программ и особых случаев останется возможность сделать исключение. Вторая часть — новая система запросов согласия. Вместо привычных окон, которые люди привыкли закрывать не глядя, появятся более понятные и конкретные запросы с возможностью потом пересмотреть своё решение.

Это важно, потому что огромная доля заражений начинается с того, что человек сам запускает «нужную утилитку», «кряк» или «ускоритель», а система почти не сопротивляется. Если Windows сделает доступ к чувствительным ресурсам более явным, часть таких атак станет значительно сложнее. Изменения будут внедряться постепенно, а поддержку уже выразили Adobe, OpenAI, 1Password и другие компании.

Готовьтесь к тому, что запросов разрешений станет больше — и это нормально. Главное — перестать нажимать «Да» на автомате. Если программа вдруг просит доступ к микрофону или папке с документами без понятной причины, лучше остановиться и подумать. Держите обновления Windows включёнными, устанавливайте программы из проверенных источников, а «драйверы для ускорения» из случайных сайтов — обходите стороной.

Источник: Microsoft (Windows Experience Blog), 9 февраля 2026.

Microsoft выпустила февральский набор обновлений безопасности (Patch Tuesday). Исправлены 58 уязвимостей, среди которых шесть так называемых «нулевых дней» — ошибок, которые злоумышленники успели обнаружить и начали использовать в реальных атаках ещё до выхода обновления.

Часть исправленных ошибок позволяла обходить защитные механизмы Windows: человека могли обмануть так, чтобы он открыл файл или ссылку, при этом встроенная защита не срабатывала. Другие ошибки давали вредоносной программе возможность получить полные права в системе — фактически стать «хозяином» компьютера. Отдельно Microsoft начала обновлять сертификаты Secure Boot, заменяя старые сертификаты 2011 года, срок которых истекает в конце июня 2026 года. Это важная часть защиты, которая не позволяет запускать вредоносный код при загрузке компьютера.

На практике атаки через такие уязвимости выглядят буднично: обычное письмо или сообщение в чате «посмотри документ», «срочно открой ссылку» — а дальше тихая установка вредоносной программы. Когда ошибки уже используются в реальных атаках, откладывать обновление становится рискованно.

Установите обновления Windows и перезагрузите компьютер — часть исправлений без перезагрузки просто не активируется. Обновите Office и браузер. Не откладывайте обновления на недели и не отключайте их. Не открывайте вложения и ссылки, которые вас торопят и пугают, — даже если сообщение пришло от знакомого: его аккаунт тоже могли украсть.

Источник: BleepingComputer, 10 февраля 2026.

Всё больше пользователей Android блокируют рекламу не через отдельные приложения, а через встроенную настройку «Частный DNS». По данным опроса, около 65% респондентов используют именно этот способ — он выглядит как один переключатель в настройках телефона, который может заметно «почистить» приложения и браузер от навязчивых баннеров.

Как это работает: DNS — это своего рода «телефонная книга интернета». Когда вы вводите адрес сайта, система подсказывает, куда именно подключаться. На Android можно вручную указать DNS-провайдера, который будет отфильтровывать рекламные и вредоносные адреса. В режиме «Частного DNS» запросы отправляются в зашифрованном виде — провайдеру сложнее «подслушивать» их по дороге.

Но здесь есть подвох: вы меняете не просто «красоту интерфейса», а точку доверия. Теперь важная часть вашего интернет-трафика зависит от того, чей DNS-адрес вы прописали. Если это случайный сервис из статьи «вбейте вот эту строку», он может подменять сайты, ломать доступ к банкам или собирать статистику о ваших привычках. Мошенники охотно распространяют «волшебные настройки», которые на деле ведут на их собственные серверы.

Если используете «Частный DNS» — выбирайте известного провайдера с понятной репутацией (например, AdGuard DNS, Cloudflare), а не случайные адреса из комментариев. Если после смены DNS начали «глючить» банковские приложения, «Госуслуги» или мессенджеры — верните настройку назад и проверьте устройство. Блокировка рекламы — это про комфорт, а безопасность всё равно держится на обновлениях, паролях и здравом смысле.

Источник: Android Authority, 10 февраля 2026.

Домен мессенджера WhatsApp* исключён из Национальной системы доменных имён (НСДИ) — государственной инфраструктуры, созданной в рамках закона о «суверенном Рунете». После этого у большинства пользователей российских провайдеров мессенджер перестал работать — доступ возможен только через VPN.

Из НСДИ удалены домены whatsapp.com и web.whatsapp.com. При этом технический домен whatsapp.net и домен для коротких ссылок wa. me пока остаются. Накануне таким же образом был заблокирован YouTube. По данным проекта «На связи», из НСДИ удалены 13 популярных ресурсов, включая YouTube, Facebook*, Instagram* и сайты ряда зарубежных СМИ. Пресс-секретарь президента Дмитрий Песков заявил, что возобновление работы WhatsApp возможно при готовности Meta* к диалогу с российскими властями. WhatsApp, в свою очередь, заявил о попытке полной блокировки и пообещал продолжить обеспечивать связь.

Когда привычный сервис «вдруг не открывается», многие начинают искать решения в интернете — и именно тут поджидают мошенники. Они раздают поддельные «установщики WhatsApp», «новые сертификаты», «обходы блокировки» и «настройки для ускорения», которые на деле крадут пароли и деньги.

Не ставьте «обходы» из случайных Telegram-каналов и не скачивайте файлы вроде «WhatsApp Premium». Если меняете настройки DNS, делайте это осознанно и только у проверенного провайдера. И главное: если вам предлагают «войти заново» и просят код из СМС — это почти наверняка мошенничество.

*WhatsApp, Facebook, Instagram - продукты экстремистской компании Meta, запрещённой в РФ.

Источник: «Коммерсантъ», 11 февраля 2026.

По данным отчёта Juniper Research, заказанного финтех-компанией Revolut, социальные платформы в Европе заработали около 4,4 миллиарда евро на мошеннической рекламе за 2025 год. Это примерно 10% от всей рекламной выручки. В исследовании анализировались Facebook, Instagram, TikTok, Snapchat, X и LinkedIn. (Facebook и Instagram — продукты экстремистской компании Meta, запрещённой в РФ)

Цифры впечатляют: за год европейские пользователи увидели почти триллион мошеннических рекламных объявлений — в среднем 164 подозрительных объявления на каждого человека. Среди типовых схем — фальшивые инвестиции, поддельные товары, финансовые пирамиды. Если тенденция сохранится, к 2030 году доходы платформ от мошеннической рекламы вырастут до 13,8 миллиарда евро. Исследователи подчёркивают: именно платформы контролируют алгоритмы и процесс одобрения рекламы, поэтому ответственность за борьбу со скамом лежит прежде всего на них.

Многие современные мошенничества начинаются не со взлома, а с красивой рекламы в привычной социальной сети. Человек видит объявление и автоматически считает его «проверенным» — «ну это же платформа, там модерация». А дальше — переход на сайт-двойник, «быстрая регистрация», «пополните баланс», и деньги уходят. Кроме прямых потерь, растёт и вторичный риск: утечка телефона и почты, после чего начинается марафон звонков от «менеджеров» и фальшивых «служб возврата».

Относитесь к рекламе «быстрого заработка», «инвестиций без риска» и «скидок 90% только сегодня» как к тревожному сигналу. Не переходите по ссылкам из рекламных объявлений — лучше вручную найти официальный сайт. Включите блокировку подозрительной рекламы в настройках платформ и обязательно жалуйтесь на мошеннические объявления: без жалоб они живут дольше.

Источник: Infosecurity Magazine, 9 февраля 2026; отчёт Juniper Research «Protecting Users from Scam Ads», февраль 2026.