Дайджест Start X № 462

Международная операция спецслужб остановила масштабную кампанию FrostArmada: хакеры из группировки APT28 (она же Fancy Bear) взламывали домашние и офисные роутеры и подменяли в них сетевые настройки. После этого весь интернет-трафик жертвы шёл через серверы злоумышленников, а те перехватывали логины и пароли от Microsoft 365 — почты Outlook, облачного хранилища OneDrive и других рабочих сервисов.

На пике атаки было заражено около 18 тысяч устройств в 120 странах. Хакеры нацеливались на недорогие роутеры для дома и малого офиса — особенно на те, где стояли старые прошивки или был включён удалённый доступ. Атака работала хитро: почти весь интернет работал как обычно, но когда человек заходил в почту или рабочие сервисы Microsoft, его незаметно перекидывали на поддельную страницу. Единственным признаком подмены иногда было предупреждение браузера о «ненадёжном сертификате», которое многие просто закрывают по привычке.

В операции по пресечению участвовали ФБР, Министерство юстиции США, правительство Польши и специалисты Microsoft. Серверная инфраструктура злоумышленников была нейтрализована. По данным расследования, хакеры использовали известную уязвимость в роутерах TP-Link, а подготовка к атаке шла с мая 2025 года.

Роутер для многих — это «невидимый бытовой прибор»: его настраивают один раз и забывают. Именно этим и пользуются злоумышленники. Если контроль над роутером перехвачен, смена пароля на компьютере не спасёт — новые логины тоже будут утекать.

Сейчас стоит проверить свой роутер: обновить прошивку, сменить пароль администратора, отключить удалённый доступ и посмотреть, какие DNS-серверы прописаны в настройках. Если устройство старое и давно не получает обновлений — его пора менять. В 2026 году старый роутер — это не просто медленный интернет, а потенциальный посредник между вами и вашими аккаунтами.

Источник: BleepingComputer, 7 апреля 2026 года.

Новая волна атак на магазины, работающие на платформе Magento, показала, насколько незаметными стали современные кражи платёжных данных. Злоумышленники встраивали вредоносный код в крошечный невидимый элемент на странице — размером в один пиксель. Сайт внешне продолжал работать как обычно, и покупатель не видел ничего подозрительного.

Ловушка срабатывала в момент оплаты. Поверх настоящей страницы оплаты появлялось убедительное окно «Secure Checkout» с полями для ввода номера карты, срока действия и адреса. Человек вводил данные, информация уходила мошенникам, а его перекидывали на настоящую страницу оплаты. Подмену было практически невозможно заметить — разве что страница на мгновение «мигала» при переходе.

По данным компании Sansec, атака затронула 99 магазинов. Собранные данные отправлялись на серверы, замаскированные под сервис аналитики. Злоумышленники, вероятно, проникли в магазины через уязвимость PolyShell, обнаруженную в марте 2026 года, — она позволяет получить контроль над любой установкой Magento без пароля.

Для покупателей это означает неприятную вещь: можно делать всё правильно — не переходить по сомнительным ссылкам, не скачивать подозрительные файлы — и всё равно потерять данные карты на привычном, нормально работающем сайте. Заметить утечку получится, скорее всего, уже после подозрительного списания.

Для покупок в интернете лучше завести отдельную карту с небольшим остатком и включить уведомления о каждой операции. Если при оплате что-то выглядело странно — страница мигнула, попросили ввести карту повторно, адрес в строке браузера дёрнулся — проверьте операции и при необходимости перевыпустите карту.

Источник: Sansec, 7 апреля 2026 года.

3 апреля стало известно о молниеносной атаке на криптоплатформу Drift: злоумышленники вывели около 285 миллионов долларов буквально за несколько секунд. Аналитики компаний TRM Labs и Elliptic связывают атаку с северокорейской хакерской группировкой UNC4736. Это крупнейший взлом в сфере децентрализованных финансов в 2026 году.

Атака готовилась около полугода. С осени 2025 года оперативники под видом представителей торговой фирмы появлялись на криптовалютных конференциях, завязывали знакомства с разработчиками Drift и выстраивали доверительные отношения. Параллельно шла техническая подготовка: создавался фиктивный цифровой актив (токен CarbonVote), настраивалась цепочка кошельков для вывода средств. В день атаки злоумышленники получили доступ к ключам управления, отключили защитные механизмы платформы и за 10 секунд опустошили пять хранилищ с криптовалютой.

После кражи деньги были рассредоточены по 57 тысячам кошельков с помощью автоматических программ — за 34 часа было проведено более 590 транзакций в минуту. Около 225 миллионов долларов были конвертированы и выведены через сеть Ethereum.

Для обычного человека это история о том, что даже крупные и технологичные криптоплатформы могут потерять все средства пользователей за считаные секунды. Потери на таком рынке происходят не только из-за падения курсов, но и из-за взломов, от которых не застрахован ни один сервис.

Не стоит хранить все средства на одной площадке. Если устройство сервиса слишком сложно, чтобы понять, кто именно может «повернуть рубильник», — это повод сократить сумму хранения. В криптовалюте вопрос «где лежат деньги» по-прежнему важнее, чем вопрос «сколько обещают».

Источник: SecurityWeek, 3 апреля 2026 года.

«Лаборатория Касперского» обнаружила на площадке GitHub вредоносный проект, замаскированный под Proxifier — популярную программу для настройки сетевых подключений через прокси. Ссылка на заражённый файл попадала в первые результаты поиска Google, поэтому человек мог скачать его, полностью уверенный в подлинности. Вместо полезной утилиты он получал троян ClipBanker.

В скачанном архиве лежали файл-установщик и текстовый документ с «ключами активации». Внешне всё выглядело обычно: программа устанавливалась как положено. Но параллельно в фоновом режиме запускался вредонос, который начинал следить за буфером обмена. Когда человек копировал адрес криптовалютного кошелька для перевода средств, программа незаметно подменяла его на адрес мошенников.

Главная опасность здесь в том, что подмена происходит невидимо. Человек копирует адрес, вставляет его в форму оплаты, всё выглядит нормально — а деньги уходят преступникам. Заметить разницу «на глаз» крайне сложно: адреса криптокошельков — это длинные наборы символов, и мало кто сверяет их целиком.

Эта история ломает привычный рефлекс «если нашёл через Google и скачал с GitHub, значит, всё надёжно». На деле ни поисковая выдача, ни известная площадка давно не гарантируют безопасность. Атака рассчитана на тех, кто действует быстро и не перепроверяет источник.

Не скачивайте программы просто по первой ссылке из поиска — лучше найти официальный сайт разработчика вручную. Перед переводом криптовалюты всегда сверяйте адрес получателя целиком, а не только по первым и последним символам. Если дело касается денег, спешка почти всегда играет на руку мошенникам.

Источник: Лаборатория Касперского, 8 апреля 2026 года.

Специалисты по безопасности описали кампанию, в которой вредоносный файл распространяли под видом обновления для популярной игры The Sims 4. Файл был подписан цифровым сертификатом — своего рода электронной печатью, которая говорит операционной системе: «Этому файлу можно доверять». Из-за этого стандартные предупреждения безопасности срабатывали слабее, чем обычно.

Сценарий атаки прост и потому особенно опасен. Человек ищет обновление, мод или дополнение к игре, видит знакомое название, скачивает файл и запускает его почти не задумываясь. Установка проходит без подозрительных признаков, а вредоносная программа тем временем начинает работать в фоне — собирает пароли, данные браузера и файлы. Источник заражения становится неочевидным, и человек винит что угодно, кроме того самого «обновления».

Подобные атаки бьют по аудитории, которая вообще не считает себя интересной для мошенников: это обычные игроки, подростки, семейные компьютеры. Риск усиливается тем, что игры и моды часто ставят без долгих проверок — в отличие, скажем, от банковских приложений.

Для обычного пользователя последствия могут проявиться не сразу: сначала всё выглядит нормально, а через какое-то время начинают утекать пароли, сохранённые в браузере данные карт или сессии в мессенджерах.

Игры, моды и обновления нужно скачивать только из официальных магазинов и с проверенных площадок. Если файл требует отключить антивирус — это верный признак подделки. На детских и семейных устройствах лучше заранее ограничить установку программ из случайных источников.

Источник: Breakglass Intelligence, 7 апреля 2026 года.

ФБР опубликовало ежегодный отчёт о киберпреступлениях: в 2025 году жители США потеряли 20,87 миллиарда долларов США из-за мошенников в интернете. Это на 26% больше, чем годом ранее, а число жалоб впервые перевалило за миллион — в среднем около 3 000 обращений в день.

Больше всего денег люди теряли на инвестиционных схемах (8,6 миллиарда долларов США), подмене деловой переписки и мошеннической «технической поддержке». Криптовалютные аферы впервые стали отдельной крупной категорией — 11 миллиардов долларов США убытков. Впервые в отчёте появился раздел об использовании искусственного интеллекта: поддельные голоса, сгенерированные видео и фейковые документы принесли мошенникам почти 893 миллиона долларов США.

Сильнее всего пострадали люди старше 60 лет — их потери составили 7,7 миллиарда долларов США (рост на 37% за год). Но в зоне риска остаются все, кто принимает финансовые решения в спешке. ФБР в рамках операций по противодействию заморозило 679 миллионов долларов США на пути к мошенникам и предотвратило более 500 миллионов долларов США потерь от криптовалютных схем.

Для людей из других стран, в том числе из России, эта статистика важна, потому что мошеннические схемы одни и те же по всему миру. Мошенники давят на срочность, создают страх упустить прибыль, имитируют «помощь специалиста» и просят никому не рассказывать. Разница — только в языке и названиях брендов.

Любые срочные просьбы о переводе денег нужно тормозить хотя бы на несколько минут. Если вас подталкивают действовать немедленно — велика вероятность, что именно на это и рассчитывают. Перед переводом денег или вводом данных карты выйдите из разговора и перепроверьте всё через другой канал связи.

Источник: BleepingComputer, 7 апреля 2026 года.

Крупные российские торговые площадки — Wildberries, Ozon и «ВкусВилл» — начали ограничивать доступ пользователям, которые заходят через VPN-приложения. Сайты формально открываются, но карточки товаров, фотографии и описания либо не загружаются, либо работают с перебоями. Для покупателя это выглядит как странный сбой, хотя причина — в фильтрации интернет-трафика.

Ограничения появились после совещания в Минцифры 28 марта, на котором ведомство попросило крупнейшие платформы к 15 апреля ограничить доступ для пользователей с включённым VPN. Это стало условием сохранения в так называемых «белых списках» — перечнях сервисов, которые продолжают работать при сбоях мобильного интернета. Без VPN всё работает нормально, в том числе из-за рубежа, — значит, дело не в перегрузке серверов, а именно в распознавании способа подключения.

VPN для многих давно перестал быть «айтишной» темой. Через него люди читают почту в поездках, оплачивают покупки, защищают связь в общедоступных сетях Wi-Fi и просто пользуются привычными приложениями. Теперь часть этих повседневных действий может ломаться из-за самого способа подключения к интернету.

Для обычного покупателя это означает простую вещь: если магазин внезапно начал работать «криво» — товары не грузятся, оплата не проходит — причина может быть не в аккаунте и не в банке, а в VPN.

Если возникли проблемы с покупкой или оплатой, попробуйте временно отключить VPN и обновить страницу. Это особенно важно перед оплатой, чтобы не провести одну и ту же операцию несколько раз. Полезно также заранее продумать запасной способ входа в важные сервисы.

Источник: Известия, 7 апреля 2026 года.

Исследователи рассказали о серьёзной проблеме в популярных мобильных VPN-клиентах на базе платформ xray и sing-box — в том числе v2rayNG, Clash и Hiddify. Если коротко: вредоносное приложение, установленное на том же телефоне, может узнать настоящий адрес сервера, через который идёт защищённое соединение. Для пользователя это значит, что его VPN-подключение менее защищено, чем он думает.

Проблема связана с тем, как эти приложения работают внутри Android. При определённых условиях вредоносная программа может обойти защиту системы и напрямую обратиться к внутреннему промежуточному узлу приложения — без пароля и авторизации. В результате раскрывается тот самый сетевой адрес, который человек и пытался скрыть.

Для многих в России такие приложения — рабочий способ пользоваться сайтами, мессенджерами и привычными сервисами. Если уязвимость используется на практике, под ударом оказывается не только скрытность подключения, но и сама его надёжность — сервер можно заблокировать, а подключение прервать.

Утечка адреса сервера может помочь быстрее вычислить и заблокировать используемую схему подключения. Если на устройстве уже установлена вредоносная программа, она получает ещё один способ собрать информацию без ведома пользователя.

Обновляйте VPN-клиент сразу после выхода исправлений. Не устанавливайте приложения из сомнительных источников и регулярно проверяйте телефон на лишние программы с широкими правами доступа. Чем меньше постороннего софта на смартфоне, тем труднее такой уязвимости превратиться в реальную проблему.

Источник: Habr, 7 апреля 2026 года.