Киберугрозы 2025: От шпионских атак картелей до глобальных мошеннических схем

В конце июня Министерство юстиции США опубликовало отчет, посвященный проверке внутренней безопасности Федерального бюро расследований (ФБР).

Документ указывает на то, что в 2018 году ФБР вело расследование, которое завершилось арестом лидера картеля Хоакина «Эль Чапо» Гусмана. Один из связанных с преступной группировкой информаторов сообщил агентству, что картель нанял хакера. Этот киберпреступник осуществлял взлом электронных устройств и мобильных телефонов, ведя наблюдение за людьми, которые посещали посольство США в Мехико. Одной из главных целей слежки оказался помощник юридического атташе ФБР, работающий за границей.

Хакер использовал телефонный номер сотрудника ФБР для получения информации о звонках и определении местоположения. Дополнительно, он подключился к системе видеонаблюдения в Мехико, что позволяло ему отслеживать передвижения атташе и идентифицировать людей, с которыми тот встречался.

По словам оперативника, полученные данные использовались картелем для запугивания и устранения потенциальных свидетелей и осведомителей.

Сотрудники Гражданской гвардии Испании совместно с Европолом разоблачили крупнейшую мошенническую схему, похитившую более €460 млн у свыше 5000 лиц по всему миру под предлогом фиктивных инвестиций в криптовалюту.

25 июня правоохранители задержали двоих подозреваемых в Мадриде и троих на Канарских островах. Расследование, координируемое Европолом с 2023 года, также привлекло эксперта в области криптовалют.

Следствие предполагает, что организаторы создали обширную схему сбора средств через банки, криптовалютные транзакции и наличные. Сообщается, что они использовали платежные системы, аккаунты на криптобиржах и структуру, имеющую связи с Гонконгом. Сеть функционировала с участием продавцов по всему миру, которые заманивали жертв на фальшивые инвестиционные платформы.

Запуск Call of Duty: WWII привел к масштабным взломам. 3 июля, через два дня после выхода игры, игроки начали сообщать о атаках от неизвестного хакера с использованием удаленного выполнения кода (RCE).

Злоумышленник, используя уязвимости в многопользовательском режиме, мог выполнять произвольные команды на компьютерах игроков во время игрового процесса и стриминга.

Известны случаи, когда хакер принудительно открывал приложение «Блокнот», отображал «нежелательный контент» и перезагружал систему.

Геймер по нику MikeRxqe отметил, что устаревшая P2P-сетевая модель, применяемая в игре, значительно облегчает доступ к IP-адресам пользователей. Пользователи подключаются напрямую друг к другу, и каждый IP-адрес становится доступен всем остальным участникам.

После этого атакующий может отправлять жертве специально сформированные сетевые пакеты, замаскированные под легитимные данные игры, но содержащие вредоносные элементы.

2 июля Activision провела «краткосрочные технические работы» на своих серверах, однако официальных комментариев о связи данного процесса с уязвимостью RCE не было.

Приложение ICEBlock для iPhone, позволяющее анонимно сообщать о наблюдениях агентов Службы иммиграционного и таможенного контроля США (ICE), стало популярным после заявления генпрокурора Пэм Бонди.

Основная аудитория ICEBlock — около 20 000 пользователей в Лос-Анджелесе, где рейды ICE стали частым явлением. После комментариев Бонди 2 июля приложение попало в топ бесплатных загрузок в США.

С помощью ICEBlock пользователи могут делиться информацией о местоположении агентов ICE, находящихся в пределах примерно 8 км. Приложение отправляет уведомления о близлежащих сотрудниках службы контроля.

1 июля испанская полиция задержала двоих лиц в Лас-Пальмас по подозрению в киберпреступлениях, включая кражу данных государственных органов.

Подозреваемые были признаны «серьезной угрозой национальной безопасности». Расследование началось после выявления утечки персональной информации, касающейся политиков, представителей власти и журналистов.

Первый подозреваемый занимался сбором данных, тогда как второй отвечал за финансовую часть преступлений: продажу доступа к базам данных и учетным записям, а также управление криптокошельком, на который поступали средства.

Оба подозреваемых были задержаны, и в ходе обысков полиция изъяла множество электронных устройств, которые могут привести к новым уликам или связям с другими соучастниками.

Северокорейские хакеры используют новое вредоносное ПО для macOS под названием NimDoor, направленное на организации в сфере криптовалют и Web3.

Схема нападения включает контакт с жертвами через Telegram и попытку убедить их установить фальшивое обновление Zoom, которое распространяется через сервис планирования встреч Calendly и электронную почту.

В отчете, опубликованном 2 июля, специалисты SentinelOne сообщили, что злоумышленники использовали исполняемые файлы, скомпилированные на C++ и Nim для атак на macOS, что является довольно редким подходом.

Сложнейший элемент атаки представляет собой событийно-ориентированное приложение CoreKitAgent, которое делает трудным его отключение и удаление.

На конференции по безопасности TROOPERS исследователи из ERNW рассказали о трех уязвимостях в чипах Airoha, широко применяемых в колонках, наушниках и беспроводных микрофонах.

Bluetooth-чип способен подслушивать и похищать конфиденциальную информацию. Под угрозой находятся устройства от брендов Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs и Teufel.

Существующие уязвимости позволяют злоумышленнику получить полный контроль над устройством. В некоторых случаях хакер, находясь в зоне действия Bluetooth, может извлечь историю звонков и контактные данные.

Компания Airoha выпустила обновленный SDK с необходимыми мерами защиты, и производители уже начали разработку патчей и обновлений.

Согласно данным ESET, число краж через систему бесконтактных платежей продолжает увеличиваться, и только за первую половину года атаки с использованием NFC возросли в 35 раз по сравнению с 2024 годом.

В данной схеме объединены традиционные методы атак — социальная инженерия, фишинг, вредоносные приложения для Android — с инструментом, именуемым NGate, что создает новый сценарий угрозы.

Malware NGate позволяет удаленно перехватывать данные NFC между двумя устройствами, включая банковские карты, обманывая защиту, выполняя операции от имени жертвы.

По информации ESET, пятую часть всех установленных в мире зловредов NGate находится в России. Злоумышленники, вводя жертву в заблуждение, заставляют ее установить ПО под видом легитимного сервиса или банка, что приводит к кражам средств. В начале 2025 года ущерб составил 40 миллионов рублей.

Расширения для браузера визуально неотличимы от оригиналов и имеют множество поддельных отзывов, чтобы завоевать доверие пользователей.

Среди них более 40 фальшивых расширений для Firefox, предназначенных для кражи данных криптовалютных кошельков, маскируются под решения известных платформ, таких как Coinbase, MetaMask и другие.

После установки они крадут данные незаметно, подвергая опасности активы пользователей. В ходе инициализации злоумышленники также отправляют внешний IP-адрес жертвы, предположительно для мониторинга и таргетинга.

Кампания активна как минимум с апреля 2025 года, и новые вредоносные расширения загружались в каталог Firefox до конца июня.

Последний ежемесячный дайджест FLMonthly отвечает на актуальные вопросы кибербезопасности в интервью с директором по расследованиям компании «Шард» Григорием Осиповым.