Киберугрозы недели: Пиратские Battlefield 6, мошенничество в Киеве и новое хакерское ПО

Мы подготовили обзор ключевых событий в сфере кибербезопасности за прошедшую неделю.

Специалисты из Bitdefender Labs обнаружили крупные вредоносные операции, связанные с выходом шутера Battlefield 6 в октябре. Вредоносное ПО распространяется под видом ложного программного обеспечения для установки пиратских версий игры — так называемых «репаков» от известных групп.

Злоумышленники активно используют методы социальной инженерии и выдают себя за популярные коллективы, такие как InsaneRamZes и RUNE, чтобы разослать зараженные установочные файлы с целью кражи данных.

Зараженные приложения полностью не соответствуют заявленным возможностям и запускают процесс компрометации системы сразу после активации. Эксперты нашли группу вредоносных программ:

Фахивцы Bitdefender советуют загружать программное обеспечение исключительно с проверенных платформ, таких как Steam и EA App.

В Киеве удалось раскрыть преступную группировку, которая обманула граждан ЕС, выманив у них деньги под соусом инвестирования в криптовалюту и “перспективные” компании. Об этом сообщает Киберполиция Украины.

Пострадавшими стали более 30 лиц. В ходе операции правоохранительные органы провели 21 обыск и изъяли более $1,4 миллиона, свыше 5,8 миллиона гривен и 17 тысяч евро наличными.

Согласно оперативной информации, главарь группы и двое сообщников организовали колл-центр в Киеве на 20 позиций. “Менеджеры VIP-клиентов” создали ложное ощущение успешных торгов на мировых биржах. В целях этого они устанавливали специальное программное обеспечение на компьютеры “клиентов” через удаленный доступ.

После получения криптовалюты члены группы обналичивали ее через обменники в Киеве. Им угрожает тюремный срок до 12 лет.

Согласно сообщениям специалистов из «Лаборатории Касперского», ботнет Tsundere проникает на устройства с Windows под видом инсталляторов популярных игр, таких как Valorant, CS2 и R6x.

Для осуществления атак вредоносное ПО использует смарт-контракты на платформе Ethereum, что существенно повышает устойчивость его инфраструктуры. В случае блокировки одного из серверов управления система автоматически переключается на резервные, заранее прописанные в блокчейне.

Хакеры производят транзакции на 0 ETH, чтобы внести новый адрес в переменную состояния контракта. Бот обращается к публичным RPC Ethereum, анализирует транзакции и получает актуальные адреса.

Исследование выявило связь между Tsundere и стилером, который активно распространяется на хакерских форумах — 123 Stealer. Оба используют общую инфраструктуру и связаны с пользователем по имени koneko.

Новая атака JackFix использует поддельные сайты для взрослых и имитацию обновлений Windows для массового распространения стилеров. Об этом сообщает команда Acronis Threat Research Unit.

Злоумышленники создают клоны популярных платформ, таких как Pornhub, которые при взаимодействии открывают полноэкранное окно с уведомлением об установке “критических обновлений безопасности Windows”.

Аналитики сообщили, что атака происходит в браузере жертвы с использованием HTML и JavaScript и направлена на блокировку клавиш выхода из полноэкранного режима.

Для обхода систем защиты злоумышленники применяют набор команд и специальные файлы с расширением .odd для скрытого запуска вредоносных процессов через интерфейс PowerShell.

Далее скрипт продолжает воздействовать на пользователя с помощью социальной инженерии до момента получения прав администратора. После этого код создает исключения для антивирусного ПО и загружает финальную массу вредоносного кода с серверов злоумышленников. Ложные URL-адреса устроены так, чтобы при прямом доступе они перенаправляли исследователей на законные ресурсы, такие как Google или Steam.

Эксперты отметили, что одна успешная инъекция может привести к загрузке сразу восьми различных семейств вредоносного ПО, включая новейшие версии стилеров и троянцев удаленного доступа (RAT).

Если сайт попадает в полноэкранный режим с заблокированным интерфейсом, команда Acronis рекомендовала использовать клавиши Esc или F11 для выхода. При продолжающихся проблемах следует принудительно закрыть браузер через Alt+F4 или через диспетчер задач (Ctrl+Shift+Esc).

Неофициальные LLM-модели WormGPT 4 и KawaiiGPT стали доступными для злоумышленников, как сообщают исследователи Unit 42. 

По утверждениям, ИИ генерирует работоспособный вредоносный код, включая скрипты для шифровальщиков и автоматизацию перемещения в корпоративных сетях. 

WormGPT 4 — это переосмысленный проект, который был закрыт в 2023 году и снова оказался обнаружен в сентябре 2025 года. Эта модель представляется аналогом ChatGPT, но специализирована для нелегальной деятельности. ПО распространяется за $50 в месяц или $220 за пожизненное пользование.

В экспериментальных условиях WormGPT 4 удачно сгенерировала шифровальщик для PDF-файлов на Windows. В скрипте также была реализована опция эксфильтрации данных через Tor-сеть для проведения реальных атак.

Эксперты подчеркнули, что модель успешно создает “убедительные и устрашающие” записки для вымогателей, упоминая “военный уровень шифрования” и возможность удвоения выкупа в течение 72 часов. 

По данным Unit 42, WormGPT 4 предлагает “достоверные инструменты лингвистической манипуляции” для компрометации деловой переписки и фишинговых атак, делая сложные операции доступными даже для начинающих.

Другой инструмент — KawaiiGPT 2.5 — был обнаружен в июле и распространяется бесплатно. Установка этой модели на Linux заняла исследователям около пяти минут. LLM создает реалистичные фишинговые письма и готовые к использованию скрипты.

Несмотря на то что KawaiiGPT не создала полноценный “вымогатель”, как WormGPT 4, эксперты предостерегли, что возможность генерации скриптов для удаленного выполнения команд делает ее опасным инструментом для кражи данных. 

По словам исследователей, обе модели имеют сотни подписчиков в Telegram-каналах, где пользователи делятся опытом и обходными методами.

Государственные хакерские группы изменили свои методы с традиционного шпионажа на “кибернетическое обеспечение кинетического целеуказания” для прямой поддержки военных операций. Это утверждают специалисты кибербезопасности Amazon Threat Intelligence (ATI).

Согласно ATI, группировка Imperial Kitten якобы получила доступ к навигационным системам и камерам систем, что дало возможность собирать точные координаты морских объектов. Полученные данные позволили хуситам нанести прицельный ракетный удар по целям 1 февраля 2024 года, как утверждают исследователи. 

Они призвали к внедрению расширенного моделирования угроз для защиты физических объектов от подобного рода атак. ATI считает, что операторы критической инфраструктуры должны рассматривать свои системы как возможные целевые средства наведения.