Киберугрозы недели: от экспроприации Spotify до новых атак стилеров и масштабных утечек данных

Мы подготовили сводку самых значимых событий в области кибербезопасности за прошедшую неделю.

Специалисты из «Лаборатории Касперского» поделились информацией о новом стилере, называемом Stealka. Эта вредоносная программа, ориентированная на пользователей Windows, способна красть личные данные, криптовалюту, захватывать учетные записи и устанавливать скрытые майнеры.

Согласно утверждениям аналитиков, этот софт чаще всего маскируется под взломанные версии программ, игровые читы и моды. Вредонос активируется вручную жертвой и распространяется через популярные платформы, такие как GitHub, SourceForge, Softpedia и Google Sites.

Злоумышленники также прибегают к более сложным методам, создавая правдоподобные копии известных веб-сайтов и используя распространенные поисковые запросы. Обычно они имитируют надежные ресурсы, информируя пользователя о проведении полной проверки размещенных данных на вирусы.

Stealka имеет широкий спектр возможностей, но в центре ее внимания находятся данные пользователей браузеров на базе движков Chromium и Gecko, включая Chrome, Firefox, Opera, «Яндекс.Браузер», Edge и Brave.

Мошенников чаще всего интересует информация, содержащаяся в памяти автозаполнения, которая включает данные об учетных записях и реквизитах кредитных карт. Файлы cookie и токены сессий позволяют хакерам обойти двухфакторную аутентификацию, что помогает захватывать аккаунты, которые затем используются для распространения вредоносных программ.

Согласно данным «Лаборатории Касперского», Stealka поддерживает 115 расширений браузеров. Под угрозой находятся несколько популярных категорий программ.

Стилер также угрожает мессенджерам, почтовым клиентам, приложениям для заметок, игровым сервисам и VPN.

Два расширения для Google Chrome под названием Phantom Shuttle представляются как плагины для прокси-сервиса, но на самом деле отслеживают пользовательский трафик и крадут личные данные. Об этом сообщили в Socket.

Целевой аудиторией Phantom Shuttle являются пользователи из Китая, включая специалистов по внешней торговле, которым необходимо тестировать сетевые соединения из различных регионов. Эти расширения были опубликованы под именем одного разработчика и рекламируются как инструменты для проксирования и проверки скорости сети, доступные по подписке, стоимостью от $1,4 до $13,5.

Специалисты отметили, что с 2017 года это ПО направляет веб-трафик пользователей через контрольируемые злоумышленниками прокси-серверы, доступ к которым осуществляется через жестко закодированные учетные данные. Вредоносный код был внедрен в легитимную библиотеку jQuery.

Расширения могут «слушать» веб-трафик, перехватывая HTTP-аутентификацию на всем ряде посещаемых сайтов. Они динамически перенастраивают параметры прокси в Google Chrome с помощью скрипта автоконфигурации.

В режиме «По умолчанию» стилирующее ПО может отфильтровать больше 170 доменов, при этом локальные сети и управляющий домен добавлены в исключения, чтобы избежать сбоев и обнаружения.

В ходе атаки типа «человек посередине» расширение может:

Крупнейший сервис потокового музыкального вещания подвергся масштабному парсингу со стороны пиратской группы Anna’s Archive.

Эта группа прославилась своей кампанией по сохранению литературного и научного контента, заявляя, что они являются «самой большой действительно открытой библиотекой в истории человечества», предлагая доступ к более чем 61 млн книг и 95 млн статей.

В публикации от 20 декабря 2025 года «Бэкап Spotify» команда заявила, что им удалось получить доступ к метаданным более 250 млн треков и 86 млн аудиофайлов этого сервиса.

Объем украденных данных составляет около 300 ТБ. Наиболее популярные треки представлены в формате 160 кбит/с, в то время как менее известные — в 75 кбит/с.

Представители Anna’s Archive отмечают, что этот шаг позволил создать «первый в мире музыкальный архив». По их словам, он охватывает 99,6% всех прослушиваний на платформе Spotify.

Группа разместила метаданные на своем торрент-сайте и в дальнейшем планирует выпустить аудиофайлы, дополнительные метаданные и обложки альбомов. Архив будет выпущен в порядке популярности.

21 декабря представители Spotify сообщили в комментарии изданию Billboard о подтверждении парсинга:

«Расследование незаконного доступа показало, что третье лицо собрала публичные метаданные и применяло противозаконные методы обхода технических средств защиты авторских прав для получения части аудиофайлов платформы».

23 декабря пресс-секретарь Spotify сообщил изданию PCMag, что «учетные записи злоумышленников, занимающихся незаконным сбором данных, были обнаружены и заблокированы».

Исследователи безопасности обнаружили серьезную утечку данных в национальной системе мониторинга дорожного движения Узбекистана. Сеть из ста высококачественных камер с функцией распознавания лиц и номерных знаков длительное время была доступна без пароля.

По словам эксперта Анурага Сена, выявившего проблему, база данных «интеллектуальной системы управления трафиком» содержит миллионы фотографий и видеозаписей в разрешении 4K, которые могут восстанавливать пути передвижения граждан.

Например, один водитель в течение полугода был под наблюдением: камеры фиксировали его поездки между Ташкентом и соседними населёнными пунктами несколько раз в неделю.

Технологическая основа этой системы была разработана китайской компанией Maxvision и сингапурской Holowits. Алгоритмы обеспечивают не только фиксацию нарушений ПДД, но и реальную идентификацию водителей и пассажиров. Камеры установлены не только в крупных городах, таких как Джизак и Наманган, но и на ключевых участках границ.

Несмотря на масштабы утечки, соответствующие правительственные организации, включая МВД и команду реагирования на киберинциденты UZCERT, на момент публикации так и не закрыли доступ к этим данным и не предоставили официальных комментариев.

Это событие перекликается с недавними проблемами американского провайдера систем наблюдения — компании Flock. Ранее сообщалось, что десятки камер этого поставщика в США также оказались доступны в интернете без авторизации.

Утечки такого масштаба создают серьезные угрозы конфиденциальности, предоставляя злоумышленникам возможность использовать государственную инфраструктуру для слежки и кражи личных данных.

В ходе совместной операции, организованной в Африке под эгидой Интерпола, было задержано 574 человека и изъято $3 млн, связанных с хакерскими атаками на корпоративные почтовые ящики и использованием программ-вымогателей.

С 27 октября по 27 ноября 2025 года правоохранители 19 стран ликвидировали около 6000 вредоносных ссылок и смогли расшифровать шесть различных типов ПО-шифровальщиков. Общие финансовые убытки от действий кибермошенников составили более $21 млн.

Основные результаты операции Sentinel:

В расследовании также участвовали частные компании: Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs и Uppsala Security.

Эти команды смогли отследить IP-адреса, которые использовались в атаках с применением шифровальщиков и угрозами публикации личных данных, а также способствовали замораживанию преступных доходов.