Киберугрозы недели: уязвимость ИИ-браузера Atlas, фишинг в LinkedIn и новые методы идентификации по Wi-Fi

Мы подготовили ключевые события из сферы кибербезопасности за прошедшую неделю.

По информации ончейн-аналитика ZachXBT, протокол Garden Finance, известный как BTCFi, скорее всего, стал жертвой кроссчейн-взлома, сумма которого превышает $10,8 млн. Ранее эксперт указывал на возможность связи данного проекта с отмыванием средств, украденных в результате атак на платформы Bybit и Swissborg.

«Иронично, что всего несколько дней назад я упоминал в X, что Garden Finance пренебрегал интересами пострадавших, отказываясь вернуть комиссии, несмотря на то, что более четверти их активности была связана с украденными средствами», — отметил аналитик. Также адрес, связанный с командой проекта, направил сообщение предполагаемому хакеру, предложив вознаграждение в размере 10% от украденного.

Киберполиция Украины совместно с правоохранительными органами Винницкой области и СБУ раскрыли организаторов схемы мошенничества с криптовалютами. Согласно данным правоохранителей, двое местных жителей распространяли через Telegram информацию об обмене цифровыми активами и проверке их легитимности, используя методы социальной инженерии для обмана жертв.

Один из пострадавших — гражданин Германии, у которого было похищено 60 000 USDT. При проведении обысков было найдено около $60 000 наличными, 48 000 гривен, два автомобиля, а также компьютерная техника, банковские и SIM-карты, черновики и другие доказательства. Ведется досудебное расследование.

27 октября команда исследователей из LayerX выявила серьезную уязвимость в новом ИИ-браузере Atlas от OpenAI, позволяющую злоумышленникам внедрять вредоносные инструкции в память ChatGPT и выполнять произвольный код.

Уязвимость связана с механизмом подделки межсайтовых запросов (CSRF). Злоумышленник может инициировать скрытый запрос от браузера пользователя, который уже авторизован в ChatGPT, и таким образом изменить его внутреннюю память. При следующих попытках содержимое становится активированным и предоставляет контроль над учетной записью, браузером или системой.

«Инъекция промпта» предельно опасна в контексте использования Atlas, так как браузер поддерживает пользователя в постоянной авторизованной сессии и практически не имеет встроенных антифишинговых защит. Согласно тестам, Atlas справляется только с 5,8% фишинговых атак, тогда как Chrome и Edge защищают примерно 50%.

Аналитики сообщают, что данная уязвимость затрагивает не только Atlas, но и другие браузеры, которые имеют доступ к ChatGPT. Инфицированная память остается привязанной к учетной записи и может передаваться между устройствами и программами.

Хакеры также начали применять LinkedIn для осуществления фишинговых атак на руководителей финансовых организаций. Специалисты из Push Security рассказали об этом в своем блоге.

Мошенники рассылали личные сообщения, имитируя приглашения стать членом совета директоров инвестиционного фонда, чтобы выманить у жертв логины и пароли от учетных записей Microsoft. Переходя по предоставленной ссылке, пользователи попадают на фейковый сайт, где им предлагают нажать на кнопку для просмотра документов, после чего открывается поддельная страница входа для кражи учетных данных.

Группа немецких исследователей из KASTEL Security Research Labs выявила новый способ идентификации людей через перехват трафика Wi-Fi-сетей, известный как BFId.

Эксперимент с участием 197 человек показал впечатляющую точность в 99,5%. Уникальные искажения в Wi-Fi-сигналах анализируют для сканирования походки, учитывая ритм, скорость и движения тела, что позволяет создавать уникальный «радиочастотный отпечаток» личности.

По мнению специалистов, метод BFId способен идентифицировать людей даже при изменении стиля ходьбы или ношении рюкзака. Проблема заключается в механизме обратной связи, используемом в стандарте Wi-Fi 5 для улучшения производительности, который передает сигналы в незашифрованном виде обратно на точку доступа. Данная уязвимость также наблюдается в Wi-Fi 6 и, скорее всего, останется в новом стандарте Wi-Fi 7.

На данный момент, эксперты отметили, что не существует простого и надежного метода защиты от данной угрозы.

Исследователи из Datadog Security Labs сообщили о новом фишинговом подходе под названием CoPhish. Он использует законные инструменты Microsoft Copilot Studio для кражи учетных данных.

Мошенники создают поддельных агентов Copilot и рассылают ссылки на фальшивые страницы для входа. Потенциальные жертвы, вводя свои данные, передают злоумышленникам токен авторизации сессии, что дает доступ к их аккаунтам. Эта угроза особенно актуальна для администраторов Microsoft 365 и Entra ID, так как им могут быть делегированы права на одобрение приложений без предварительной проверки.

Microsoft признала наличие проблемы и пообещала ее устранение в ближайших обновлениях, подчеркнув, что атака основана на социальной инженерии. Компания рекомендует ограничить администраторские права на устройствах и внимательно анализировать запросы на доступ.

В Datadog советуют организациям отключить создание пользовательских приложений, ужесточить политику OAuth-доступа и провести мониторинг создания агентов в Copilot Studio, чтобы минимизировать риск подобных атак.