Киберугрозы нарастают: фишинг, шпионские атаки и международные операции против преступников

Мы собрали самые значимые события в области кибербезопасности за последнюю неделю.

Специалисты из SilentPush выявили фишинговую кампанию, известную как PoisonSeed, которая рассылает электронные письма с сид-фразами с целью кражи криптовалюты.

На начальном этапе злоумышленники создают мошеннические сайты популярных платформ для массовой рассылки, таких как Mailchimp, SendGrid, HubSpot, Mailgun и Zoho. Они используют эти фальшивые страницы для взлома корпоративных почтовых аккаунтов маркетологов и отправки спама от их имени. Основное внимание хакеры обращают на клиентов обменника Coinbase и владельцев аппаратных кошельков Ledger.

Рассылки часто выглядят как срочные уведомления с текстом «Coinbase переходит на кошельки с самостоятельным хранением» и включают сид-фразу. Жертвам предлагается ввести эту информацию при создании нового криптокошелька в целях «безопасного переноса активов» в процессе обновления или миграции.

Если жертва поддаётся на уловку, злоумышленник получает полный доступ к её средствам.

Северокорейские хакеры выдают себя за HR-менеджеров крупных криптобирж

Эксперты Sekoia выявили новую тактику ClickFix, которую применяет северокорейская хакерская группировка Lazarus Group для атак на потенциальных сотрудников в сферах ИИ и криптовалют.

Соискателям приходит предложение с фальшивых сайтов о собеседованиях. При переходе на такие сайты и просмотре их содержания пользователи сталкиваются с ошибками и просят «исправить» их, запустив команды PowerShell. Это приводит к загрузке вредоносного ПО.

В рамках этой кампании хакеры маскируются под известные криптопроекты, такие как Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood и Bybit.

Кроме кражи криптовалют, вредоносное ПО может выполнять файловые операции, запускать команды оболочки, воровать файлы cookie, историю браузера и сохранённые пароли, а также собирать системные метаданные.

Один из участников группировки SiegedSec, виновных в взломе портала НАТО, аналитического центра The Heritage Foundation и ядерной лаборатории в Айдахо, высказал предположение, что ФБР провело обыск в доме их лидера с ником vio и задержало его. Эта информация появилась в Daily Dot в твите от 26 марта.

«К сожалению, сообщаю, что сегодня утром произошло преследование по адресу vio. Лидер больше недоступна, контакт с ней на данный момент оказался ненадежным», — написал пользователь с ником mewmrrpmeow.

Через день в новом посте поднимался вопрос о том, что «молчание вокруг дела SiegedSec вызывает тревогу».

Подробности остаются туманными. SiegedSec распалась в июле 2024 года после давления со стороны The Heritage Foundation, которая передала информацию о хакерах в ФБР. Однако бюро до сих пор не делало публичных заявлений о расследовании или обвинениях.

Немецкие и голландские правоохранители прикрыли одну из крупнейших даркнет-платформ для распространения CSAM-материалов Kidflix. Операция стартовала в 2022 году и завершилась 11 марта 2025 года, но подробности стали известны только сейчас.

В ходе операции было арестовано 79 человек, установлены имена 1393 подозреваемых, изъято более 3000 электронных устройств и конфискован сервер сайта.

С момента своего открытия в 2021 году Kidflix разместил более 91 000 уникальных видеороликов общей продолжительностью 6288 часов. Число пользователей превысило 1,8 миллиона, которые платили за доступ к контенту в криптовалюте и могли зарабатывать внутренние токены за активность.

Материалы дела были направлены следственным органам 35 стран для дальнейшей работы с подозреваемыми.

Компания Paradigm подготовила содержательный отчет о киберпреступных группах Северной Кореи, стоящих за атаками на различные организации и частные лица по всему миру.

Помимо широко известной Lazarus Group, эксперты отметили такие группировки, как Contagious Interview и Wagemole, которые прибегают к найму IT-специалистов. Хакеры крадут разнообразные данные, включая криптовалюты.

Группа AppleJeus распространяет вредоносное ПО под видом приложений для трейдинга, а Dangerous Password использует социальную инженерию для атак на владельцев цифровых активов.

Наиболее sofisticированными аналитики назвали группировку TraderTraitor, которая выбирает жертв среди биткоин-бирж и крупных компаний, используя высокотехнологичный целевой фишинг.

4 апреля президент США Дональд Трамп продлил на 75 дней срок, в течение которого владеющая сервисом TikTok компания ByteDance должна продать свои активы в Америке, чтобы избежать их блокировки. Президент выразил надежду на продолжение «конструктивного сотрудничества с Китаем».

Reuters сообщает, ссылаясь на свои источники, что стороны приостановили сделку после введения 54% пошлин на импорт товаров из Китая в США.