Мировые новости кибербезопасности: миллиардные изъятия, новые схемы мошенничества и угроза от хакеров

Мы подготовили обзор самых значимых событий в области кибербезопасности за прошедшую неделю.

Согласно информации от Google Threat Intelligence Group (GTIG), опубликованной 17 октября, злоумышленники начали применять методику EtherHiding. Эта техника позволяет внедрять и передавать вредоносное ПО через смарт-контракты, что используется для кражи криптовалюты в ходе атак с социальным инжинирингом.

Аналитики связывают эту активность с северокорейской группой UNC5342, которая с февраля использует EtherHiding в рамках операций, названных Contagious Interview.

Способ EtherHiding представляет собой метод распространения вредоносных программ, при котором данные встраиваются в смарт-контракты на публичных блокчейнах, таких как Ethereum.

Благодаря особенностям технологии блокчейна, EtherHiding предоставляет:

Смарт-контракт, содержащий загрузчик JADESNOW, взаимодействует с Ethereum и инициирует последующий этап атаки — JavaScript-вредоносное ПО под названием InvisibleFerret, предназначенное для долгосрочного шпионства.

Атаки обычно начинаются с фиктивных собеседований в подставных компаниях — характерная тактика северокорейских хакеров. Жертвы убеждаются в необходимости выполнить код якобы для проверки технических навыков, в то время как на самом деле происходит активация вредоносного JavaScript.

После установки программы:

GTIG сообщает, что вредоносное ПО работает в оперативной памяти и может запрашивать дополнительные модули из Ethereum, предназначенные для кражи учетных данных.

По данным исследователей, в течение первых четырех месяцев контракт обновлялся более 20 раз, при этом каждый апгрейд обходился в среднем всего $1,37 по комиссиям.

Целевая атака направлена на пароли, информацию о кредитных картах и криптокошельках, таких как MetaMask и Phantom, а также на данные браузеров.

В октябре швейцарская Global Ledger представила исследование о подтвержденных взломах кроссчейн-мостов с 2021 по третий квартал 2025 года. В ходе этих событий произошло 34 кибератаки, которые привели к убыткам примерно на сумму ~$2,9 миллиарда.

В 85% случаях денежные средства были выведены до того, как инциденты стали известны широкой общественности. Первые переводы осуществлялись в среднем через 2 часа и 15 минут, в то время как сообщение о происшествии появлялось с задержкой около 22 часов.

По сведениям экспертов, в 91% инцидентов перемещение средств происходило в первый же день, а в одном случай скорость отмывания — от начала атаки до конечной точки — составила всего 33,5 минуты.

Согласно исследованию, был установлен рекорд скорости перевода украденных средств после взлома кроссчейн-моста: этот процесс занял 1 минуту и 13 секунд.

Аналитики также отметили сильную зависимость от миксера Tornado Cash, который использовался в 96% случаев, связанных с отмыванием транзакций.

Наибольшую часть из украденного хакеры отмыли через DeFi-платформы, составив ~$1,48 миллиард. Примерно $959 миллионов злоумышленники провели через миксеры и другие анонимные сервисы, а $490 миллионов — через кроссчейн-мосты.

Некоторые из похищенных средств были возвращены, другие — навсегда утрачены:

«Учитывая уровень возмещения, составляющий ~1,5%, и распределение потоков средств по множеству конечных точек, традиционные стратегии реагирования оказались неэффективными», — сообщается в отчете.

15 октября киберполиция Хмельницкой области объявила о раскрытии группы, подозреваемой в незаконном завладении цифровыми активами граждан Украины и других стран Европы и Ближнего Востока.

По данным правоохранительных органов, злоумышленники создали криптовалюту и привлекали инвесторов через тематические сообщества в Telegram. Предполагаемые мошенники демонстрировали роскошный образ жизни и «лжейтрейдинг», подбадривая жертв к инвестициям.

После того как граждане вкладывали свои средства в криптовалюту, ее создатели блокировали доступ к управлению приобретенными активами.

Подозреваемые отмывали средства через анонимные сервисы и конвертировали их в наличные.

Правоохранители выявили пятерых украинцев, ставших жертвами мошенников. В ходе обысков в Хмельницком и Киеве были изъяты оборудование, аппаратные криптокошельки, записи, подтверждающие преступную деятельность, и элитные автомобили.

Задержанным грозит до восьми лет лишения свободы. Продолжается расследование.

Согласно пресс-релизу от 14 октября, министерство юстиции США изъяло 127 271 BTC на сумму ~$15 миллиардов у главы Prince Group Чэнь Чжи. Преступная организация похитила миллиарды долларов у жертв по всему миру с помощью лживо представленных инструментов для инвестиций в криптовалюту, известных как «мошенничество на доверии».

Обычно злоумышленники вступают в контакт с жертвами через социальные сети и сайты знакомств, завоевывают доверие и убеждают вложить деньги в фиктивные проекты. Вместо инвестирования, средства переводятся на счета мошенников.

Судебные документы указывают, что камбоджийская группировка Prince Group с 2015 года управляет более чем 100 подставными и холдинговыми компаниями в 30 странах. Организация заставляла тысячи людей участвовать в мошеннических схемах и успешно избегала внимания правоохранителей.

Преступники также управляли автоматизированными колл-центрами, использовавшими миллионы телефонных номеров.

«Prince Group применяла свои схемы, занимаясь торговлей людьми и заставляя сотни работников осуществлять мошеннические операции в лагерях в Камбодже, зачастую под угрозой применения насилия», — утверждается в пресс-релизе.

Эти лагеря состояли из огромных общежитий, окруженных высокими стенами и колючей проволокой, фактически представляли собой центры принудительного труда.

Возглавляющий группировку Чэнь Чжи, также известный как Винсент, до сих пор остаётся на свободе. Он лично участвовал в подкупе правоохранителей, чтобы избежать преследований, управлял лагерями и прибегал к насилию против пострадавших.

Часть украденных средств преступники тратили на роскошные поездки, дорогие покупки и имущество — яхты, частные самолеты, виллы и даже картину Пикассо, купленную на аукционе в Нью-Йорке.

Киберпреступник под ником TigerJack постоянно атакует разработчиков, размещая вредоносные расширения на маркетплейсе Microsoft Visual Code (VSCode) и в реестре OpenVSX для кражи цифровых активов и установки бэкдоров. Об этом сообщили исследователи из Koi Security.

Два расширения, которые были удалены из VSCode после того, как их скачали 17 000 раз, все еще доступны в OpenVSX. Более того, TigerJack повторно загружает тот же вредоносный код под новыми названиями на маркетплейсе VSCode.

Расширения C++ Playground и HTTP Format, удаленные с VSCode, были повторно предложены на платформе через новые аккаунты.

При запуске C++ Playground устанавливается слушатель для файлов C++, который эксфильтрует исходный код на несколько внешних серверов. Слушатель активируется примерно через 500 миллисекунд после редактирования, позволяя накапливать нажатия клавиш почти в реальном времени.

Согласно Koi Security, HTTP Format работает как заявлено, но скрытно запускает в фоновом режиме криптомайнер CoinIMP, использующий жестко закодированные учетные данные и конфигурации для добычи криптовалют. Этот майнер, похоже, не имеет ограничений по ресурсам, используя всю мощность для своей работы.

Еще одна категория вредоносных расширений от TigerJack извлекает код JavaScript с заранее заданного адреса и выполняет его на локальном хосте. Этот адрес опрашивается каждые 20 минут, что позволяет запускать произвольный код без необходимости обновления самого расширения.

Исследователи подчеркивают, что, в отличие от стилера исходного кода и криптомайнера, этот третий тип представляет большую угрозу из-за расширенного функционала:

«TigerJack может динамически внедрять любую вредоносную нагрузку без обновления расширения — красть учетные данные и API ключи, развертывать программы-вымогатели, использовать скомпрометированные машины разработчиков как точки входа в корпоративные сети, внедрять бэкдоры в проекты или отслеживать действия пользователей в реальном времени».

На момент подготовки материала администрация OpenVSX не связалась с Koi Security. Оба расширения продолжают оставаться доступными для скачивания.