Эксплозия киберугроз: Уязвимости EXCLUSIVE, шантаж на Pornhub и новое ПО SantaStealer на пороге атак!

Мы подготовили обзор основных событий в области кибербезопасности за прошедшую неделю.

Недавно возросло количество случаев, когда вредоносное ПО используется для кражи средств из криптокошельков. Хакеры проникают на сайты, эксплуатируя уязвимость в известной библиотеке на JavaScript — React, как сообщает Cointelegraph.

3 декабря команда React объявила, что белый хакер Лаклан Дэвидсон выявил уязвимость, которая позволяет осуществлять удаленное выполнение кода без необходимости аутентификации. В тот же день было выпущено обновление для устранения проблемы.

По информации от некоммерческой организации Security Alliance (SEAL), злоумышленники используют данную уязвимость для внедрения кода дрейнеров на криптовалютные платформы.

В SEAL отметили, что под угрозой находятся не только Web3-протоколы, но и веб-сайты вообще. Пользователям рекомендуется проявлять осторожность при подтверждении любых транзакций или разрешений.

Пользователи платформы для взрослых Pornhub столкнулись с вымогательством со стороны хакерской группы ShinyHunters. Об этом сообщило руководство компании.

В документе указано, что взлом произошел через стороннего аналитического провайдера Mixpanel 8 ноября 2025 года, после смишинга.

Согласно данным BleepingComputer, Pornhub не сотрудничает с Mixpanel с 2021 года, что понижает вероятность утечки данных с их стороны.

Подрядчик подтвердил, что инцидент затронул лишь “ограниченное количество” клиентов, среди которых были упомянуты OpenAI и CoinTracker.

В комментариях к BleepingComputer представители Mixpanel заявили, что не считают свою систему источником утечки:

«У нас нет никаких доказательств того, что данные были похищены из Mixpanel во время ноябрьского инцидента или каким-либо другим способом. Последний доступ к этой информации был осуществлен легитимной учетной записью сотрудника Pornhub в 2023 году».

Известно также, что ShinyHunters начали шантажировать клиентов Mixpanel на прошлой неделе, рассылая электронные письма с требованиями выкупа.

В ультиматуме, адресованном Pornhub, хакеры заявили о краже 94 ГБ данных, в которые входит более 200 миллионов записей личной информации.

Позже группировка подтвердила информацию о том, что база включает 201 211 943 аккаунта премиум-подписчиков.

Злоумышленники предоставили редакции образец похищенной информации, содержащий конфиденциальные сведения:

Новое программное обеспечение для кражи данных под названием SantaStealer активно рекламируется в Telegram и на хакерских форумах. Оно распространяется по модели CaaS, как сообщают специалисты из Rapid7.

Согласно их данным, SantaStealer — это новая версия вредоносной программы BluelineStealer. Она функционирует исключительно в оперативной памяти, чтобы уклоняться от обнаружения антивирусными программами.

Разработчик активно рекламирует свое ПО перед его полномасштабным запуском, который запланирован на конец года.

Подписка на CaaS доступна в двух вариантах.

Специалисты Rapid7 изучили несколько образцов SantaStealer и получили доступ к партнерскому интерфейсу. Несмотря на наличие различных механизмов для кражи данных, вредоносная программа не соответствует заявленным характеристикам по обходу систем обнаружения.

Исследование показало, что панель управления стилером имеет удобный интерфейс, позволяя клиентам настраивать сборки: от полнофункциональной кражи до компактных полезных нагрузок с точечным целеуказанием.

SantaStealer использует 14 различных модулей для сбора данных, каждый из которых работает в отдельном потоке. Украденная информация сохраняется в оперативной памяти, архивируется в ZIP-формат и отправляется кусками по 10 МБ на командный сервер.

По данным исследователей, SantaStealer можно применять для кражи:

Специалисты Amazon GuardDuty выявили кампанию по скрытой добыче криптовалют, нацеленной на сервисы развертывания виртуальных машин и контейнеров Elastic Compute Cloud (EC2) и Elastic Container Service (ECS).

Используя мощности AWS, злоумышленники получают финансовую выгоду, которая ложится на плечи клиентов и самой Amazon, так как они вынуждены покрывать расходы на вычислительные ресурсы.

Атака проводилась через образ, созданный в конце октября на Docker Hub, который к моменту обнаружения насчитывал более 100 000 загрузок. Amazon подчеркнула, что злоумышленники не взламывали программное обеспечение, а получили доступ к аккаунтам клиентов с помощью украденных учетных данных.

В отчете сообщается, что особенностью этой кампании стало использование настройки, запрещающей администраторам удаленно выключать машины. Это заставляло специалистов по безопасности сначала отключать защиту, а затем останавливать добычу криптовалют.

Amazon предупредила пострадавших клиентов о необходимости смены скомпрометированных учетных данных. Вредоносный образ был удален из Docker Hub, однако специалисты предостерегли о возможном повторном размещении ПО под другими учетными именами.

Один из инвесторов в биткоины проиграл деньги, став жертвой мошенничества схемы «забоя свиней». Об этом сообщил биткоин-консультант The Bitcoin Adviser Теренс Майкл.

По его словам, неназванный клиент перевел свои средства мошеннику, который выдавал себя за трейдера и обещал удвоить его активы. Майкл также отметил, что злоумышленник притворялся влюбленной женщиной.

Несмотря на «многочисленные телефонные звонки» и «поток текстов» с предупреждениями, он не смог убедить клиента не отправлять BTC.

«[…] Вчера вечером, когда я был на ужине, я получил от него трагическое сообщение о том, что он потерял все».

Кроме потери пенсионных сбережений, недавно разведенный инвестор также оплатил мошеннику авиабилет, ожидая встречи с “женщиной”. После отправки денег злоумышленник признался, что фотографии, которые он использовал, были созданы с помощью искусственного интеллекта.

Рекламный алгоритм холодильника, совпавший с именем хозяйки, спровоцировал у нее серьезный психотический эпизод.