Взломы, утечки и охота на киберпреступников: основные события недели в мире безопасности

Мы подготовили самые актуальные события в сфере кибербезопасности за прошедшую неделю.

Специалисты «Лаборатории Касперского» представили информацию о новом стилере Stealka. Это программное обеспечение, предназначенное для пользователей Windows, имеет возможность похищать данные, криптовалюту, захватывать учетные записи и внедрять скрытые майнеры.

Как выяснили аналитики, данное ПО часто маскируется под ключи активации, чит-коды и модификации. Оно запускается вручную жертвой и распространяется через известные платформы, такие как GitHub, SourceForge, Softpedia и Google Sites.

В более продвинутых схемах злоумышленники создают правдоподобные копии сайтов, ориентируясь на популярные поисковые запросы. Подобные фальшивки имитируют надежные ресурсы и уведомляют пользователей о якобы завершенной проверке всех данных на наличие вирусов.

Stealka обладает разнообразными функциями, однако основной целью данного инфостилера являются данные пользователей браузеров на базах Chromium и Gecko, включая такие популярные браузеры, как Chrome, Firefox, Opera, «Яндекс.Браузер», Edge и Brave.

Преступников особенно интересует информация, содержащаяся в памяти автозаполнения, которая включает учётные записи и данные платежных карт. Файлы cookie и токены сессий позволяют злоумышленникам обходить двухфакторную аутентификацию, что используется для захвата учетных записей, через которые злоумышленники могут продолжить распространять вредоносное ПО.

Согласно информации от «Лаборатории Касперского», Stealka нацелена на 115 различных браузерных расширений. Среди категорий программ, подверженных риску, находятся:

Стилер также угрожает мессенджерам, почтовым клиентам, менеджерам заметок, игровым сервисам и VPN.

Два расширения в интернет-магазине Chrome с названием Phantom Shuttle выдают себя за плагины для прокси-сервисов, но на самом деле перехватывают интернет-трафик и крадут конфиденциальные данные. Об этом стало известно от Socket.

Целевая аудитория Phantom Shuttle — это пользователи из Китая, включая специалистов внешней торговли, которым необходимо тестировать сеть из различных регионов страны. Оба расширения были выпущены под именем одного и того же разработчика и рекламируются как инструменты для проксирования трафика и тестирования скорости сети. Стоимость подписки составляет от $1,4 до $13,5.

С 2017 года данное ПО перенаправляет действия пользователей через прокси-серверы, контролируемые преступниками, с доступом на них через жестко зашитые учетные данные. Вредоносный код интегрирован в легитимную библиотеку jQuery.

Благодаря «прослушиванию» трафика, расширения могут перехватывать HTTP-аутентификацию на каждом посещаемом сайте. Они динамически изменяют параметры прокси в Chrome, используя скрипт автоконфигурации.

По умолчанию, вредонос способен блокировать более 170 доменов, среди которых:

В список исключений входят локальные сети и управляющий домен, что помогает избежать сбоев в работе и их обнаружения.

Работая по принципу «человек посередине», расширение может:

Крупнейший музыкальный стриминговый сервис стал жертвой массового парсинга со стороны активистов из Anna’s Archive.

Эта группа приобрела известность благодаря своей кампании по сохранению литературных и научных публикаций, а также других материалов. Они позиционируют себя как «самая большая по-настоящему открытая библиотека в истории человечества», предоставляя доступ к более чем 61 миллиону книг и 95 миллионам статей.

В извещении, опубликованном 20 декабря 2025 года под заглавием «Бэкапим Spotify», команда утверждает, что им удалось получить доступ к метаданным более 250 миллионов треков и 86 миллионов аудиофайлов сервиса.

Общий объем похищенных данных составляет примерно 300 ТБ. Наиболее популярные композиции представлены в качестве 160 кбит/с, в то время как менее известные треки сжаты до 75 кбит/с.

Представители Anna’s Archive утверждают, что этот шаг позволил им создать «первый в мире архив для музыки». По их данным, архив охватывает 99,6% всех прослушиваний на Spotify.

Группа загрузила метаданные на свой торрент-сайт и планирует в будущем выпустить аудиофайлы. Позже последуют дополнительные метаданные и обложки альбомов, которые будут размещены в порядке популярности.

21 декабря представители Spotify подтвердили факт парсинга в комментарии Billboard:

«Проведенное расследование несанкционированного доступа показало, что третья сторона собрала публичные метаданные, применив незаконные методы для получения доступа к некоторым аудиофайлам платформы».

23 декабря пресс-секретарь Spotify подтвердил изданию PCMag информацию о «поиске и блокировке учетных записей злоумышленников, причастных к незаконному сбору данных».

Также исследователи безопасности обнаружили серьезную утечку данных в национальной системе мониторинга дорожного движения Узбекистана. Сеть из ста высококачественных камер, использующая технологии распознавания лиц и номерных знаков, долгое время была доступна без какого-либо пароля.

По информации эксперта Анурага Сена, который выявил уязвимость, база данных «интеллектуальной системы управления трафиком» содержит миллионы фотографий и видеозаписей в разрешении 4K, которые могут использоваться для восстановления маршрутов передвижения граждан.

Например, за одним водителем велось наблюдение в течение полугода: камеры фиксировали его поездки между Ташкентом и соседними населенными пунктами несколько раз в неделю.

В технологической основе системы используется оборудование китайской компании Maxvision и сингапурского производителя Holowits. Алгоритмы позволяют не только фиксировать нарушения ПДД, но и идентифицировать личности водителей и пассажиров в реальном времени. Камеры располагаются не только в крупных городах, таких как Джизак и Наманган, но и на стратегически важных участках границ.

Несмотря на размеры утечки, правительственные структуры — в том числе МВД и команда реагирования на киберинциденты UZCERT — на момент публикации материала все еще не закрыли доступ к данным и не предоставили официальные комментарии.

Эта ситуация перекликается с недавними проблемами, с которыми столкнулся американский гигант в области систем наблюдения — компания Flock. Ранее сообщалось, что в США десятки аккаунтов этого поставщика также оказались доступны в сети без авторизации.

Утечки такого масштаба создают значительные угрозы для конфиденциальности, позволяя злоумышленникам использовать государственные системы для преследования и кражи личных данных.

Во время операции Sentinel, проводимой в Африке под контролем Интерпола, правоохранительные органы арестовали 574 человека и возвратили $3 миллиона, связанных с киберпреступлениями, включая взлом корпоративной почты и использование программ-вымогателей.

С 27 октября по 27 ноября 2025 года полицейские 19 стран смогли уничтожить около 6000 вредоносных ссылок и расшифровать шесть версий программного обеспечения-вымогателей. Убытки от действий киберомошенников превысили $21 миллиона.

Основные успехи операции Sentinel:

В расследовании также принимали участие частные компании: Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs и Uppsala Security.

Эти команды помогли отслеживать IP-адреса, используемые в атаках с шифровальщиками и случаях шантажа с угрозами публикации интимных материалов, а также способствовали заморозке преступных доходов.