Източване на лични данни

Киберизмамници създават фалшиви уебсайтове, имитиращи DeepSeek. Целта на новата кампания е да се подлъжат потребителите да разкрият лична и чувствителна информация.

Според изследователи от ThreatLabz вече са се появили значителен брой имитационни сайтове на китайския чатбот. Част от тях са deepseeksol.com, deepseeksky.com, deepseek.app, deepseekaiagent.live и много други.

Освен че се прицелват в личните данни на потребителите, хакерите ги подмамват и да изтеглят Vidar – вид infostealer.

Веригата на атаката включва:

• измамен уебсайт на DeepSeek, който иска от посетителите да извършат процес на регистрация;
• потребителят се насочва към фалшива CAPTCHA страница;
• JavaScript копира злонамерена PowerShell команда в клипборда на потребителя, която, ако бъде изпълнена, изтегля и изпълнява Vidar infostealer;
• той краде чувствителни данни като пароли, портфейли за криптовалути и лични файлове.

Зловредният софтуер използва платформи за социални медии, като Telegram, за да прикрие своята C2 инфраструктура. Той е програмиран да търси файлове и конфигурации, конкретно свързани с портфейли за криптовалути.

Китайски ботнет с над 130 000 компрометирани устройства атакува бизнес акаунти в Microsoft 365.

Password spraying кампанията е насочена към различни индустрии по цял свят и успява да заобиколи MFA. Тя използва откраднати чрез infostealer идентификационни данни.

Целта на хакерите е получаване на достъп до чувствителни данни, имейли и инструменти за съвместна работа. Те използват компрометираните акаунти и за вътрешни фишинг атаки в рамките на таргетираните организации.

За да не станете жертва на password spraying:

• въведете политики за достъп, базирани на геолокация;
• деактивирайте старите протоколи за удостоверяване като Basic Authentication;
• следете за изтичане на идентификационни данни в криминални форуми и бързо нулирайте компрометираните акаунти.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.

Kитайският AI стартъп DeepSeek, който нашумя с модела си R1, е оставил публично достъпни две бази данни с чувствителна потребителска и оперативна информация. В тях има над 1 млн. записа, съдържащи история на чата на потребителите в обикновен текст, API ключове, данни за бекенда и оперативни метаданни.

Откритието е направено от Wiz Research по време на оценка на сигурността на външната инфраструктура на DeepSeek. Изследователите са категорични, че това представлява критичен риск за платформата.

Потенциален атакуващ може да изтегли не само чувствителни логове и реални чат съобщения в обикновен текст, но и пароли за DeepSeek R1.

Компанията не е установила стабилни правила по отношение на сигурността. Затова и само седмица след официалното пускане на R1 Италия забрани модела.

Свободният достъп до промптовете на потребителите е нарушение на неприкосновеността на личния живот. Организациите трябва добре да обмислят за какво използват платформата и да не допускат участието ѝ в чувствителни бизнес операции. Излагането на данни за бекенда и API ключове може да даде на нападателите път към вътрешните мрежи на DeepSeek. Това би позволило нерегламентирано увеличаване на привилегиите и потенциално мащабни пробиви.

Пробивите през SaaS платформи са се увеличили с 300% през 12-те месеца от септември 2023. Те са мотивирани основно от финансова печалба, шпионаж и прекъсване на дейността на таргетираната компания.

Според констатациите на Obsidian Security APT групите все по-често се фокусират върху SaaS приложенията, за да крадат чувствителни данни. Причината – бизнесите все повече разчитат на тях за критични операции.

Лошата новина е, че подобни атаки се оказват успешни дори срещу организации със стабилни мерки за сигурност. Все по-широкото използване на SaaS от предприятията означава, че съхранението на данни се премества от крайната точка към приложенията. Това прави акаунтите в SaaS платформите решаващи за защитата на тази информация.

Интегрираният характер на този вид софтуери означава, че една компрометирана идентичност позволява на нападателите лесно да проникнат в множество приложения.

Пробивите в SaaS обикновено започват именно чрез компрометирана идентичност (85%). Другите типове атаки включват:

• Adversary-in-the-middle – AiTM (39%);
• Self-service password reset – SSPR (24%);
• Brute-force атака (14%);
• Push fatigue (MFA fatigue) (13%).

В 84% от инцидентите, анализирани в доклада, MFA не е успяла да спре нападателите.

За да се защитите, трябва да:

• имате цялостен поглед върху всички използвани SaaS приложения и услуги, за да се идентифицират и управляват потенциални уязвимости;
• прилагате контрол на достъпа, базиран на най-малки привилегии. Това ще намали възможността на нападателите да се придвижват в други приложения, след като са получили първоначален достъп;
• създадете система за постоянно наблюдение на SaaS средите, за да се идентифицират бързо уязвимостите и заплахите и да се реагира на тях.

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

Хиляди данни за акаунти на големи доставчици на киберсигурност са изтекли в Dark Web.

Според Cyble от началото на 2025 удостоверителни пълномощни от поне 14 доставчици на услуги за сигурност са били продадени в незаконни онлайн пазари. Те варират от вътрешни акаунти до достъп на клиенти в уеб и облачни среди. Това предполага, че са били компрометирани както самите клиенти, така и служителите на доставчиците на инструменти за киберсигурност.

Данните са откраднати чрез infosteаler от мениджъри на пароли, системи за удостоверяване, платформи за управление на устройства или интернет услуги като GitHub, AWS, Microsoft Online, WordPress, Oracle и Zoom.

Тази новина трябва да вдигне високо червения флаг за всеки един бизнес. Щом най-големите доставчици на услуги за сигурност могат да бъдат засегнати, то това може да се случи и с всяка организация. Киберсигурността трябва да е е основен приоритет за вашата компания, а не нещо пожелателно.

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Човек трябва да се учи от грешките си, а не да ги повтаря. Това важи с пълна сила и за бизнесите. Затова и големите инциденти на полето на киберсигурността не трябва да се забравят.

В първите дни на 2025 ще обърнем поглед назад, за да си припомним някои от знаковите кибератаки и сривове от предходните 12 месеца.

Пробивът на Internet Archive

На 9 октомври Internet Archive беше засегнат от две различни атаки едновременно. При първата бяха откраднати данните на 33 милиона потребители на сайта. В същото време DDoS атака извади от строя платформата за дни.

Въпреки че и двете бяха извършени в един и същ период, те бяха дело на различни групи.

Лоши актуализации на CrowdStrike сринаха 8,5 милиона устройства с Wndows

На 19 юли 2024 г. рано сутринта на компютрите с Windows беше разпространена дефектна актуализация на CrowdStrike Falcon. Това доведе до срив на драйвера на ядрото на софтуера за киберсигурност в операционната система.

Тази грешка предизвика значителни глобални смущения, засягайки приблизително 8,5 милиона устройства.

Дефектната актуализация предизвика поредица от сривове на системите, включително безкрайни цикли на рестартиране. Те засегнаха както устройствата с Windows, така и тези с Windows 365 Cloud. Смущенията спряха работата на финансови компании, авиопревозвачи, болници и др. по целия свят.

Нещата се влошиха още повече, когато в играта се включиха киберпрестъпниците. Те започнаха да разпространяваха фалшиви инструменти за ремонт на CrowdStrike и ръководства, които прокарваха зловреден софтуер, включително новия infostealer Daolpu.

Кражбата на данни от SnowFlake

През май хакери започнаха да продават критична информация, за която твърдяха, че е открадната от клиенти на Snowflake. Разследването установи, че нападателите не са пробили защитите на облачната платформа, а са използвали компрометирани идентификационни данни, за да влязат в акаунтите на клиентите ѝ.

През юли AT&T разкри, че по време на инцидента са били изложени на риск регистрите на обажданията на 109 млн. нейни клиенти.

TicketMaster също беше засегната, след като бяха откраднати данните на 560 милиона души.

Твърди се, че в рамките на тези атаки хакерите са измъкнали 2,5 млн. долара от засегнатите компании.

Атаката с ransomware срещу UnitedHealth

През февруари дъщерното дружество на UnitedHealth – Change Healthcare – претърпя масирана ransomware атака. Тя предизвика огромни смущения в здравната индустрия на САЩ.

Атаката беше свързана с BlackCat. Групата е използвала откраднати пълномощия, за да пробие услугата за отдалечен достъп Citrix на компанията. Причината – тя не е имала активирана MFA.

Хакерите откраднаха 6 TB данни и криптираха компютрите в мрежата. Това принуди компанията да изключи IT системите си, за да предотврати разпространението на атаката.

UnitedHealth Group призна, че е платила искания откуп в размер на 22 млн. долара. През октомври компанията потвърди, че личните и здравните данни на повече от 100 милиона души са били откраднати. Това е най-големият пробив в здравната индустрия през последните години.

Атаките срещу телеком мрежата в САЩ

Китайската APT група Salt Typhoon атакува множество телекомуникационни компании в световен мащаб. Кампанията ѝ компрометира най-малко девет големи доставчици на телекомуникационни услуги в САЩ, включително AT&T, Verizon и T-Mobile.

Целта на атаките беше кражбата на текстови съобщения, информация за телефонни обаждания и гласова поща от конкретни високопоставени лица. Хакерите успяха да компрометират платформите за подслушване, използвани от правителството на САЩ, което породи сериозни опасения за националната сигурност на страната.

В отговор на атаката, Вашингтон планира да забрани операциите на China Telecom в САЩ.

Пробивът на корпоративната електронна поща на Microsoft от хакери, свързани с Кремъл

През януари Microsoft разкри, че спонсорирани от руската държава хакери са проникнали в корпоративните ѝ имейл сървъри. При пробива бяха откраднат имейли от ръководството, екипите по киберсигурност и правния отдел. Някои от тях са съдържали информация за самата хакерска група, което е позволило на нападателите да научат какво знае Microsoft за тях.

През март 2024 г. Midnight Blizzard отново успяха да проникнат в системите на технологичния гигант. През април CISA потвърди, че при атаката са били откраднати имейли между федерални агенции на САЩ и Microsoft. Те са съдържали информация, която е позволила на хакерите да получат достъп до критични системи на някои нейни клиенти.

В края на миналата година FreedomOnline съобщи за масивна фишинг кампания, компрометирала най-малко 5 разширения за Google Chrome. Вече е ясно, че броят им е значително по-голям – 35 – като те се използват от приблизително 2,6 милиона потребители. Във всички тях хакерите са инжектирали зловреден код за кражба на чувствителна информация.

Атакуващите са използвали фишинг имейли, маскирани като официални известия от Google Chrome Web Store Developer Support. Чрез тях те са подмамили разработчиците да им предоставят OAuth разрешения за техните проекти. По този начин участниците в заплахата са заобиколили мерките за MFA и са получили възможност да качват нови, компрометирани версии.

Засегнатите разширения варират от популярни инструменти за виртуални частни мрежи (VPN) до приставки за производителност. Злонамереният код отвлича потребителски сесии, бисквитки и идентификационни данни за акаунти в социалните медии. Една от основните цели на кампанията са корпоративни профили с достъп до платени рекламни функции.

Ето го и целият списък със засегнати разширения:

Extension Name	Status	Version / Identifier
Where is Cookie?	Not yet addressed	emedckhdnioeieppmeojgegjfkhdlaeo
Web Mirror	Not yet addressed	eaijffijbobmnonfhilihbejadplhddo
ChatGPT App	Not yet addressed	lbneaaedflankmgmfbmaplggbmjjmbae
Hi AI	Not yet addressed	hmiaoahjllhfgebflooeeefeiafpkfde
Web3Password Manager	Not yet addressed	pdkmmfdfggfpibdjbbghggcllhhainjo
YesCaptcha assistant	Not yet addressed	[email protected]
Bookmark Favicon Changer	Addressed	5.1 / [email protected]
Proxy SwitchyOmega (V3)	Not yet addressed	[email protected]
GraphQL Network Inspector	Addressed	2.22.7 / [email protected]
AI Assistant	Removed from store	bibjgkidgpfbblifamdlkdlhgihmfohh
Bard AI chat	Removed from store	pkgciiiancapdlpcbppfkmeaieppikkk
ChatGPT for Google Meet	Removed from store	epdjhgbipjpbbhoccdeipghoihibnfja
Search Copilot AI Assistant for Chrome	Removed from store	bbdnohkpnbkdkmnkddobeafboooinpla
TinaMind	Addressed	2.14.0 / befflofjcniongenjmbkgkoljhgliihe
Wayin AI	Addressed	0.0.11 / cedgndijpacnfbdggppddacngjfdkaca
VPNCity	Not yet addressed	nnpnnpemnckcfdebeekibpiijlicmpom
Internxt VPN	Addressed	1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni
Vidnoz Flex	Removed from store	cplhlgabfijoiabgkigdafklbhhdkahj
VidHelper	Not yet addressed	egmennebgadmncfjafcemlecimkepcle
Castorus	Addressed	4.41 / mnhffkhmpnefgklngfmlndmkimimbphc
Uvoice	Not yet addressed	oaikpkmjciadfpddlpjjdapglcihgdle
Reader Mode	Not yet addressed	fbmlcbhdmilaggedifpihjgkkmdgeljh
ParrotTalks	Not yet addressed	kkodiihpgodmdankclfibbiphjkfdenh
Primus	Addressed	3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe
Keyboard History Recorder	Not yet addressed	igbodamhgjohafcenbcljfegbipdfjpk
ChatGPT Assistant	Not yet addressed	bgejafhieobnfpjlpcjjggoboebonfcg
Reader Mode	Removed from store	llimhhconnjiflfimocjggfjdlmlhblm
Visual Effects for Google Meet	Addressed	3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem
AI Shop Buddy	Not yet addressed	epikoohpebngmakjinphfiagogjcnddm
Cyberhaven V3 Security Extension	Addressed	pajkjnmeojmbapicmbpliphjmcekeaac
Earny	Not yet addressed	oghbgbkiojdollpjbhbamafmedkeockb
Rewards Search Automator	Not yet addressed	eanofdhdfbcalhflpbdipkjjkoimeeod
Tackker	Addressed	ekpkdmohpdnebfedjjfklhpefgpgaaji
Sort By	Not yet addressed	miglaibdlgminlepgeifekifakochlka
Email Hunter	Not yet addressed	mbindhfolmpijhodmgkloeeppmkhpmhc

Ако използвате някое от тях:

• незабавно деинсталирайте или актуализирайте до поправена версия;
• нулирайте паролите и отменете активните сесии;
• прегледайте личните и служебните си акаунти за необичайна активност.

Разработчиците трябва да бъдат бдителни по отношение на опитите за фишинг и да активират надеждни проверки за сигурност на своите приложения.