Крайни потребители

Kитайският AI стартъп DeepSeek, който нашумя с модела си R1, е оставил публично достъпни две бази данни с чувствителна потребителска и оперативна информация. В тях има над 1 млн. записа, съдържащи история на чата на потребителите в обикновен текст, API ключове, данни за бекенда и оперативни метаданни.

Откритието е направено от Wiz Research по време на оценка на сигурността на външната инфраструктура на DeepSeek. Изследователите са категорични, че това представлява критичен риск за платформата.

Потенциален атакуващ може да изтегли не само чувствителни логове и реални чат съобщения в обикновен текст, но и пароли за DeepSeek R1.

Компанията не е установила стабилни правила по отношение на сигурността. Затова и само седмица след официалното пускане на R1 Италия забрани модела.

Свободният достъп до промптовете на потребителите е нарушение на неприкосновеността на личния живот. Организациите трябва добре да обмислят за какво използват платформата и да не допускат участието ѝ в чувствителни бизнес операции. Излагането на данни за бекенда и API ключове може да даде на нападателите път към вътрешните мрежи на DeepSeek. Това би позволило нерегламентирано увеличаване на привилегиите и потенциално мащабни пробиви.

През 2024 г. Google e блокирала 2,36 млн. рискови приложения, подадени в Play Store. Освен това 158 000 акаунта на разработчици са били затворени заради опити за публикуване на зловреден и шпионски софтуер в официалния магазин за Android.

За сравнение, през 2023 г. Google е блокирала 2 280 000 рискови приложения, а през 2022 г. – 1 500 000. Цифрите за блокираните акаунти на разработчици са били съответно 333 000 и 173 000.

По-големият брой блокирани приложения през 2024 г. отчасти се дължи на изкуствения интелект, подпомагащ човешките прегледи. Технологията е била използвана в 92% от случаите, при които са открити нарушения.

Google съобщава също така, че е предотвратила и получаването на прекомерни разрешения от 1,3 милиона приложения. Те биха им предоставили ненужен достъп до чувствителни потребителски данни.

Въпреки че компанията засилва защитата на Android всяка година, пропуски в сигурността продължава да има. Киберпрестъпниците използват нови, все по-усъвършенствани методи за заобикаляне на автоматичните скенери.

Затова потребителите трябва:

• да се доверяват само на реномирани разработчици и винаги да проверяват отзивите за непознати такива;
• да поддържат броя на инсталираните приложения на минимално необходимото ниво;
• да проверяват и отменят разрешенията на рискови приложения и да гарантират, че системата за проверка Play Protect работи във всеки един момент.

Киберпрестъпниците все по-често използват уязвимостите на правителствени уебсайтове, за да провеждат фишинг кампании. Злоупотребата с домейни от първо ниво .gov в множество държави е нарасналa сериозно между ноември 2022 до ноември 2024.

Според ново изследване на Cofense Intelligence правителствени домейни са участвали във фишинг кампании в над 20 държави. Седемте водещи в класацията страни са отговорни за 75% от злоупотребите. Бразилия е начело в списъка, следвана от Колумбия и САЩ.

За да се предпазят от подобни заплахи:

• правителствените агенции трябва да въведат по-строги мерки за киберсигурност;
• организациите трябва редовно да актуализират и поправят софтуерните уязвимости в своите системи;
• бизнесите и потребителите трябва да повишат осведомеността си и да наблегнат на обучението си, за да помогнат за намаляване на рисковете, свързани с фишинг атаки.

Не на последно място, всеки трябва да е изключително внимателен при получаване на неочаквани имейли по чувствителни теми. Дори те да идват от на пръв поглед официални податели от държавната администрация.

Нова фишинг кампания таргетира българските потребители във Facebook. Тя използва новини за смъртта на известни личности – български и световни, придружени със снимка, на която е изписано R.I.P. Към снимката е приложен и линк – https://shortul.at.

Ако потребителят последва линка, за да прочете „новината“, нападателите превземат акаунта му. Новата фишинг кампания засяга всевъзможни тематични групи, като обикновено постовете се публикуват от профили с азиатски имена.

Това е поредната подобна измама, насочена към кражба на Facebook акаунти и със сигурност няма да е последната. Съветваме ви, когато срещнете подобна ексклузивна новина, да не следвате линкове в социалните мрежи. Потърсете информация по темата в реномирани медии.

 

 

Втори ден Единната информационна деловодна система и сайтът на Върховния административен съд (ВАС) са недостъпни след кибератака.

Атакуваната платформа съдържа информация по делата, водени от административните съдилища в страната. В момента тя не може да бъде използвана нито от служителите, нито от заинтересованите страни.

Пред BTV експертът по киберсигурност Любомир Тулев предупреди, че ако става дума за ransomware атака, последиците могат да бъдат много сериозни. Това би означавало, че нападателите са имали достъп до системата и могат както да извличат информация, така и да трият.

По думите му има голяма вероятност атаката да е извършена чрез фишинг имейли, които служители са отворили на служебните си компютри.

Този случай е поредното предупреждение за организациите какво може да им коства липсата на ясна стратегия за киберсигурност.

За да се защитят бизнесите, трябва да:

• провеждат редовни обучения на служителите си за разпознаване на фишинг атаки;
• защитят всички свои компютри и устройства с актуализиран антивирусен софтуер, който включва антифишинг функции;
• активират 2FA (MFA) за всички важни акаунти и системи;
• включат филтрите за спам и фишинг в имейл системата си;
• разработят и внедрят политика за сигурност, която включва процедури за справяне с фишинг атаки и други киберзаплахи.

Служителите, от своя страна, трябва да:

• проверяват внимателно името и имейл адреса на подателя и ако не са сигурни, никога да не кликат върху линкове или прикачени файлове;
• преди да въвеждат лична информация да проверяват дали уебсайтът е защитен (търсете „https://“ и иконка на катинар в адресната лента);
• не споделят никога лични данни като пароли или информация за кредитни карти чрез имейл или съмнителни уебсайтове;
• бъдат внимателни при получаване на съобщения, които изискват спешни действия, тъй като фишинг атаките често разчитат на това.

Ако получите съобщение, което изисква незабавни действия, проверете го внимателно. Дори то да идва от на пръв поглед доверен източник.

Cisco предупреди за нова уязвимост в своя инструмент Meeting Management. Тя позволява на отдалечен нападател да получи администраторски достъп.

Уязвимостта има оценка за сериозност (CVSS) 9,9 от 10 и е свързана с комбинация от неправилни разрешения по подразбиране и грешки при обработка на привилегии. Атакуващият може да се възползва от тази уязвимост, като изпрати API заявки към определена крайна точка.

Уязвимостта засяга всички инстанции на Cisco Meeting Management до версия 3.9. По-новите версии (напр. версия 3.10) не са уязвими. За по-старите компанията пусна поправена версия на софтуера – 3.9.1.

Инсталирайте я незабавно!

Хакери разпространяват близо 1000 уебстраници, имитиращи Reddit и услугата за споделяне на файлове WeTransfer, които водят до изтегляне на зловредния софтуер Lumma Stealer.

Тези, свързани със социалната мрежа, показват фалшива дискусия по определена тема. Създателят на темата моли за помощ за изтегляне на конкретен инструмент. Друг потребител предлага да помогне, като го качи в WeTransfer и сподели връзката, а трети му благодари, за да изглежда всичко легитимно.

Нищо неподозиращите жертви, които щракват върху връзката, биват отвеждани до фалшив сайт на WeTransfer. Той имитира интерфейса на популярната услуга за споделяне на файлове. Бутонът „Изтегляне“ обаче сваля полезния товар на Lumma Stealer.

Атаката започва през злонамерени реклами и уебсайтове, SEO poisoning, директни съобщения в социалните медии и други средства.

Lumma Stealer е мощен инструмент с усъвършенствани механизми за заобикаляне на системите за сигурност. Обикновено той се използва за извличане на чувствителни данни за вход от компании, които впоследствие се продават в хакерски форуми.

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

Хиляди данни за акаунти на големи доставчици на киберсигурност са изтекли в Dark Web.

Според Cyble от началото на 2025 удостоверителни пълномощни от поне 14 доставчици на услуги за сигурност са били продадени в незаконни онлайн пазари. Те варират от вътрешни акаунти до достъп на клиенти в уеб и облачни среди. Това предполага, че са били компрометирани както самите клиенти, така и служителите на доставчиците на инструменти за киберсигурност.

Данните са откраднати чрез infosteаler от мениджъри на пароли, системи за удостоверяване, платформи за управление на устройства или интернет услуги като GitHub, AWS, Microsoft Online, WordPress, Oracle и Zoom.

Тази новина трябва да вдигне високо червения флаг за всеки един бизнес. Щом най-големите доставчици на услуги за сигурност могат да бъдат засегнати, то това може да се случи и с всяка организация. Киберсигурността трябва да е е основен приоритет за вашата компания, а не нещо пожелателно.

Уязвимост с висока степен на опасност в архиватора на файлове 7-Zip позволява на атакуващите да заобиколят функцията за сигурност на Windows Mark of the Web (MotW). По този начин те могат да изпълнят код на компютрите на потребителите при извличане на зловредни файлове, вложени в архиви.

7-Zip поддържа MotW от версия 22.00 през юни 2022 г. Оттогава тя автоматично добавя MotW флагове към всички файлове, извлечени от изтеглени архиви, които може да идват от ненадеждни източници и трябва да се третират с повишено внимание.

Microsoft Office също проверява за MotW флагове и ако ги открие, отваря документите в Protected View – режим само за четене – и деактивира всички макроси.

Откритата от Trend Micro уязвимост обаче позволява заобикалянето на тези предупреждения. Тя е поправена във версия 24.09 на 7-Zip, но този софтуер няма функция за автоматично обновяване.

Затова всички потребители на 7-Zip трябва да преминат ръчно към нея възможно най-бързо.