кибератаки

Злонамерен Python Package Index (PyPI) пакет, наречен „set-utils“, краде частни ключове на Ethereum чрез функции за създаване на портфейл и ги изнася през блокчейна Polygon.

Пакетът се маскира като помощна програма за Python, имитирайки популярните „python-utils“, които имат над 712 милиона изтегляния, и „utils“ с 23,5 милиона инсталации. Set-utils е бил изтеглен над хиляда пъти от представянето му в PyPI на 29 януари 2025 г. Тъй като е насочен към проекти за криптовалути обаче, въпреки че е имало само хиляда изтегляния, той би могъл да засегне много по-голям брой хора.

Злонамереният пакет set-utils вгражда публичния ключ RSA на нападателя, който се използва за криптиране на откраднати данни и акаунт. Атакaта е насочена предимно към разработчици на блокчейн, използващи „eth-account“ за създаване и управление на портфейл, базирани на Python DeFi проекти. В обхвата ѝ също така попадат Web3 приложенията с поддръжка на Ethereum и лични портфейли, използващи автоматизация на Python.

Пакетът set-utils е премахнат от PyPI след откриването му. Въпреки това потребителите и разработчиците на софтуер, които са го включили в своите проекти, трябва незабавно да го деинсталират.

Приемете, че всички създадени портфейли на Ethereum са компрометирани. Ако те съдържат средства, препоръчваме ви да ги преместите в друг портфейл възможно най-скоро, тъй като има риск да бъдат откраднати във всеки един момент.

Microsoft е премахнала неразкрит брой хранилища в GitHub, използвани в масирана кампания за злонамерена реклама. Тя е засегнала почти един милион устройства по целия свят.

Компанията е открила кампанията в началото на декември 2024 г., след като е засякла множество устройства да изтеглят зловреден софтуер от GitHub. По-късно той е използван за разгръщане на поредица от различни други полезни товари в компрометираните системи.

Атаката протича така:

• нападателите инжектират реклами във видеоклипове на незаконни пиратски уебсайтове за стрийминг;
• видеоклиповете пренасочват потребителите към хранилища на GitHub. Те ги заразяват със злонамерен софтуер, събиращ подробна информация за системата;
• PowerShell скрипт изтегля троянеца за отдалечен достъп NetSupport, през който се инсталира infostealer Lumma.

Dropbox и Discord също се използват по сходен с GitHub начин. Кампанията е засегнала широк кръг организации и индустрии, включително потребителски и корпоративни устройства.

За да се предпазите:

• използвайте надежен антивирусен софтуер и го поддържайте актуален;
• изпoлзвайте Add Block;
• oбучавайте потребителите да избягват кликване на подозрителни реклами и поп-ъп прозорци;
• използвайте сигурни настройки на браузъра, които блокират изскачащи прозорци;
• конфигурирайте WAF (Web Application Firewall) с правила, специфични за malvertising, за да блокирате известни вектори на атаки като drive-by downloads.

Организациите с нестопанска цел (НПО) все по-често стават обект на кибератаки. През 2024 заплахите срещу тях, базирани на електронна поща, са се увеличили с 35,2%. Те са насочени към данни на дарители, финансови трансакции и вътрешни комуникации.

Според нов доклад на Abnormal Security НПО са се превърнали в основни мишени заради ограничените си ресурси за киберсигурност, средата с високо доверие и честите финансови трансфери.

Нападателите се възползват от тези уязвимости, за да прилагат business email compromise (BEC) и vendor email compromise (VEC) схеми. Те подвеждат служителите от НПО сектора да пренасочват средства или да споделят чувствителна информация.

За този скок на атаките срещу него допринася и все по-усъвършенстваните тактики за социално инженерство.

Киберпрестъпниците изготвят изключително автентично изглеждащи фишинг имейли, които заобикалят традиционните филтри за сигурност. Често те се представят за дарители, регулаторни агенции или партньорски организации. Увеличаването на цифровите инструменти за набиране на средства и онлайн сътрудничество допълнително разширява повърхността за атака.

Фишингът на идентификационни данни срещу НПО е нараснал с 50,4%. При успешна атака престъпниците могат да компрометират вътрешните комуникации, да извършват финансови измами или да продават чувствителни данни в Dark Web.

Ransomware също е много опасен за организациите с нестопанска цел. Много от тях не разполагат с финансови ресурси, за да се възстановят от значителни прекъсвания на IT системите си.

НПО трябва да предприемат проактивни мерки за защита на своите операции. Те включват:

• използване на решения за сигурност на електронната поща, базирани на AI и филтри за блокиране на известни източници на фишинг;
• защита на имейл акаунтите с MFA;
• редовни обучения за повишаване на осведомеността относно киберсигурността на служителите.

Нов вариант на malware ботнета Vo1d е нараснал до 1 590 299 заразени устройства с Android TV в 226 държави. Той е достигнал своя пик на 14 януари 2025, а в момента има 800 000 активни бота. Тази голяма разлика в броя се дължи на това, че операторите му отдават голяма част от пленените устройства „под наем“ на други групи.

Според XLab новата версия на ботнета Vo1d продължава операциите си в още по-голям мащаб, въпреки че преди време беше разркрит. През септември 2024 изследователите от Dr. Web откриха 1,3 милиона устройства в 200 държави.

Освен това ботнетът е еволюирал с усъвършенствано криптиране, по-добра инфраструктура и оптимизирани възможности за прикриване.

Vo1d е един от най-големите през последните години. Той надминава Bigpanzi, първоначалната операция Mirai. Зловредната мрежа, отговорна за рекордната DDoS атака от 5,6 Tbps, с която Cloudflare се справи миналата година, също остава назад.

Препоръчваме на потребителите на Android TV да следват комплексен подход за киберсигурност. Той включва:

• закупуване на устройства от реномирани доставчици и надеждни дистрибутори, за да се сведе до минимум вероятността зловредният софтуер да бъде предварително зареден;
• своевременно инсталиране на актуализациите на фърмуера и сигурността, които да отстранят уязвимостите, използвани за дистанционно превземане на устройствата;
• избягване на изтеглянето на приложения извън Google Play или фърмуер от трети страни, който обещава разширени функционалности.

Функциите за отдалечен достъп до устройствата с Android TV трябва да бъдат деактивирани, ако не са необходими. Изключването им от мрежата, когато не се използват, също е ефективна стратегия.

Атаките през трети страни са се превърнали в основен фактор за финансови загуби от киберинциденти през 2024 г.

Те са в основата на 31% от всички застрахователни искове и 23% от материалните последствия през миналата година. Според компанията за управление на киберрискове Resilience това бележи значителна промяна спрямо 2023. Тя подчертава нарастващата уязвимост, създадена от взаимосвързаните системи и зависимостта от външни доставчици.

Атаките с ransomware, насочени към доставчици, съставляват 42% от исковете към трети страни през 2024. Загубите от тези инциденти нарастват четири пъти в сравнение с предходната година.

Като цяло ransomware запазва позицията си на водеща причина за материални щети за бизнеса през миналата година.

За да се защитят, организациите трябва да:

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• са сигурни, че резервните копия работят правилно, което изисква постоянни проверки;
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използват софтуери за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждат постоянно обучения по киберсигурност на служителите си.

Ако сте предводител на армия как ще предпочетете да я изпратите в битка – „въоръжена“ с цялата налична информация за врага или на сляпо? Очевидно е, че първият вариант е по-добър.

Същото е и в киберсигурността. Затова всяка организация трябва да е наясно с основните начини, по които може да бъде пробита от хакерите.

Ето 9 от тях:

1. Социално инженерство: Повече от 90% от атаките започват със социално инженерство. При него нападателите се насочват към хората, а не към техническите системи. С помощта на различни фишинг техники те подмамват потребителите да кликнат върху злонамерени връзки, да споделят пароли или да изтеглят зловреден софтуер.
2. Софтуерни грешки: Слабостите на даден софтуер могат да бъдат използвани от хакерите, за да получат неоторизиран достъп до организацията ви или да поемат контрол над вашите системи. Подобни уязвимости често възникват в резултат на грешки в кодирането, лоши практики за сигурност или остарял софтуер.
3. Authentication attacks: Те са насочени към системи, които се използват за удостоверяване на самоличността на потребителите. Те използват компрометиране на потребителските данни или уязвимости в механизмите за удостоверяване.
4. Злонамерени инструкции/скриптове: Всеки език за програмиране, макроезик или език за автоматизация може да бъде използван за злонамерени цели. Например PowerShell, инструмент, който вече присъства на всички машини с Windows, може да бъде програмиран или инструктиран да прави лоши неща. При този подход нападателите доставят на жертвите зловреден скрипт, използвайки социално инженерство. Ако те кликнат върху него, той компрометира системата им.
5. Злоупотреба с данни: В този случай нападателите умишлено променят или повреждат данни по начин, който води до неправилно тълкуване или поведение на системата. Чрез използване на несъответствия в начина, по който се обработват или валидират данните, нападателите могат да предизвикат претоварване на буфера. Това може да доведе до неоторизиран достъп, срив на системата или други нарушения на сигурността.
6. Човешка грешка или неправилно конфигуриране: Често срещана грешка е даден потребител да иска да изпрати имейл с чувствителни данни на даден получател, а да го изпрати на друг. Това създава сериозна възможност за нарушения на сигурността. Друга често срещана човешка грешка е неправилното конфигуриране или предоставянето на прекалено широки разрешения.
7. Man in the middle атаки: При Man in the middle атаките, нападателите не само прихващат, но и манипулират предаваните данни. При тях информацията изглежда легитимна както за изпращача, така и за получателя. По този начин може да бъде открадната всевъзможна критична информация.
8. Brute force: Този тип атаки използват различни комбинации от входни данни, като например пароли или ключове за криптиране, докато намерят правилната. Слабите или кратките пароли са особено уязвими. Статистиките сочат, че хакерите се нуждаят от едва 37 секунди, за да разбият обикновена осемцифрена парола, използвайки brute force.
9. Вътрешни атаки: Вътрешни атаки се случват, когато доверени служители, бизнес партньори или изпълнители злоупотребяват с достъпа си до системи или данни за злонамерени цели. Това включва кражба на информация, саботаж на системите или умишлено извличане на чувствителни данни. Вътрешните атаки са особено опасни, защото извършителите вече имат достъп и откриването на злонамерените им действия може да бъде трудно.

Очаквайте продължението: „Как да се защитим от най-използваните методи за кибератака срещу бизнеса“.

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.

 

Киберизмамници създават фалшиви уебсайтове, имитиращи DeepSeek. Целта на новата кампания е да се подлъжат потребителите да разкрият лична и чувствителна информация.

Според изследователи от ThreatLabz вече са се появили значителен брой имитационни сайтове на китайския чатбот. Част от тях са deepseeksol.com, deepseeksky.com, deepseek.app, deepseekaiagent.live и много други.

Освен че се прицелват в личните данни на потребителите, хакерите ги подмамват и да изтеглят Vidar – вид infostealer.

Веригата на атаката включва:

• измамен уебсайт на DeepSeek, който иска от посетителите да извършат процес на регистрация;
• потребителят се насочва към фалшива CAPTCHA страница;
• JavaScript копира злонамерена PowerShell команда в клипборда на потребителя, която, ако бъде изпълнена, изтегля и изпълнява Vidar infostealer;
• той краде чувствителни данни като пароли, портфейли за криптовалути и лични файлове.

Зловредният софтуер използва платформи за социални медии, като Telegram, за да прикрие своята C2 инфраструктура. Той е програмиран да търси файлове и конфигурации, конкретно свързани с портфейли за криптовалути.

Китайски ботнет с над 130 000 компрометирани устройства атакува бизнес акаунти в Microsoft 365.

Password spraying кампанията е насочена към различни индустрии по цял свят и успява да заобиколи MFA. Тя използва откраднати чрез infostealer идентификационни данни.

Целта на хакерите е получаване на достъп до чувствителни данни, имейли и инструменти за съвместна работа. Те използват компрометираните акаунти и за вътрешни фишинг атаки в рамките на таргетираните организации.

За да не станете жертва на password spraying:

• въведете политики за достъп, базирани на геолокация;
• деактивирайте старите протоколи за удостоверяване като Basic Authentication;
• следете за изтичане на идентификационни данни в криминални форуми и бързо нулирайте компрометираните акаунти.

Хакери използват големи състезания по Counter Strike 2 (CS2), като IEM Katowice 2025 и PGL Cluj-Napoca 2025, за да измамят геймърите и да откраднат техните Steam акаунти и криптовалута.

В новата streamjacking кампания хакерите се представят за популярни играчи в стриймове на живо в YouTube. Те промотират фалшиви CS2 скинове и раздаване на криптовалути.

Това се случва през компрометирани легитимни канали в платформата. В тях те показват стари кадри от игри, така че да изглеждат като предавания на живо за всеки, който не ги е гледал преди.

QR кодовете или връзките в тези видеоклипове насочват зрителите към злонамерени уебсайтове. Там от тях се изисква да влязат с акаунта си в Steam, уж за да си поискат подаръците или да изпратят криптовалута, за да получат двойно повече в замяна.

За да се предпазят от тази измама, геймърите трябва:

• да проверяват заявените връзки и QR кодове в страниците на официалните организации за електронни спортове;
• да активират MFA и Steam Guard Mobile Authenticator;
• редовно да преглеждат активността в профила си в Steam за подозрителни влизания;
• да гледат видеоклипове само от официалните акаунти на професионалните играчи.

Все пак не забравяйте, че дори легитимни канали в YouTube могат да бъдат превзети, за да популяризират измами. Обещанията за удвояване или утрояване на криптоактиви, като първо изпратите определена сума, винаги са измами, без изключения.