Пиратский Battlefield 6 со стилером, ликвидация колл-центра в Киеве и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Новую Battlefield 6 использовали для кражи криптовалют.

Правоохранители ликвидировали колл-центр в Киеве.

Хакеры использовали Ethereum для стабильности атак.

Фейковые сайты для взрослых уличили в краже данных.

Новую Battlefield 6 использовали для кражи криптовалют

Эксперты Bitdefender Labs выявили масштабные вредоносные кампании, использующие октябрьский релиз шутера Battlefield 6. Хакерское ПО распространяется через фейковый софт для установки пиратских версий игры — «репаков» от популярных команд.

Источник: Electronic Arts.

Злоумышленники активно применяют социальную инженерию и маскируются под известные группы вроде InsaneRamZes и RUNE для доставки инфицированных установщиков со стилерами.

Вредоносные файлы полностью лишены заявленной функциональности и скрывают взлом системы сразу после запуска. Специалисты обнаружили набор хакерского ПО:

примитивный инфостилер для кражи данных криптокошельков и токенов аутентификации Discord;

софт под видом игрового установщика InsaneRamZes — использует продвинутые техники в виде хеширования Windows API, при этом блокируя исполнение хакерского кода для стран СНГ;

фейковый репак от RUNE — развертывает агента для доступа к удаленному серверу посредством системной утилиты regsvr32.exe.

Исследователи Bitdefender рекомендовали загружать ПО исключительно с официальных платформ вроде Steam или EA App.

Правоохранители ликвидировали колл-центр в Киеве

В Киеве раскрыли группу мошенников, похитивших у граждан ЕС деньги под предлогом инвестиций в криптовалюту и акции «перспективных» компаний. Об этом сообщила Киберполиция Украины.

Среди потерпевших — более 30 человек. В ходе спецоперации полиция провела 21 обыск и изъяла более $1,4 млн, свыше 5,8 млн гривен и 17 000 евро наличными.

Источник: Киберполиция Украины.

По оперативным данным, руководитель схемы и двое его пособников организовали колл-центр в Киеве на 20 рабочих мест. «Менеджеры VIP-клиентов» формировали у потерпевших ложное представление об успешных торгах на мировых биржах. С этой целью злоумышленники через удаленный доступ устанавливали на компьютеры «клиентов» специальное ПО. 

После получения криптовалюты участники группы обналичивали ее через физические обменники в Киеве. Им грозит до 12 лет лишения свободы.

Хакеры использовали Ethereum для стабильности атак

Специалисты «Лаборатории Касперского» обнаружили ботнет Tsundere, который проникает на устройства с Windows под видом инсталляторов для популярных игр вроде Valorant, CS2 и R6x.

Для атак вредоносное ПО использует смарт-контракты Ethereum, что значительно повышает устойчивость инфраструктуры ботнета. В случае блокировки одного командного сервера система автоматически переключается на резервные, записанные заранее в блокчейн.

Для этого хакеры совершают транзакцию на 0 ETH, внося в переменную состояния контракта новый адрес. Бот обращается к публичным RPC Ethereum, анализирует транзакции и извлекает актуальный путь.

Исследование выявило связь между Tsundere и стилером, распространяемым на хакерских форумах — 123 Stealer. Они используют общую инфраструктуру и аффилированы с пользователем под ником koneko.

Фейковые сайты для взрослых уличили в краже данных

Новая атака JackFix использует поддельные сайты для взрослых и имитацию обновлений Windows для массового внедрения инфостилеров. Об этом сообщает команда Acronis Threat Research Unit.

Злоумышленники распространяют клоны популярных платформ вроде Pornhub, которые при взаимодействии открывают полноэкранное окно с требованием установить «критические обновления безопасности Windows».

Источник: Acronis Threat Research Unit.

По данным аналитиков, атака выполняется внутри браузера жертвы через HTML и JavaScript с попыткой программной блокировки клавиш выхода из полноэкранного режима.

Для обхода систем безопасности хакеры применяют массивы команд и специальные файлы с расширением .odd в целях скрытого запуска вредоносных процессов через интерфейс PowerShell.

Источник: Acronis Threat Research Unit.

Далее скрипт непрерывно атакует пользователя с помощью социальной инженерии до момента получения прав администратора. После этого код прописывает исключения для антивируса и загружает финальную нагрузку с серверов злоумышленников. Фейковые URL-адреса настроены таким образом, что при прямом доступе они перенаправляют исследователей на легитимные ресурсы Google или Steam.

Эксперты заметили, что одна успешная инъекция приводит к загрузке и запуску сразу восьми различных семейств вредоносного ПО, включая новейшие версии стилеров и трояна удаленного доступа RAT (Remote Access Trojan).

Если сайт перешел в полноэкранный режим и заблокировал интерфейс, команда Acronis Threat Research Unit рекомендовала использовать клавишу Esc или F11 для выхода. Если проблема сохраняется, необходимо принудительно закрыть браузер через Alt+F4 или диспетчер задач (Ctrl+Shift+Esc).

Хакерские ChatGPT стали популярны

Неофициальные LLM-модели WormGPT 4 и KawaiiGPT расширяют возможности злоумышленников, сообщили специалисты Unit 42. 

По их словам, ИИ генерирует рабочий вредоносный код, в том числе скрипты для шифровальщиков и автоматизации перемещения внутри корпоративных сетей. 

WormGPT 4 — возрождение закрытого в 2023 году проекта WormGPT, который вновь обнаружили в сентябре 2025 года. Модель позиционируется как аналог ChatGPT, обученный специально для незаконных операций. ПО распространяется по цене $50 в месяц или $220 за пожизненный доступ.

В ходе эксперимента WormGPT 4 успешно сгенерировала шифровальщик для PDF-файлов на Windows. Скрипт также включал опцию эксфильтрации информации через Tor-сеть для проведения реальных атак.

Эксперты считают, что модель хорошо справляется с написанием «убедительных и устрашающих» записок для вымогателей с упоминанием «военного уровня шифрования» и удвоением выкупа через 72 часа. 

Источник: Unit 42.

По данным Unit 42, WormGPT 4 предоставляет «достоверные инструменты лингвистической манипуляции» для компрометации деловой переписки и фишинговых атак, делая сложные операции доступными даже для новичков.

Другой софт — KawaiiGPT 2.5 — обнаружен в июле и распространяется бесплатно. Установка модели на Linux заняла у исследователей около пяти минут. LLM генерирует реалистичные фишинговые письма и готовые к выполнению скрипты.

Несмотря на то, что KawaiiGPT не создала полноценный «вымогатель» в отличие от WormGPT 4, эксперты предупредили — возможность генерации скриптов для удаленного выполнения команд делает ее опасным инструментом для кражи данных. 

По словам исследователей, обе модели имеют сотни подписчиков в Telegram-каналах, где пользователи обмениваются опытом и обходными методами.

Amazon: кибератаки служат наводкой для военных ударов

Прогосударственные хакерские группировки перешли от классического шпионажа к тактике «кибернетического обеспечения кинетического целеуказания» для непосредственной поддержки военных ударов. Об этом сообщают специалисты кибербезопасности Amazon Threat Intelligence (ATI).

Согласно ATI, Imperial Kitten якобы внедрилась в навигационные системы и камеры неназванных судов для сбора точных координат морских целей. Полученные данные позволили 1 февраля 2024 года силам хуситов нанести прицельный ракетный удар по отслеживаемому кораблю, утверждают исследователи. 

Они призвали к внедрению расширенного моделирования угроз для защиты физических объектов от подобных атак. По мнению ATI, операторы критической инфраструктуры обязаны рассматривать свои системы как потенциальные инструменты наведения.

Что почитать на выходных?

Как и зачем Пекин помогает авторитарным режимам контролировать интернет? В новом материале ForkLog постарался найти ответ в слитых документах китайских технологических компаний Geedge Networks и KnownSec.

Источник: forklog.com