Google устранила уязвимость нулевого дня CVE-2025-6554 в Chrome
Компания Google выпустила критическое обновление для браузера Chrome, которое устраняет уязвимость нулевого дня CVE-2025-6554 (CVSS: 8.1).Ошибка типа Type Conflusion обнаружена в движке V8, отвечающем за выполнение JavaScript и WebAssembly. Из-за нее программа неправильно интерпретировала типы объектов во время выполнения. В результате эксплуатации этой ошибки злоумышленник сможет получать произвольный доступ к чтению и записи данных путем специально подготовленной HTML-страницы.
Последствиями уязвимости могли быть: запуск вредоносного кода на пользовательских устройствах, кража конфиденциальных данных, компрометация системы.
Для защиты рекомендуется включить автообновление или вручную обновлять версию на актуальную.
Раскрыты мошеннические операции с использованием Android
Команда Satori Threat Intelligence and Research компании HUMAN обнаружила и пресекла операцию под названием IconAds. В ее основе лежала сеть из 352 мобильных приложений, которые показывали рекламу поверх других программ, не привязанную к действию пользователя, и скрывали собственные иконки, чтобы усложнить их обнаружение и удаление.IconAds активно использует многоуровневую обфускацию. Для сокрытия параметров устройства при сетевом взаимодействии применяются случайные английские слова. Эти же слова используются в путях URL, и для каждого приложения они уникальны. Так же каждое приложение связано с уникальным доменом командного сервера и использует activity-alias — подмену основного элемента запуска приложения. Эти приложения уже удалены из Google Play, но пока они использовались — генерировали до 1,2 млрд рекламных запросов в день.
Для защиты рекомендуется не скачивать подозрительные приложения, а при скачивании обращать внимание на то, не пропала ли иконка приложения.
Hunters International прекращает работу и выпускает бесплатные дешифраторы
RaaS-группировка Hunters International объявила о том, что она официально прекращает свою деятельность и будет предлагать бесплатные дешифраторы, чтобы помочь жертвам восстановить свои данные без уплаты выкупа.Злоумышленники также удалили все записи со своего сайта и добавили, что компании, чьи системы были зашифрованы в результате атак программы-вымогателя Hunters International, могут запросить инструменты для расшифровки и инструкции по восстановлению на официальном сайте группировки.
Причиной прекращения деятельности названо повышенное внимание правоохранительных органов и снижение прибыльности.
Hunters International взяла на себя ответственность почти за 300 атак по всему миру, что делает ее одной из самых активных группировок вымогателей за последние годы.
Злоумышленники из КНДР атакуют Web3 и криптоплатформы
Злоумышленники из КНДР используют скомпилированные двоичные файлы на языке Nim и подключают несколько цепочек атак в рамках кампании, нацеленной на компании, связанные с Web3 и криптовалютами.Цепочка атаки начинается с того, что злоумышленник вступает в переписку с жертвой в Telegram, входит в доверие и приглашает на встречу через Calendly.
Процесс заражения приводит к загрузке двух двоичных файлов Mach-O — a и installer — в /private/var/tmp. Эти файлы запускают две независимые цепочки выполнения.
В первом случае файл записывает на диск зашифрованную встроенную полезную нагрузку под названием netchk. Конечная цель — два сценария Bash, используемые для кражи данных.
Вторая цепочка выполнения начинается с двоичного файла installer. Он загружает два дополнительных двоичных файла, скомпилированных в Nim: GoogIe LLC, долгосрочного доступа и восстановления.
Защититься можно с помощью встроенных механизмов: XProtect, Gatekeeper, Malware Removal Tool (MRT), установить запрет на установку программ, загруженных не из App Store.
ASEC опубликовали анализ атак на SSH-серверы Linux с целью установки прокси
Центр анализа безопасности AhnLab (ASEC) выявил случаи, когда серверы Linux подвергались атакам с целью установки прокси-серверов. В каждом случае устанавливались TinyProxy или Sing-box. Никаких других следов атак, кроме установки TinyProxy или Sing-box, обнаружено не было.Злоумышленники пытались войти в систему на сервере под управлением Linux и после успешного входа загружали Bash-скрипт с установкой TinyProxy или Sing-box с помощью apt, yum или dnf в зависимости от среды ОС. Он изменяет файл конфигурации, чтобы разрешить внешние подключения, и обеспечивает постоянную работу.
Sing-box — это инструмент для установки универсального прокси-сервера, поддерживающего протоколы vmess-argo, vless-reality, Hysteria2 и TUICv5. По данным GitHub, этот открытый исходный код можно установить для разблокировки ChatGPT и Netflix.
Администраторам серверов рекомендуется использовать сложные для подбора пароли и периодически менять их, а также устанавливать последние обновления.