Новий пранк-троян у Росії, витік даних із Європейської комісії та інші події у сфері кібербезпеки - ForkLog: криптовалюти, ШІ, сингулярність, майбутнє

# Новий пренк-троян у Росії, витік даних із Єврокомісії та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Стежив, підміняв криптоадреси й знущався: у РФ виявили пренк-троян.
• Адреси серверів ПЗ для викрадення криптовалют знайшли в Spotify та Chess.com.
• Хакеру висунули звинувачення у крадіжці $53 млн із криптобіржі Uranium.
• Експерти виявили оновлений стилер сіду-фраз під Apple та Android.

Стежив, підміняв криптоадреси й знущався: у РФ виявили пренк-троян

Експерти «Лабораторії Касперського» виявили в РФ активну кампанію з поширення нового трояна. CrystalX просувають за моделлю CaaS через рекламу в соцмережах Telegram і YouTube.

ПЗ працює як шпигун і стилер одночасно, дозволяючи виконувати такі дії:

• красти облікові дані браузерів, а також акаунти в Steam, Discord, Telegram;
• непомітно підміняти адреси криптогаманців у буфері обміну;
• приховано записувати звук і відео з екрана та веб-камери.

Відмінною рисою зловмисника стали насмішки над користувачем у реальному часі. Для цього панель містить окремий розділ Rofl із відповідними командами:

• завантаження зображення за вказаним URL-адресом і встановлення його як фону робочого столу;
• зміна орієнтації екрана на 90°, 180° або 270°;
• завершення роботи ОС за допомогою утиліти shutdown.exe;
• заміна функцій лівої кнопки миші на праву і навпаки;
• вимкнення монітора та блокування введення;
• тремтіння курсора через короткі інтервали;
• приховування всіх значків файлів на робочому столі, вимкнення панелі завдань, диспетчера завдань і cmd.exe.

Крім того, зловмисник може надіслати повідомлення жертві, після чого в системі відкривається діалогове вікно для двостороннього листування.

Джерело: «Лабораторія Касперського».Як зазначив старший експерт Kaspersky GReAT Леонід Безвершенко в коментарі «Коду Дурова», вірус активно розвивається й підтримується авторами. Він очікує зростання кількості постраждалих із розширенням географії атак.

Фахівці радять завантажувати застосунки лише з офіційних магазинів, встановити надійний антивірус, а також увімкнути в Windows показ розширень, щоб випадково не запустити небезпечні файли форматів .EXE, .VBS і .SCR.

Адреси серверів ПЗ для викрадення криптовалют знайшли в Spotify та Chess.com

Дослідники Solar 4RAYS звернули увагу, що хакери приховують адреси керувальних серверів стилера MaskGram у профілях Spotify і Chess.com

MaskGram націлений на викрадення облікових записів і криптовалют, а також має можливість підвантаження додаткових модулів.

Шкідник збирає дані про систему, список процесів і встановлені застосунки та робить скриншоти. Він витягує інформацію з Chromium-браузерів, криптогаманців, поштових клієнтів, месенджерів і VPN-застосунків.

Зловмисники поширюють ПЗ через соціальну інженерію: маскують під зламані версії платних програм для масової перевірки логінів і паролів витеклих баз даних на кшталт Netflix Hunter Combo Tool, Steam Combo Extractor і Deezer Checker.

За даними експертів, ПЗ використовує техніку «тайника» або Dead Drop Resolver (DDR), яка дозволяє зберігати інформацію про керувальний сервер на сторінках публічних сервісів і швидко її змінювати.

Заражена машина звертається не до підозрілого IP, а до Spotify або Chess.com, відображаючи звичайну користувацьку активність.

Поле about у профілі користувача Chess.com. Джерело: Solar 4RAYS.Для кожної платформи використовується власний набір маркерів. Наприклад, для Chess.com — поле about у профілі користувача. Витягнений рядок проходить декодування та перетворюється на домен сервера.

У березні фахівці Aikido зафіксували використання техніки «тайника» стилером GlassWorm у криптотранзакціях у блокчейні Solana.

Хакеру висунули звинувачення у крадіжці $53 млн із криптобіржі Uranium

Прокуратура США висунула звинувачення Джонатану Спаллетті в крадіжці понад $53 млн із криптобіржі Uranium Finance та відмиванні грошей.

У квітні 2021 року Спаллетта (також відомий під ніком Cthulhon) зламав децентралізовану біржу (DEX) Uranium на базі BNB Chain. У результаті дефіцит коштів змусив компанію закритися.

У лютому 2025 року під час обшуку правоохоронні органи вилучили цінні речі з будинку підозрюваного, а також відновили доступ до криптовалюти на суму близько $31 млн.

За даними правоохоронців, Спаллетта відмивав викрадені активи через DEX і міксер Tornado Cash. Отримані кошти він витрачав на колекційні предмети:

• карту Magic: The Gathering «Black Lotus» — ~$500 000;
• 18 запечатаних бустерів Alpha Edition Magic: The Gathering — ~$1,5 млн;
• повний базовий набір Pokémon першого видання — ~$750 000;
• давньоримську монету, викарбувану на честь убивства Юлія Цезаря — понад $601 000.

Спаллетті загрожує до 10 років тюремного ув’язнення за обвинуваченням у комп’ютерному шахрайстві та до 20 років, якщо його визнають винним у відмиванні грошей.

Експерти виявили оновлений стилер сіду-фраз під Apple та Android

Дослідники «Лабораторії Касперського» виявили нову версію шкідливого ПЗ SparkCat для викрадення криптовалют в Apple App Store і Google Play Store. Про це повідомляє The Hacker News.

Стилер маскується під нешкідливі застосунки на кшталт корпоративних месенджерів і сервісів доставки їжі. У фоновому режимі він сканує фотогалереї жертв у пошуках сіду-фраз криптогаманців.

Експерти проаналізували два заражені застосунки в App Store та один у Google Play. Вони орієнтовані переважно на користувачів криптовалют в Азії:

• iOS-варіант. Сканує мнемонічні фрази криптогаманців англійською мовою. Цей підхід робить версію для iOS потенційно небезпечнішою в глобальному масштабі, оскільки вона може зачепити користувачів незалежно від їхнього регіону;
• Android-варіант. В оновленій версії з’явилося кілька рівнів обфускації коду порівняно з попередніми. ПЗ використовує віртуалізацію коду та кросплатформені мови програмування для обходу аналізу. Крім того, він шукає ключові слова японською, корейською та китайською, що підтверджує фокус на азійський регіон.

Фахівці вважають, що в операції замішаний китайсько- або російськомовний оператор. Згідно з останніми даними, загроза активно розвивається, а ті, хто стоїть за нею, мають високі технічні навички.

Єврокомісія підтвердила витік у результаті кібератаки ShinyHunters

Єврокомісія (ЄК) підтвердила факт витоку даних після кібератаки на вебплатформу Europa.eu, відповідальність за яку взяли на себе вимагателі з ShinyHunters.

У ЄК заявили, що інцидент не порушив роботу порталу, і його вдалося локалізувати.

Хоча Комісія не надала подробиць, зловмисники повідомили BleepingComputer, що їм вдалося викрасти понад 350 ГБ інформації, включно з кількома базами даних. Вони не розкрили спосіб злому акаунтів AWS, але надали скриншоти, що підтверджують доступ до облікових записів деяких співробітників ЄК.

Групування також опублікувало пост на своєму сайті витоків у даркнеті, стверджуючи, що викрадено понад 90 Гб файлів:

• дампи поштових серверів;
• бази даних;
• конфіденційні документи та контракти;
• інші чутливі матеріали.

Джерело: BleepingComputer Також на ForkLog:

• Solana-проєкт Drift Protocol втратив $280 млн.
• У CertiK попередили про ризики крадіжки криптовалют через OpenClaw.

Що почитати на вихідних?

Вивчивши дані дослідницьких команд, звіти корпорацій і актуальний стан справ, ForkLog розібрався, як розвиваються технології інтерфейсів «мозок — комп’ютер».