Нові вразливості ЦП Apple можуть загрожувати мільйонам користувачів:
Наукові дослідники з Технологічного інституту Джорджії та Рурського університету Бохума виявили два нові типи атак на процесори Apple, які можуть поставити під загрозу конфіденційну інформацію на мільйонах телефонів, планшетів, ноутбуків та настільних комп'ютерів компанії. 
Ці атаки, названі SLAP та FLOP, дозволяють зловмисникам отримати доступ до приватних даних, змушуючи користувачів відвідати шкідливий вебсайт.
Атака SLAP використовує особливості браузера Safari та дозволяє відновлювати приватні дані, такі як вміст електронної пошти та історію веб-перегляду. А атака FLOP може викрасти більш чутливу інформацію, наприклад, історію місцеперебування, події в календарі чи навіть дані платіжних карток. Зловмисники можуть скористатися цими вразливостями без прямого втручання користувача, що робить їх особливо небезпечними.
Вразливості виникають через особливості роботи нових процесорів Apple, таких як M2, M3 та A15, і використовують технології для підвищення продуктивності. Атака SLAP експлуатує поведінку рядків на вебсторінках, а FLOP — спекулятивне читання пам’яті.
Apple була поінформована про ці загрози у 2024 році, але компанія заявила, що на цей момент не вважає ці атаки серйозною загрозою для користувачів. Однак, дослідники продовжують стежити за ситуацією та обіцяють нові подробиці.
Ці вразливості не стосуються пристроїв з процесорами Intel, AMD чи Qualcomm, а також поки не тестувались на інших браузерах, окрім Safari та Chrome. 
Більше інформації — за посиланням. 

Угруповання Crazy Evil націлюється на криптовалюту за допомогою шкідливих програм StealC, AMOS і Angel Drainer:
Російськомовне кіберзлочинне угруповання, відоме як Crazy Evil, було пов’язане з понад 10 активними шахрайствами в соціальних мережах, які використовують широкий спектр спеціальних приманок, щоб обдурити жертв і змусити їх встановити зловмисне програмне забезпечення, таке як StealC, Atomic macOS Stealer (AMOS) і Angel Drainer.
Група діє з 2021 року, основною її діяльністю є перенаправлення трафіку на фальшиві вебсайти, що належать іншим кримінальним угрупованням. 
Вони зосереджуються на крадіжці цифрових активів, зокрема криптовалют, NFT, платіжних карток і онлайн-банківських рахунків. 
Оцінково, група заробила понад 5 мільйонів доларів незаконних доходів, компрометуючи десятки тисяч пристроїв по всьому світу.
Crazy Evil працює в рамках шести підгруп: AVLAND, TYPED, DELAND, ZOOMLAND, DEFI та KEVLAND, кожна з яких пропагує різні шахрайства та використовує специфічні шкідливі програми під виглядом різноманітних онлайн-інструментів або платформ. 
Наприклад, під виглядом інвестиційних платформ або фальшивих програм для відеоконференцій, таких як Voxium, TyperDex, або Selenium Finance, вони поширюють AMOS, який краде інформацію про криптогаманці та паролі.
За словами Recorded Future, діяльність Crazy Evil стає настільки успішною, що інші кіберзлочинні групи можуть почати застосовувати їх методи, що ставить під загрозу безпеку криптовалютного, ігрового та програмного секторів.
Більше про загрозу у джерелі.

Шкідливе ПЗ "Coyote" - значна небезпека для користувачів, та їх фінансів:
Користувачі Windows у Бразилії стали мішенню банківського шкідливого ПЗ під назвою Coyote. 
За даними Fortinet FortiGuard Labs, троян Coyote може виконувати різні зловмисні дії, такі як запис натискань клавіш, захоплення скриншотів і відображення фішингових накладок для крадіжки конфіденційних даних. Шкідливе ПЗ розповсюджується через файли Windows Shortcut (LNK), які містять PowerShell команди.
Coyote вперше був задокументований на початку 2024 року, і він здатний збирати чутливу інформацію з понад 70 фінансових додатків. Остання версія шкідливого ПЗ починається з LNK файлу, який виконує PowerShell команду для отримання наступного етапу з віддаленого сервера і запуску проміжного завантажувача. Після встановлення, шкідливе ПЗ змінює реєстр для забезпечення стійкості, завантажуючи та виконуючи основні функції трояна.
Оновлена версія Coyote розширила список своїх цілей до 1030 сайтів і 73 фінансових агентів, включаючи різні сайти в Бразилії та не тільки. 
Якщо жертва намагається отримати доступ до будь-якого з цих сайтів, шкідливе ПЗ зв'язується з сервером, який контролює зловмисник, щоб визначити подальші дії, такі як захоплення скриншоту або активація кейлоггера. Coyote становить значну загрозу для фінансової кібербезпеки через свій складний багатоступеневий процес інфікування.
Детальніше — за посиланням.

Веб-сайт Casio заражений скімером:

Веб-сайт Casio UK був заражений шкідливим програмним забезпеченням, яке збирало особисту інформацію користувачів.

Атака тривала з 14 по 24 січня, а сам зловмисний код був видалений лише після того, як його виявили минулого тижня.

Як повідомляє компанія з кібербезпеки Jscrambler, у випадку з Casio UK веб-скімер працював на всіх сторінках сайту, за винятком сторінки оформлення замовлення, де звичайно крадуть дані платіжних карток.

Зловмисники використали спеціальний завантажувач для встановлення шкідливого коду, який змінював процес оплати, але не викликав підозр у користувачів.

Користувачі, які натискали на кнопку оформлення замовлення, бачили підроблену форму, яка просила їх ввести особисту інформацію, таку як ім’я, адресу, номер телефону та платіжні дані. Після заповнення форми, користувачів перенаправляли на справжню сторінку оплати, де їм знову пропонувалося ввести ці ж дані. Це було зроблено таким чином, щоб користувачі не звернули увагу на підробку.

Атака була можлива через помилку в налаштуваннях безпеки на сайті, де лише реєструвались події без попередження про потенційну загрозу. Крім того, усі заражені сайти мали однаковий шкідливий код, і зловмисник використовував сервер в Росії для розповсюдження атаки.

Як з’ясувалося, атак було 17, і всі вони мали спільні ознаки, що дає підстави вважати, що для створення скімерів використовувався один і той самий інструмент.

Детальніше про подію — у джерелі. 

Кампанія AsyncRAT використовує корисні навантаження Python і тунелі TryCloudflare для стелс-атак
Було виявлено кампанію зловмисного програмного забезпечення, яка доставляє троян віддаленого доступу (RAT) під назвою AsyncRAT, використовуючи корисні навантаження Python і тунелі TryCloudflare.
Відправною точкою ланцюга багатоетапної атаки є фішинговий електронний лист, який містить URL-адресу Dropbox, після натискання якої завантажується ZIP-архів. У файлі міститься файл ярлика Інтернету (URL), який служить каналом для файлу ярлика Windows (LNK), відповідального за подальше зараження, тоді як одержувачу повідомлення відображається, здавалося б, безпечний PDF-документ.
Варто зазначити, що минулого року було виявлено невелику варіацію тієї ж послідовності зараження, що поширювало AsyncRAT, GuLoader, PureLogsStealer, RemcosRAT, VenomRAT і XWorm.
Ця розробка відбувається на тлі сплеску фішингових кампаній, які використовують набори інструментів «Phishing-as-a-Service» (PhaaS) для здійснення атак на захоплення облікових записів, спрямовуючи користувачів на фіктивні цільові сторінки, що імітують сторінки входу на надійних платформах, таких як Microsoft, Google, Apple і GitHub.
Також спостерігалися атаки соціальної інженерії, які здійснювалися через електронні листи, використовуючи скомпрометовані облікові записи постачальників для збирання облікових даних користувачів для входу в Microsoft 365, що свідчить про те, що суб’єкти загроз користуються перевагами взаємопов’язаного ланцюга постачання і внутрішньої довіри, щоб обійти механізми автентифікації електронної пошти.
Більше інформації — за посиланням. 

Старі вразливості знову становлять загрозу, CISA із відповідними доказами публічно закликала до їх виправлення:
Агентство кібербезпеки та інфраструктурної безпеки США (CISA) додало чотири нові вразливості до свого каталогу відомих експлуатованих вразливостей (KEV), маючи докази їх активного використання. Серед них: ● CVE-2024-45195 (CVSS score: 7.5/9.8) – вразливість у Apache OFBiz, яка дозволяє віддаленому зловмиснику отримати несанкціонований доступ і виконувати довільний код на сервері(Виправлено у вересні 2024 р.); ● CVE-2024-29059 (CVSS score: 7.5) – вразливість у Microsoft .NET Framework, яка може призвести до виконання віддаленого коду (Виправлено в березні 2024 р.); ● CVE-2018-9276 (CVSS score: 7.2) – вразливість у Paessler PRTG Network Monitor, яка дозволяє атаки через веб-консоль адміністратора (Виправлено у квітні 2018 р.); ● CVE-2018-19410 (CVSS score: 9.8) – вразливість у Paessler PRTG Network Monitor, яка дозволяє створювати користувачів із правами читання-запису (Виправлено у квітні 2018 р.).
Хоча ці вразливості були виправлені відповідними постачальниками, наразі немає публічних звітів про їхнє використання у реальних атаках. Федеральні цивільні виконавчі органи (FCEB) закликають застосувати необхідні виправлення до 25 лютого 2025 року для захисту від активних загроз.
Ці заходи є важливими для забезпечення кібербезпеки та запобігання потенційним атакам, які можуть використовувати ці вразливості.
Читайте більше у джерелі. 

Хакери з Північної Кореї націлилися на криптогаманці клієнтів Apple:
Компанія SentinelOne повідомила, що Apple оновила свій вбудований антивірус XProtect для протидії новому виду шкідливого програмного забезпечення під назвою Ferret. Це ПЗ використовується північнокорейськими хакерами для крадіжки криптовалютних коштів та може проникати в комп'ютери macOS, надаючи зловмисникам віддалений доступ до системи.
Як працює схема шахраїв?
Хакери видають себе за рекрутерів великих компаній на LinkedIn та пропонують жертвам привабливі вакансії. Після обміну повідомленнями вони надсилають посилання на відео інтерв'ю, яке насправді веде на заражений сайт.
Якщо жертва намагається записати відео, система видає помилку доступу до камери та мікрофона. Потім користувачеві пропонують запустити спеціальну команду в «Терміналі» для нібито оновлення драйверів. Насправді ця команда встановлює бекдор – прихований канал для хакерів, через який вони можуть отримати доступ до комп’ютера та викрасти криптовалюту.
Масштаби проблеми
За даними видання The Register, у 2023 році північнокорейські хакери викрали криптовалюту на суму $659 млн. Раніше були зафіксовані випадки, коли зловмисники навіть працевлаштовувалися в компанії під вигаданими іменами, щоб красти дані зсередини.
Минулого року хакери використовували схожу схему, видаючи себе за рекрутерів Meta (Facebook) на LinkedIn.
Як уберегтися?
Фахівці з кібербезпеки закликають користувачів бути обережними та не виконувати підозрілі команди в macOS, навіть якщо вони нібито стосуються оновлення драйверів або розв'язання технічних проблем. Важливо перевіряти джерела інформації та не відкривати підозрілі посилання.
Apple продовжує оновлювати свій захист, проте основний метод боротьби з кібератаками – це обачність самих користувачів.
Дізнатися більше можна за посиланням. 

Chrome та Firefox виправили деякі вразливості високого рівня:
Google та Mozilla випустили оновлення для браузерів Chrome та Firefox, щоб виправити кілька серйозних вразливостей у безпеці пам'яті.
Chrome 133 містить 12 виправлень, серед яких:
● CVE-2025-0444 та CVE-2025-0445 — вразливості типу use-after-free в бібліотеці графіки Skia та JavaScript-движку V8. Ці баги можуть призвести до виконання довільного коду, пошкодження даних або відмови в обслуговуванні.● Третій баг, пов'язаний з невірною реалізацією в Extensions API, має середній рівень серйозності.
Firefox 135 виправляє:
● CVE-2025-1009 та CVE-2025-1010 — use-after-free у компоненті Custom Highlight API та мові XSLT, що можуть призвести до виконання коду.● CVE-2025-1016 та CVE-2025-1020 — ще дві серйозні уразливості безпеки пам'яті, які можуть спричинити виконання коду і впливають на Thunderbird та Firefox ESR.
Окрім цього, Firefox 135 також виправляє сім вразливостей середнього та низького рівня, які можуть призвести до атак на спуфінг, виконання коду, витоку конфіденційної інформації та неправильних перевірок сертифікатів.
Обидві компанії радять користувачам якнайшвидше оновити браузери до останніх версій.
Більше даних — у джерелі.

Хакери використовують менеджер тегів Google, щоб розгорнути скімери кредитних карток у магазинах Magento:

Було помічено, що зловмисники використовують Менеджер тегів Google (GTM) для доставляння зловмисного програмного забезпечення, спрямованого на веб-сайти електронної комерції на основі Magento.

За словами компанії з безпеки вебсайтів Sucuri, код, який виглядає як типовий скрипт для GTM та Google Analytics, насправді містить прихований бекдор, який дозволяє зловмисникам отримувати постійний доступ до сайту.

На момент написання було виявлено щонайменше три сайти, заражені ідентифікатором GTM (GTM-MLHK2N68), про що повідомляє Sucuri. Ідентифікатор GTM належить до контейнера, який містить різні коди відстеження (наприклад, Google Analytics, Facebook Pixel) і правила, які запускаються при виконанні певних умов.

Додатковий аналіз показав, що шкідливе ПЗ завантажується з таблиці бази даних Magento "cms_block.content", а GTM тег містить зашифрований JavaScript код, який виконує роль скімера кредитних карток.

Дізнатися більше — за посиланням. 

Microsoft випустила лютневі оновлення безпеки: виправлено 4 Zero-Day та 55 вразливостей:
Компанія Microsoft випустила лютневий пакет оновлень безпеки (Patch Tuesday), який містить виправлення для 55 вразливостей, включаючи чотири нульові дні, що активно експлуатуються хакерами.
Серед ключових виправлених проблем:
● CVE-2024-21412 – уразливість у SmartScreen, що дозволяла обходити захист Windows.● CVE-2024-21351 – уразливість у підписуванні Windows, яка давала змогу обійти механізми автентичності.● CVE-2024-21413 – проблема у Microsoft Outlook, що дозволяла виконання коду через спеціально створений URL.● CVE-2024-21410 – уразливість в Exchange Server, яка дозволяла атаки на облікові записи користувачів.
Оновлення також містять виправлення для Windows, Office, Azure та інших продуктів Microsoft. Користувачам рекомендується якнайшвидше встановити оновлення для захисту своїх пристроїв.
Більше інформації у джерелі.

Північнокорейські хакери використовують трюк PowerShell для викрадення пристроїв під час нової кібератаки:

Було помічено, що пов'язаний із Північною Кореєю зловмисник, відомий як Kimsuky, використовує нову тактику, яка передбачає обман цілей, щоб вони запустили PowerShell як адміністратор, а потім інструктували їх вставити та запустити шкідливий код, наданий ними.

«Щоб виконати цю тактику, зловмисник маскується під представника уряду Південної Кореї та з часом налагоджує стосунки з ціллю, перш ніж надіслати фішинговий електронний лист із вкладенням у форматі PDF» Команда Microsoft Threat Intelligence у серії публікацій, опублікованих на X.

Щоб прочитати передбачуваний PDF-документ, жертв переконують натиснути URL-адресу, що містить список кроків для реєстрації їхньої системи Windows. Посилання на реєстрацію закликає їх запустити PowerShell від імені адміністратора та скопіювати/вставити відображений фрагмент коду в термінал і виконати його.

Дізнатися більше можна за посиланням.

Вразливістю PostgreSQL нещодавно скористувались у цільових атаках разом з вразливістю BeyondTrust:

Зловмисники, які у грудні 2024 року скористалися вразливістю нульового дня у продуктах BeyondTrust Privileged Remote Access (PRA) та Remote Support (RS), також експлуатували невідому раніше SQL-ін'єкцію у PostgreSQL.

Ця вразливість, позначена як CVE-2025-1094 (CVSS 8.1), впливає на інтерактивний інструмент psql PostgreSQL. Нападник може досягти виконання довільного коду, використовуючи можливості psql для виконання метакоманд.

Компанія Rapid7 виявила цю вразливість під час розслідування CVE-2024-12356, яку нещодавно виправили у програмному забезпеченні BeyondTrust, яка дозволяє виконувати код віддалено без автентифікації. Було з'ясовано, що успішна експлуатація CVE-2024-12356 включала використання CVE-2025-1094 для досягнення віддаленого виконання коду. Розробники PostgreSQL випустили оновлення для розв'язання проблеми у версіях 17.3, 16.7, 15.11, 14.16 та 13.19.

Вразливість виникає через неправильну обробку PostgreSQL недійсних символів UTF-8, що дозволяє зловмиснику виконувати SQL-ін'єкцію за допомогою команди "\!", яка дозволяє виконувати команди оболонки.

Тим часом CISA додала вразливість у програмному забезпеченні SimpleHelp (CVE-2024-57727, CVSS 7.5) до каталогу відомих експлуатованих вразливостей, вимагаючи від федеральних агентств застосувати виправлення до 6 березня 2025 року.

Більше інформації — у першоджерелі. 

Нова уразливість у Windows: китайські хакери приховують файли без сліду:

Ізраїльська компанія ClearSky Cyber Security повідомила про виявлення нової уразливості нульового дня в операційній системі Windows, яку активно експлуатує китайська хакерська група Mustang Panda. Ця уразливість, пов'язана з інтерфейсом користувача, дозволяє приховувати файли після їх розпакування з архівів RAR, роблячи їх невидимими в провіднику Windows, хоча вони залишаються доступними через командний рядок. Microsoft була проінформована про проблему, але класифікувала її як "низької важливості".

Наразі Microsoft не випустила офіційного виправлення для цієї вразливості, хоча ймовірне вирішення з'явиться вже із наступним регулярним оновленням Windows. Експерти ж рекомендують користувачам бути обережними при відкритті архівів RAR із ненадійних джерел.

Більше про загрозу — за посиланням.

Новий бекдор на основі Golang використовує Telegram Bot API для C2:

Дослідники з кібербезпеки виявили новий зловмисний програмний продукт, який використовує Telegram як механізм для C2 комунікацій. За інформацією Netskope Threat Labs, ця шкідлива програма, ймовірно, має російське походження.

Шкідливе програмне забезпечення, що було створене з використанням Golang, після запуску працює як бекдор. Під час виконання програма перевіряє, чи вона працює в конкретному місці та має певну назву ("C:\Windows\Temp\svchost.exe"). Якщо це не так, вона читає власний вміст, записує його в це місце та створює новий процес для запуску скопійованої версії, а потім завершує свою роботу.

Однією з основних характеристик цього зловмисного програмного забезпечення є використання відкритої бібліотеки, що надає Golang прив'язки до Telegram Bot API для C2 цілей. Це дозволяє взаємодіяти з Telegram API для отримання нових команд, які надходять із чату, контрольованого зловмисником. Він підтримує чотири різні команди, хоча наразі реалізовано лише три з них:

/cmd - Виконання команд через PowerShell
/persist - Повторний запуск себе ж під "C:\Windows\Temp\svchost.exe"
/screenshot - Не реалізовано
/selfdestruct - Видалення файлу "C:\Windows\Temp\svchost.exe" та завершення роботи

Виведення результатів цих команд надсилається назад у Telegram-канал. Відомо, що команда "/screenshot" відправляє повідомлення "Screenshot captured", хоча її реалізація ще не завершена.

Російське походження цього шкідливого програмного забезпечення пояснюється тим, що команда "/cmd" відправляє в чат повідомлення "Enter the command:" російською мовою.

Леандро Фроес зазначив, що використання хмарних додатків становить серйозну проблему для захисників, і зловмисники активно користуються такими інструментами на різних етапах атак через їх доступність та простоту налаштування.

Детальніше — за посиланням.

Злом провайдера "Ланет":

19 лютого хакери зламали акаунти провайдера "Ланет" в соціальних мережах та здійснили провокативну розсилку. Користувачі почали отримувати смс-повідомлення зі спотвореною інформацією, що викликало занепокоєння.

За повідомленням РБК-Україна, хакери змогли отримати доступ до офіційної сторінки компанії в Twitter та розсилали фальшиві повідомлення через Viber. Компанія підтвердила, що доступ до Twitter вже відновлено, але ситуація з розсилкою ще вивчається. Провайдер попросив користувачів не переходити за підозрілими посиланнями та не довіряти повідомленням, які можуть приходити від імені "Ланет". Також відомо, що злам акаунтів став можливим через інсайдера.

Користувачам слід бути обережними та перевіряти правдивість отриманих повідомлень, особливо від імені компаній. Рекомендується уважно ставитися до підозрілих посилань і повідомлень в месенджерах.

Дізнатися більше — у джерелі. 

Хакери викрадають акаунти Signal через шкідливі QR-коди:

Російські хакерські групи, такі як UNC5792 та UNC4221, активно використовують функцію «пов'язаних пристроїв» у месенджері Signal для несанкціонованого доступу до облікових записів користувачів.

Вони надсилають фішингові повідомлення з підробленими QR-кодами, які, після сканування, додають пристрій зловмисника до облікового запису жертви. Це дозволяє хакерам отримувати всі майбутні повідомлення в реальному часі, оскільки вони синхронно доставляються як жертві, так і зловмиснику.

Ці QR-коди часто маскуються під запрошення до груп, сповіщення про безпеку або інструкції з підключення пристроїв.

Signal вже випустив оновлення для Android та iOS, які посилюють захист від таких атак, включаючи додаткові кроки автентифікації та сповіщення про нові пов'язані пристрої. Користувачам рекомендується оновити додаток до останньої версії та бути обережними при скануванні QR-кодів, особливо отриманих від невідомих або неперевірених джерел.

Більше про загрозу — за посиланням

Microsoft виправила активно експлуатовану уразливість підвищення привілеїв у Power Pages:
Microsoft випустила оновлення безпеки для усунення двох критичних уразливостей, що впливають на Bing і Power Pages, одна з яких вже активно експлуатується. Список уразливостей:
● CVE-2025-21355 (CVSS: 8.6) – Уразливість віддаленого виконання коду в Microsoft Bing● CVE-2025-24989 (CVSS: 8.2) – Уразливість підвищення привілеїв у Microsoft Power Pages "Відсутність автентифікації для критичної функції в Microsoft Bing дозволяє неавторизованому зловмиснику виконувати код через мережу", – зазначила компанія в описі CVE-2025-21355. Втручання користувачів не потрібне.
Щоб дізнатися більше, переходьте за посиланням.

ШІ в кіберзагрозах: реальна небезпека чи роздутий міф?
Попри гучні заяви про революційний вплив штучного інтелекту на кіберзагрози, дослідження Red Report 2025 від Picus Labs не виявило значного зростання атак, що використовують ШІ. Аналіз понад 1 мільйона зразків шкідливого програмного забезпечення показав, що зловмисники продовжують покладатися на перевірені методи, а не на передові алгоритми. ШІ покращує атаки, але не змінює їхню сутьКіберзлочинці використовують ШІ для створення більш правдоподібних фішингових атак та вдосконалення шкідливого коду, однак поки що ці зміни не є кардинальними.
Крадіжка облікових даних зросла втричі (з 8% до 25%)Хакери дедалі частіше атакують сховища паролів, кешовані логіни та браузерні дані, що робить управління обліковими записами критично важливим аспектом кіберзахисту.
93% атак використовують перевірені техніки MITRE ATT&CKОсновні методи атак залишаються незмінними. Найпоширенішими є:● T1055 (ін'єкція в процеси) – приховування шкідливого коду у легітимних процесах.● T1059 (використання інтерпретаторів команд і скриптів) – запуск шкідливих команд у системі.● T1071 (приховане передавання даних через HTTPS або DNS-over-HTTPS) – маскування комунікацій атаки під звичайний трафік. Отже, попри ажіотаж навколо ШІ, більшість атак все ще базується на добре відомих тактиках. Компаніям варто зосередитися на посиленні кібербезпеки: захисті облікових даних, проактивному моніторингу загроз та регулярному тестуванні безпеки.
Повна новина — за посиланням.