Європейські правоохоронці ліквідували міжнародну мережу криптошахрайства на €600 млн
Європол спільно з Євроюстом провели масштабну міжнародну операцію, у результаті якої викрито організоване угруповання, причетне до легалізації (незаконних) доходів та шахрайства через фіктивні інвестиційні платформи.
З 27 до 29 жовтня 2025 року правоохоронці Кіпру, Іспанії та Німеччини затримали дев’ятьох осіб, вилучивши €800 000 з банківських рахунків, €415 000 у криптовалюті та понад €300 000 готівкою.
Зловмисники створювали десятки фальшивих інвестиційних вебсайтів, які обіцяли користувачам швидкий прибуток від вкладень у криптовалюту. Для залучення жертв вони використовували рекламу в соціальних мережах, фіктивні новинні матеріали та підроблені відгуки відомих осіб.
Після переказу коштів користувачі втрачали доступ до своїх грошей, які потім переказувалися через мережу криптогаманців та механізми легалізації незаконних доходів. За оцінками слідчих, загальні збитки сягають приблизно €600 млн.
Європол зазначає, що схема була ретельно організована та мала складну транскордонну структуру. Координація між правоохоронними органами кількох країн стала ключовим фактором успішної операції.
Рекомендації для користувачів:
● не довіряйте інвестиційним платформам, які обіцяють «гарантований прибуток» або нереально високі відсотки;● завжди перевіряйте ліцензію компанії та її наявність у офіційних реєстрах фінансових установ;● не переходьте за рекламними посиланнями у соцмережах і не вкладайте кошти через сумнівні онлайн-пропозиції;● не реагуйте на непрохані дзвінки чи повідомлення із закликом «інвестувати зараз»;● у разі підозри на шахрайство негайно звертайтесь до кіберполіції або фінансового регулятора. Джерело

Фішингова атака проти українських організацій: підроблені інсталятори ESET встановлюють шпигунське ПЗ
Фахівці з кібербезпеки виявили нову фішингову кампанію, спрямовану проти українських організацій. Зловмисники створили підроблені сайти, схожі на офіційні ресурси ESET (esetsmart[.]com, esetscanner[.]com, esetremover[.]com), і поширювали через них нібито оновлені інсталятори антивірусного програмного забезпечення.
Після встановлення такого «оновлення» на комп’ютер потрапляв троянський бекдор Kalambur (відомий також як SUMBUR). Він надавав хакерам повний віддалений доступ до системи, дозволяв копіювати файли, вмикати RDP-з’єднання та встановлювати додаткові програми, наприклад, OpenSSH. Зв’язок із командним сервером здійснювався через мережу для анонімної передачі трафіку Tor, що ускладнює виявлення активності.
За даними експертів, за атакою стоїть угруповання InedibleOchotense, пов’язане з російською групою Sandworm — однією з найактивніших APT-груп, яка неодноразово атакувала українські державні установи та енергетичні компанії.
Основна мета кампанії — шпигунство, збір конфіденційної інформації та підготовка до подальших кібератак на критичну інфраструктуру.
Рекомендації для користувачів:
● не відкривайте підозрілі листи та посилання;● перевіряйте цифрові підписи файлів перед встановленням;● регулярно оновлюйте антивірусне ПЗ і операційну систему;● робіть резервні копії важливих даних.
Джерело

Whisper Leak: нова атака на зашифровані AI-розмови
Команда Microsoft виявила нову атаку побічного каналу під назвою Whisper Leak, яка дозволяє визначати тему розмов користувача з великою мовною моделлю (LLM) навіть при використанні HTTPS.
Атака працює у режимі «стрімінгу» відповідей: аналізуючи розмір і час передачі зашифрованих пакетів, алгоритм машинного навчання може з точністю до 98% визначити, про що йде мова — наприклад, фінанси чи політику.
Уразливими виявилися моделі OpenAI, Mistral, xAI, DeepSeek та інші. Microsoft повідомила про проблему розробникам, після чого більшість провайдерів додали випадкові фрагменти тексту до відповідей моделей, щоб ускладнити аналіз.
Рекомендації для користувачів:
● не обговорюйте конфіденційні теми через AI-чати в публічних або ненадійних мережах;● використовуйте VPN для захисту трафіку;● обирайте AI-провайдерів, які вже реалізували захист від Whisper Leak-типових атак.
Джерело

Дослідники виявили критичні уразливості в AI-фреймворках Meta, Nvidia та Microsoft
Фахівці з кібербезпеки повідомили про низку серйозних уразливостей у фреймворках для роботи з моделями штучного інтелекту. Проблеми знайдено у Meta LLM, NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, а також в інструментах vLLM і SGLang.
Уразливості пов’язані з тим, що деякі компоненти використовували відкриті мережеві сокети ZeroMQ та небезпечний спосіб обробки даних, через який можна було виконати чужий код. У разі доступу до такого сокета зловмисник міг надіслати спеціально сформований об’єкт і виконати свій код на сервері.
Це створювало ризики:
● повного контролю над вузлом інференс-кластера;● викрадення або зміни AI-моделей;● запуску шкідливого програмного забезпечення;● порушення роботи сервісів.
Постачальники вже випустили оновлення, що закривають ці уразливості. Експерти зазначають, що проблема стала поширеною через повторне використання небезпечних фрагментів коду в різних проєктах.
Рекомендації для користувачів:
● оновіть програми та сервіси, пов’язані з AI;● використовуйте лише офіційні та перевірені версії фреймворків;● не запускайте підозрілі моделі чи сторонні скрипти;● працюйте з AI-сервісами тільки у захищеній мережі;● уникайте обміну конфіденційними даними, якщо безпека сервісу викликає сумніви.
Джерело

Новий Android-троян «Sturnus» викрадає зашифровані чати та отримує повний контроль над пристроями
Дослідники з кібербезпеки виявили новий шкідливий програмний засіб для Android, який отримав назву Sturnus. Це шкідливе програмне забезпечення здатне перехоплювати та викрадати дані з мобільних застосунків, зокрема з месенджерів, а також отримувати практично необмежений контроль над пристроєм.
Технічні особливості та спосіб дії:
Фахівці зазначають, що Sturnus становить особливу небезпеку завдяки здатності фіксувати вміст екрана після розшифрування повідомлень застосунками. Таким чином зловмисники можуть переглядати листування у WhatsApp, Telegram та Signal.Троян поширюється у вигляді застосунків, що маскуються під легітимні сервіси, зокрема під мобільний вебпереглядач або інструмент для оптимізації системи. Після встановлення Sturnus надає собі розширені системні дозволи та використовує службу спеціальних можливостей Android для:
● зчитування натискань на екрані;● керування елементами інтерфейсу від імені користувача;● перегляду вмісту екрана в режимі реального часу;● накладання фальшивих вікон входу до банківських застосунків, щоб викрасти облікові дані.
Окремо дослідники звертають увагу на функцію блокування екрана. Sturnus може виводити на екран фальшиве повідомлення про «оновлення системи», блокуючи будь-які дії користувача, тоді як у цей час троян виконує свої операції непомітно у фоновому режимі.
Троян також ускладнює власне видалення. Навіть якщо користувач намагається стерти його через налаштування або інструменти розробника, це неможливо зробити, поки шкідлива програма має права адміністратора пристрою.
Першочерговою ціллю Sturnus є користувачі банківських застосунків у країнах Центральної та Південної Європи — саме у цих регіонах виявлено фальшиві форми входу від імені місцевих банків.
Рекомендації для користувачів:
● завантажуйте додатки лише з офіційного магазину Google Play Store та перевіряйте дозволи, особливо якщо застосунок просить доступ до спеціальних можливостей або прав адміністратора пристрою;● вимкніть або обмежте використання Accessibility Service (служба спеціальних можливостей) для додатків, які не мають прямої потреби у такому доступі;● регулярно оновлюйте вашу ОС Android та встановлюйте антивірусне/антишпигунське ПЗ, яке вміє відстежувати підозрілу активність на пристрої;● уникайте натискання на підозрілі сповіщення або вікна, які пропонують оновити систему чи встановити застосунок не з офіційного джерела;● перегляньте налаштування пристрою та перевірте, чи немає серед застосунків із правами адміністратора тих, які ви не впізнаєте. Якщо виникають сумніви — якнайшвидше вимкніть такі програми та видаліть їх.
Якщо ви підозрюєте, що пристрій був скомпрометований, відключіть його від інтернету, збережіть резервні копії важливих даних та зверніться за допомогою до фахівців із кібербезпеки.
Джерело

ShadowPad отримує системний доступ через вразливість у Windows Server Update Services
Дослідники з кібербезпеки повідомили про активну експлуатацію вразливості CVE-2025-59287 у Windows Server Update Services (WSUS). Проблема дозволяє віддалене виконання коду з правами SYSTEM на серверах, що мають відкритий доступ з мережі Інтернет. Зловмисники використовують цей механізм для завантаження та виконання бекдору ShadowPad, який завантажується за допомогою легітимних системних утиліт.
ShadowPad — модульне шкідливе програмне забезпечення, що забезпечує непомітний контроль над системою, підтримує завантаження додаткових компонентів і використовує техніку підміни DLL (Dynamic Link Library). Компрометація через WSUS надає зловмисникам можливість отримати повний контроль над системою, отримати доступ до внутрішніх ресурсів та проводити наступні етапи атаки.
У ході атаки спочатку здійснюється експлуатація вразливості на сервері WSUS, далі — завантаження та запуск легітимних утиліт (наприклад, curl.exe або certutil.exe) для отримання та встановлення ShadowPad. ShadowPad, що працює через side-loading DLL та має модульну архітектуру, відкриває зловмисникам глибокий і стійкий доступ до інфраструктури, що створює ризик викрадення даних, порушення роботи систем або подальшого розгортання атак в мережі. 
Рекомендації для користувачів:
● встановлюйте оновлення Windows лише через офіційний центр оновлення та не використовуйте неофіційні версії Windows;● слідкуйте за повідомленнями про оновлення — якщо система поводиться підозріло або встановлює оновлення у незвичний час, варто провести перевірку безпеки;● використовуйте антивірус або вбудований захист Windows і час від часу запускайте повну перевірку;● не ігноруйте попередження про небезпечні файли чи програми, які намагаються діяти без вашого відома;● не встановлюйте ПЗ, походження якого неможливо підтвердити.
Джерело