Шпион из наркокартеля, уничтожение испанской группировки и другие события кибербезопасности

Наркокартель нанял хакера для слежки за ФБР

В конце июня Минюст США обнародовал отчет, посвященный проверке внутренней безопасности ФБР.

Согласно документу, в 2018 году Бюро проводило расследование, закончившееся арестом руководителя синдиката Хоакина «Эль Чапо» Гусмана. Связанный с картелем человек сообщил ФБР, что преступная организация наняла хакера. Киберпреступник взламывал электронные устройства, мобильные телефоны и наблюдал за людьми, посещающими посольство США в столице Мексики. Ключевой фигурой слежки был помощник юридического атташе ФБР, работающий за рубежом.

Хакер смог использовать номер телефона сотрудника ФБР для получения данных о звонках и геолокации. Кроме того, злоумышленник подключился к системе городских камер видеонаблюдения в Мехико, чтобы отслеживать передвижения атташе и устанавливать личности людей, с которыми тот встречался.

По словам оперативника, картель использовал информацию, чтобы запугивать и убивать потенциальных свидетелей и информаторов.

Испанская группировка украла более €460 млн 

Сотрудники Гражданской гвардии Испании совместно с Европолом разоблачили крупнейшую мошенническую сеть, которая похитила более €460 млн у более 5000 жертв по всему миру, предлагая фиктивные инвестиции в криптовалюту.

25 июня правоохранители задержали трех подозреваемых на Канарских островах и двух в Мадриде. Европол координировал расследование с 2023 года, а во время операции в Испании задействовал эксперта по криптовалютам.

По версии следствия, организаторы создали глобальную схему по сбору средств через банковские переводы, криптовалютные транзакции и наличные. Они якобы использовали платежные шлюзы, аккаунты на криптобиржах и корпоративную структуру, связанную с Гонконгом. Сеть действовала с участием продавцов по всему миру, которые заманивали жертв на поддельные инвестиционные платформы.

Хакеры проникли в ПК геймеров через игру Call of Duty: WWII

Выход Call of Duty: WWII спровоцировал массовые взломы. 3 июля спустя два дня после релиза начали поступать жалобы от игроков об атаках от неизвестного хакера с помощью RCE. 

Злоумышленник, используя уязвимости многопользовательского режима, выполняет произвольные команды на компьютерах пользователей во время игры и стриминга. 

Известны случаи принудительного открытия хакером приложения Блокнот, вывода «нежелательно контента» на экран и перезагрузки системы.

Surprised but not surprised it took such a short time for exploits to be found. Thank you for the heads up man. I will say it’s not entirely surprising since it seems anyway that multiplayer is P2P connections and not dedicated servers. I could be wrong, but figured that since…

— Mike | KRNG Rxqe (@MikeRxqe) July 2, 2025

По мнению геймера под ником MikeRxqe, устаревшая сетевая модель P2P, используемая в игре, значительно упрощает получение IP-адресов игроков. В таком случае юзеры подключаются напрямую друг к другу и IP-адрес каждого становится известен всем остальным.

После этого атакующий может отправлять жертве напрямую специально сформированные сетевые пакеты. Они маскируются под легитимные игровые данные (информация о движении, выстрелах), но содержат вредоносную нагрузку.

2 июля Activision провела «краткосрочные технические работы» на серверах, однако официальных заявлений о связи этих работ с RCE-уязвимостью не последовало.

Мигранты завирусили программу определяющую местонахождение агентов государственного контроля 

Приложение ICEBlock для iPhone позволяет анонимно сообщать о замеченных агентах Службы иммиграционного и таможенного контроля США (ICE) — завирусилось, после упоминания со стороны генпрокурора Пэм Бонди.

Основная часть пользователей ICEBlock — около 20 000 человек — находится в Лос-Анджелесе, где в последние недели рейды ICE стали обычным явлением. После вечерних заявлений Бонди на следующий день 2 июля, оно вошло в список самых загружаемых бесплатных программ в США.

С помощью ICEBlock пользователи могут делиться информацией о местонахождении агентов ICE в радиусе ~8 км. Приложение отправляет уведомление о замеченных поблизости сотрудниках службы контроля. 

Полиция арестовала двух хакеров, нацеленных на высокопоставленных чиновников и журналистов

1 июля испанская полиция арестовала двух человек в провинции Лас-Пальмас по подозрению в киберпреступлениях, включая кражу данных у государственных структур страны.

Обоих подозреваемых охарактеризовали как «серьезную угрозу национальной безопасности». Расследование началось после того, как сотрудники правоохранительных органов зафиксировали утечку персональных данных. Они напрямую касались политиков, представителей центрального и регионального правительств, а также работников СМИ.

Считается, что первый подозреваемый специализировался на выкачивании данных, пока второй управлял финансовой частью: продавал доступ к базам данных и учетным записям, а также контролировал криптокошелек, на который поступали средства.

Оба были задержаны. Во время обысков полиция изъяла большое количество электронных устройств, которые могут привести к новым уликам, покупателям или соучастникам.

Нацеленный на кражу криптовалюты вредонос научился самовосстанавливаться

Северокорейские хакеры используют новое семейство вредоносного ПО для macOS — NimDoor, нацеленного на организации в сфере криптовалют и Web3.

Цепочка атаки включает контакт с жертвами через Telegram и попытку убедить их установить фальшивое обновление для Zoom. Оно распространяется через сервис планирования встреч Calendly и электронную почту.

В опубликованном 2 июля отчете специалисты SentinelOne сообщили, что злоумышленники использовали бинарные файлы, скомпилированные на C++ и Nim для атаки на macOS, что является довольно редким выбором.

Самым сложным элементом атаки является событийно-ориентированное приложение CoreKitAgent. Примечательной особенностью является использование механизмов устойчивости, затрудняющих его корректное завершение и удаление.

https://forklog.com/exclusive/fishing-v-web3-kak-zashhitit-sebya-i-svoi-aktivy

Уязвимость Bluetooth позволяет хакерам подслушивать владельцев гаджетов

На конференции по безопасности TROOPERS исследователи из ERNW рассказали о трех уязвимостях в чипах Airoha (SoC). Они широко используются в колонках, наушниках, гарнитурах и беспроводных микрофонах в 29 устройствах.

Bluetooth-чипсет может подслушивать и красть конфиденциальную информацию. Под угрозой находятся гаджеты от Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs и Teufel.

Проблемы безопасности позволяют получить контроль над устройством. На некоторых смартфонах злоумышленник, находящийся в зоне действия Bluetooth, может извлечь историю звонков и список контактов.

Компания Airoha выпустила обновленный SDK с необходимыми мерами защиты, и производители устройств уже начали разработку и распространение патчей.

С начала года количество атак через бесконтактные платежи в мире выросло в 35 раз

По данным специалистов ESET, число краж через систему бесконтактных платежей продолжает расти. Только за первое полугодие количество атак посредствам NFC в мире выросло в 35 раз по сравнению с 2024 годом.

В этой схеме объединены стандартные методы атак (социальная инженерия, фишинг, вредоносные программы для Android) с инструментом под названием NFCGate, что создает совершенно новый сценарий. 

Вредонос NGate позволяет ретранслировать данные NFC между двумя устройствами удаленно включая банковские карты, и обходит защиту, действуя от имени жертвы.

По данным ESET, пятая часть всех установленных в мире зловредов NGate расположена в России. Мошенники обманом вынуждают жертву установить ПО под видом легитимного государственного сервиса или банка и крадут средства. В начале 2025 года ущерб составил 40 млн рублей.

https://forklog.com/exclusive/holodnye-koshelki-delim-dostup-na-nizhe-nolya

В Firefox обнаружили более 40 вредоносных расширений, которые крадут приватные ключи

Расширения визуально неотличимы от оригинала и имеют огромное количество фальшивых отзывов и оценок, чтобы завоевать доверие. 

Более 40 поддельных расширений для браузера Firefox предназначены для кражи данных криптокошельков. Они маскируются под решения популярных платформ: Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.

После установки ПО незаметно похищает данные, подвергая активы пользователей риску. Во время инициализации злоумышленники также отправляют внешний IP-адрес жертвы, предположительно для отслеживания или точечного таргетинга.

Кампания активна как минимум с апреля 2025 года. Новые вредоносные расширения загружались в каталог Firefox еще в последних числах июня.

Также на ForkLog:

• Инженер из Индии отмывал доходы от наркоторговли через Monero.
• Переговорщика по выкупам заподозрили в сговоре с хакерами.
• США ввели санкции против хостинга Bulletproof.
• Криптостартап из США потерял $900 000 из-за северокорейцев в команде.
• Протокол Resupply сожжет 6 млн reUSD после взлома.

Что почитать на выходных?

Последний выпуск ежемесячного дайджеста FLMonthly дает ответы на актуальные вопросы о кибербезопасности в интервью с директором по расследованиям «Шард» Григорием Осиповым.

https://forklog.com/glavnoe-za-mesyats-vyzovy-dlya-bitkoina-aktualnaya-kiberbezopasnost-i-militarizatsiya-ii