ИИ на службе у мошенников, уничтожение украинских фишеров и другие события кибербезопасности
- ИИ-редактор кода позволил украсть полмиллиона в криптовалюте.
- В украинскую киберсеть угодили жители Евросоюза.
- Gemini исполняет вредоносный промпт.
- Злоумышленники отмыли через децентрализованные протоколы средства на $21,8 млрд.
ИИ-редактор кода позволил украсть полмиллиона в криптовалюте
Сотрудники «Лаборатории Касперского» рассказали о результатах расследования инцидента, жертвой которого стал блокчейн-разработчик из России.
Как оказалось, в июне фальшивое расширение для редактора кода Cursor AI IDE заразило его устройства вредоносным ПО — средствами удаленного доступа и инфостилерами. Это привело к краже $500 000 в криптовалюте.
Cursor AI IDE — среда разработки с ИИ-функциональностью, основанная на Microsoft Visual Studio Code. Она поддерживает установку расширений через Open VSX — альтернативу официальному Visual Studio Marketplace.
Вредоносное расширение называлось Solidity Language и позиционировалось как инструмент подсветки синтаксиса для работы со смарт-контрактами Ethereum. Примечательно, что ОС жертвы была установлена всего за несколько дней до инцидента. На зараженное устройство были загружены лишь самые необходимые и популярные программы.
В украинскую киберсеть угодили жители ЕС
В июне украинские киберполицейские при участии чешских правоохранителей завершили расследование деятельности сети мошеннических колл-центров, длившееся полтора года.
По данным полиции, злоумышленники откликались на размещенные объявления в Чехии, Польше и других странах ЕС и отправляли продавцам фишинговые ссылки — якобы для оплаты. Линки вели на фальшивые страницы, маскирующиеся под известные платежные сервисы. Таким образом преступники получали доступ к банковским данным жертв. Часть украденных 1,5 млн гривен перевели в криптовалюту.
В схеме участвовало около 40 человек. Обвинения предъявлены четырем организаторам и 10 исполнителям. В рамках уголовного производства в шести регионах Украины прошло 29 обысков, фигурантам грозит до 12 лет лишения свободы.
Gemini исполняет вредоносный промпт
Об уязвимости Google Gemini перед инъекциями промптов сообщил специалист по информационной безопасности и менеджер баунти-программы, нацеленной на LLM 0DIN, Марко Фигероа.
Google Gemini для Workspace можно использовать для создания кратких резюме писем, которые будут выглядеть легитимными, но при этом содержать вредоносные инструкции и сообщения, направляющие пользователей на фишинговые сайты.
Атака строится вокруг создания письма с невидимой директивой. Злоумышленник может скрыть вредоносную инструкцию в конце сообщения, установив размер шрифта на ноль или окрасив его в белый цвет.
Так как подозрительные вложения и ссылки отсутствуют, сообщение с большой вероятностью попадет в почтовый ящик адресата. Если получатель откроет письмо и попросит Gemini создать краткое резюме, ИИ прочтет невидимую инструкцию и выполнит ее.
В примере Фигероа Gemini следует вредоносным промптам и показывает пользователю предупреждение о том, что его пароль для Gmail может быть скомпрометирован. Это сообщение сопровождается фальшивым номером телефона службы поддержки, на который могут позвонить доверчивые пользователи.
Злоумышленники отмыли через децентрализованные протоколы средства на $21,8 млрд
Согласно отчету Elliptic, в 2025 году злоумышленники перевели $21,8 млрд присвоенных средств через DEX, кроссчейн-мосты и сервисы конвертации. Из них около $2,5 млрд связали с северокорейскими хакерами, а ~$300 млн — с иранскими криптосервисами, находящимися под санкциями.
Мошенники используют кроссчейн-мосты для сокрытия происхождения средств, отмывания денег или обхода блокировок от эмитентов стейблкоинов Tether и Circle.
В число подобных межсетевых атак входят:
- инвестиционные схемы;
- мошенничество с мем-коинами;
- попытки обхода санкций;
- другие формы обмана.
По данным аналитиков, глобальный объем «децентрализованных» преступлений утроился по сравнению с 2023 годом, когда Elliptic насчитала $7 млрд.
Аналитики предполагают, что криптомошенники будут активнее использовать общественный интерес и новые технологии для атак. Они рекомендуют проявлять особенную осторожность в период роста рынка, когда приток новичков увеличивается.
В отчете говорится, что треть сложных расследований были связаны с тремя блокчейнами, более пяти сетей — в 27% случаев и более 10 — в 20% операций.
Лишь 1,5% из 10 млн паролей «сильные»
15 июля команда исследователей из Specops Software проанализировала 10 млн случайных паролей из более чем 1 млрд скомпрометированных. Анализ включал визуальную тепловую карту, где были отображены наиболее распространенные комбинации длины и сложности паролей.
В результате выяснилось, что лишь 1,5% из них можно отнести к категории «сильных».
Исследование указывает на халатность служб безопасности организаций. Руководство многих компаний по-прежнему позволяет сотрудникам использовать слабые пароли, которые могут стать легкой мишенью для киберпреступников.
В рамках анализа сильным считался пароль, который содержит не менее 15 знаков и хотя бы несколько различных классов символов, включая цифры, заглавные буквы и спецсимволы.
Масштабная утечка в секторе здравоохранения затронула 5,4 млн человек
Согласно TechCrunch крупнейшая компания в сфере медицинского биллинга Episource уведомила жителей США о краже их персональных и медицинских данных в результате кибератаки, произошедшей ранее в этом году. Утечка затронула более 5,4 млн человек, что делает ее одной из самых масштабных в секторе здравоохранения за 2025 год.
Episource занимается корректировкой счетов для врачей, больниц и других организаций, работающих в медицине. Компания обрабатывает большое количество персональной и медицинской информации пациентов для подачи страховых требований.
По информации экспертов, взлом длился неделю и завершился 6 февраля. Похищенная информация включает:
- персональные данные (имена, почтовые и электронные адреса, номера телефонов);
- конфиденциальная медицинская информация (номера медицинских карт, сведения о врачах, диагнозах, назначениях, результатах анализов и обследований);
- данные медицинского страхования (названия программ, номера полисов).
Хотя Episource не уточняет характер инцидента, партнер компании — Sharp Healthcare — сообщил клиентам, что причиной утечки стала атака с применением программы-вымогателя.
Уязвимость «устройства конца поезда»
10 июля Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение об уязвимости. С момента ее обнаружения Ассоциации американских железных дорог понадобилось 12 лет, чтобы прекратить использовать радиопротокол, который может активировать тормоза на поездах в любой точке Северной Америки.
Этот радиопротокол связывает локомотив с устройствами, установленными на последнем вагоне.
Такие приборы используются для сбора телеметрических данных с задней части поезда, что особенно актуально для длинных грузовых составов, длина которых превышает километр. «Железо» также может принимать команды от машинистов, самой важной из которых является торможение задней части поезда.
Злоумышленник, имеющий дешевое оборудование стоимостью $500 и программно-определяемую радиостанцию, способен отдавать команды устройству для внезапного включения тормозов.
Также на ForkLog:
- Разработчики нашли способ защитить биткоин от квантовых атак.
- BigONE взломали на $27 млн.
- Даркнет-маркетплейс Abacus Market заподозрили в экзит-скаме на $12 млн.
- Потери от взлома протокола Arcadia Finance составили ~$2,5 млн.
- Соучредитель Tornado Cash объявил о срочном сборе $1,5 млн для суда.
- Руководители MoonPay отправили $250 000 фейковому Стиву Виткоффу.
Что почитать на выходных?
Десять лет назад его называли алармистом, сегодня его книги читают как инструкцию к цифровому миру. Почему Евгений Морозов стал как никогда актуальным в эпоху тотального контроля данных и хайпа вокруг ИИ — читайте в новом выпуске «Кремниевых танков» от ForkLog.