Шантаж биржи Kraken, извлечение удаленной переписки в Signal и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- В Украине арестовали криптоактивы хакеров на $8,3 млн.
- Аналитики обнаружили троян для подмены криптоадресов со сложной доставкой.
- Kraken подверглась шантажу.
- ФБР извлекло переписку из Signal после удаления приложения.
В Украине арестовали криптоактивы хакеров на $8,3 млн
Правоохранители в Украине задержали участника международной хакерской группировки, которая осуществляла кибератаки в странах Европы и США. Об этом сообщил генпрокурор Руслан Кравченко.
По данным следствия, злоумышленники использовали вредоносный софт для кражи конфиденциальной информации и документов с целью получения выкупа. Средства перечисляли на криптокошельки, затем обналичивали и отмывали в Украине — в частности, через покупку недвижимости и дорогостоящего имущества.
Ориентировочная сумма нанесенного ущерба превысила $100 млн. В рамках расследования проведено более 30 обысков и арестованы активы на сумму около $11,1 млн, в том числе жилые дома и автомобили, $1 млн наличными и криптовалюта примерно на $8,3 млн.
Также правоохранители установили местонахождение соучастника, который отвечал за легализацию средств.
Аналитики обнаружили троян для подмены криптоадресов со сложной доставкой
Обнаружена кампания по распространению трояна ClipBanker, который подменяет адреса криптокошельков в буфере обмена. Об этом сообщили исследователи «Лаборатории Касперского».
Вредонос маскируется под утилиту для перенаправления трафика приложений через прокси-сервер Proxifier. Ее используют разработчики и системные администраторы.
По данным аналитиков, ссылка на зараженный репозиторий на GitHub находится в топе поисковой выдачи Google и Яндекс.
Троян скрыто разворачивается во время установки Proxifier, применяя технику бесфайлового заражения, при которой код работает в памяти. Затем по задаче из планировщика запускается скрипт из реестра, ведущий на GitHub. Оттуда цепочка получает файл с кодом — он внедряется в fontdrvhost.exe и разворачивает финальную нагрузку.
Основная функция ClipBanker — мониторинг буфера обмена на предмет наличия адресов криптокошельков и их подмену.
По данным экспертов, с начала 2025 года с угрозой столкнулись более 2000 пользователей «Лаборатории Касперского» — преимущественно в Индии и Вьетнаме.
Kraken подверглась шантажу
Глава информационной безопасности Kraken Ник Перкоко сообщил о нескольких инцидентах, связанных с сотрудниками, после которых руководство криптобиржи подверглось шантажу.
Kraken Security Update
— Nick Percoco (@c7five) April 13, 2026
We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It’s important to start with the most important points: our systems were never…
Злоумышленники угрожали опубликовать видеозаписи компании, на которых якобы отображены данные о пользователях биржи.
По словам эксперта, инфраструктура Kraken не взломана, а средства клиентов остались в сохранности. Он объяснил случившееся неправомерным доступом службы поддержки к информации с ограниченным допуском.
Пользователи, чьи данные могли быть затронуты утечкой, получили уведомления. В общей сложности пострадало около 2000 аккаунтов (0,02% общей клиентской базы).
Перкоко отметил, что в феврале 2025 года источник сообщил команде о видео, которое распространяется в киберпреступной среде и демонстрирует доступ к системам поддержки клиентов. В результате расследования выяснилось, что один из сотрудников поддержки оказался завербован хакерами. Позже произошел второй подобный случай.
Перкоко заверил, что биржа активно взаимодействует с правоохранителями в нескольких юрисдикциях и передала им собранные улики.
ФБР извлекло переписку из Signal после удаления приложения
ФБР восстановило сообщения из мессенджера Signal, несмотря на то, что они были стерты, а приложение удалено с iPhone. Об этом сообщает 404 Media.
В суде по делу о нападении на центр ICE в Алверейдо, штат Техас, ФБР предъявило в качестве доказательства удаленные сообщения в мессенджере Signal. Восстановить данные с телефона обвиняемой Линетт Шарп сотрудникам федерального ведомства удалось, как утверждают журналисты, благодаря пуш-уведомлениям, сохранившимся во внутренней базе iOS.
Если настройки Signal разрешают показ содержимого переписки в превью на заблокированном экране, текст оседает в хранилище даже после удаления приложения.
В Signal есть опция, которая позволяет не отображать контент, но Шарп, по всей видимости, ею не воспользовалась.
На новость отреагировал сооснователь Telegram Павел Дуров. По его словам, это «еще одно доказательство» того, что секретные чаты — самый безопасный способ общения.
Представители Signal подтвердили получение запроса от журналистов 404 Media, но потом перестали отвечать на письма. В Apple отказались от комментариев.
Приложение для заметок Obsidian стало лазейкой для трояна
Эксперты Elastic Security Labs обнаружили кампанию, в которой мошенники используют в качестве ловушки приложение для заметок Obsidian. Конечная нагрузка вируса представлена ранее неизвестным трояном PHANTOMPULSE.
Целью атак стали работники финансовых и криптовалютных огранизаций. Схема взлома выглядит следующим образом:
- Злоумышленники представляются сотрудниками венчурной фирмы.
- Общение переносится в Telegram, где несколько «партнеров» обсуждают профильные услуги, создавая иллюзию легитимности.
- Жертве предлагают подключиться к облачному хранилищу (vault) в Obsidian, якобы содержащему общий аналитический дашборд.
Для выполнения вредоносного кода хакеры используют софт сообщества Obsidian: Shell Commands (для запуска команд) и Hider (для скрытия следов активности в интерфейсе).
Поскольку сторонние плагины в Obsidian отключены по умолчанию, хакеры убеждают жертву это исправить. Затем вредоносная конфигурация файла хранилища автоматически запускает команды.
На Windows атака активирует скрипт, который загружает и устанавливает вирус PHANTOMPULSE.
Его особенности:
- создан с помощью ИИ;
- использует блокчейн Ethereum в качестве Dead Drop Resolver (DDR) для определения адреса командного сервера, декодируя последние транзакции конкретного кошелька;
- собирает телеметрию, выполняет команды через внедрение кода, делает скриншоты, ведет журнал, способен повысить привилегии до уровня SYSTEM и заметать следы.
На системах Apple троян запускает AppleScript, для которого роль DDR выполняет Telegram, что позволяет хакерам менять домены в случае обнаружения.
Также на ForkLog:
- Drift получил $127 млн от Tether для выплаты компенсаций жертвам взлома.
- Ledger опубликовала дорожную карту безопасности в эпоху ИИ-агентов.
- Мошенники похитили $9,5 млн через фишинг-приложение Ledger в App Store.
- Минюст США начал выплаты жертвам OneCoin.
- Регуляторы по всему миру обеспокоились возможностями новой ИИ-модели Anthropic.
- Хакер взломал мост Hyperbridge и выпустил 1 млрд токенов Polkadot.
Что почитать на выходных?
Обещания, миллиарды собранных долларов и суровая реальность: в новом материале ForkLog вспомнил эволюцию блокчейнов первого уровня, пытавшихся занять место Ethereum.