Злоумышленники используют популярный менеджер пакетов Chocolatey для Windows в новой фишинговой кампании по заражению французских правительственных организаций и крупных строительных компаний бэкдором Serpent, сообщает SecurityLab.
Chocolatey – пакетный менеджер с открытым исходным кодом для Windows-ПК, позволяющий пользователям устанавливать и управлять более 9 тыс. приложений и любыми зависимостями с помощью командной строки.
В новой вредоносной кампании, обнаруженной исследователями ИБ-компании Proofpoint, злоумышленники используют довольно запутанную цепочку заражения с применением вредоносных документов Microsoft Word с макросами, пакетного менеджера Chocolatey и стеганографических изображений для обхода обнаружения.
Многоступенчатая кибератака начинается с фишингового письма якобы от европейского регулятора в области защиты персональных данных General Data Protection Regulations agency со вложенным документом Word с вредоносным макро-кодом.
Когда жертва открывает письмо и активирует макросы, эти макросы извлекают изображение персонажа мультфильма «Даша-путешественница» лисенка Жулика. Само по себе изображение кажется довольно безобидным, однако с помощью стеганографии в нем спрятан PowerShell-скрипт, который макрос затем выполняет.
PowerShell-скрипт сначала загружает и устанавливает пакетный менеджер Chocolatey, с помощью которого потом устанавливается язык программирования Python и установщик пакетов PIP.
Chocolatey также используется для обхода обнаружения решений безопасности, поскольку он часто присутствует в корпоративных средах для удаленного управления ПО и разрешен администраторами. По словам исследователей, им еще никогда не доводилось видеть использование Chocolatey в хакерских кампаниях.
На финальном этапе загружается второе стеганографическое изображение, в свою очередь загружающее написанный на Pyton бэкдор Serpent. После загрузки вредонос подключается к C&C-серверу для получения дальнейших команд. По словам исследователей, бэкдор способен выполнять любую команду злоумышленников, в том числе загружать дополнительное вредоносное ПО, открывать обратные оболочки и получать полный контроль над зараженным устройством.
Специалистам Proofpoint не удалось обнаружить ничего, что позволило бы определить, кто стоит за вредоносной кампанией. Хотя цели их пока не ясны, используемые тактики указывают на шпионаж.
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
9-10 декабря 2025 года в инновационном кластере «Ломоносов» пройдёт Открытая конференция ИСП РАН.
Аналитики Sekoia io описали фишинговую кампанию под названием «I Paid Twice», в которой злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp.
Исследователи Mandiant выявили критическую уязвимость в платформе удалённого доступа и обмена файлами Gladinet Triofox.
АНО «Национальный суперкомпьютерный форум», Институт программных систем имени А.
Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности.
В День кибериммунитета, 11 ноября, «Лаборатория Касперского» напоминает о том, что меры безопасности могут быть не только реактивными, но и проактивными.
