Новая кампания кибератак, известная как PHALT#BLYX, нацелена на гостиницы и компании сферы гостеприимства в Европе. Злоумышленники используют комбинацию фишинга и социальной инженерии, чтобы заставить сотрудников самостоятельно запускать вредоносный код на рабочих компьютерах.
Атака начинается с фишинговых писем, стилизованных под уведомления от популярного сервиса бронирования, в которых говорится о якобы отменённых резервациях и возможных финансовых потерях. Переход по ссылке ведёт на поддельный сайт, который сначала показывает ложный CAPTCHA, а затем демонстрирует полный экран поддельного «синего экрана смерти» Windows (BSOD), что создаёт впечатление серьёзной системной ошибки.
Для «исправления» этой ошибки злоумышленники побуждают пользователя открыть системное окно и вставить предложенную команду, что запускает PowerShell-скрипт. Этот скрипт загружает и выполняет дополнительный вредоносный код с использованием легитимного инструмента MSBuild, что позволяет обойти встроенные средства защиты и обеспечивать дальнейшую загрузку и выполнение зловредов.
Конечным результатом такой цепочки является установка удалённого доступа Trojan (далее - DCRat), который даёт злоумышленникам постоянный контроль над заражённой системой, позволяет регистрировать нажатия клавиш, управлять процессами и загружать дополнительные полезные нагрузки.
Эксперты подчёркивают, что эта кампания иллюстрирует развитие техники ClickFix - злоумышленники всё активнее комбинируют социальную инженериию с использованием доверенных системных компонентов, чтобы облегчить выполнение вредоносных действий пользователями и обойти автоматические механизмы защиты.
Организациям рекомендуется усиливать обучение персонала для распознавания фишинговых писем и поддельных уведомлений, внедрять жёсткие правила исполнения командной оболочки и применять расширенные фильтры электронной почты, чтобы снизить риск подобных инцидентов.
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
СберФакторинг, дочерняя компания Сбера, внедрила Kaspersky Container Security для повышения уровня защиты контейнерных приложений на всех этапах их жизненного цикла — от разработки до эксплуатации.
«Базальт СПО», мировой производитель системного и инфраструктурного ПО на базе собственной платформы разработки провeдeт четвертую партнерскую конференцию AltConf: Orange Season.
В мартовском накопительном обновлении KB5079473 для Windows 11 компания Microsoft добавила в интерфейс панели задач новую функцию - быструю проверку скорости интернета.
