2SDnjcoK9BL
Киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки, сообщает SecurityLab.
Вредоносная кампания в настоящее время еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».
Если пользователь зашел на сайт через непосредственное подключение – загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.
Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.
Файл загрузчика на Delphi представляет собой исполняемый файл «Windows 11 setup». После запуска он удаляет временный файл is-PN131.tmp и создает новый файл .TMP, куда записывает 3078 КБ данных.
С помощью CreateProcess Windows API вредонос создает новые процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестраy, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.
Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл – VBA-скрипт, необходимый для запуска dfl.cmd.
На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.
С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
9-10 декабря 2025 года в инновационном кластере «Ломоносов» пройдёт Открытая конференция ИСП РАН.
Аналитики Sekoia io описали фишинговую кампанию под названием «I Paid Twice», в которой злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp.
Исследователи Mandiant выявили критическую уязвимость в платформе удалённого доступа и обмена файлами Gladinet Triofox.
АНО «Национальный суперкомпьютерный форум», Институт программных систем имени А.
Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности.
В День кибериммунитета, 11 ноября, «Лаборатория Касперского» напоминает о том, что меры безопасности могут быть не только реактивными, но и проактивными.
