Новости / Zscaler

Злоумышленники внедрили вредоносный JavaScript в Okendo Reviews

Okendo

Скомпрометированный скрипт загружался на страницах интернет-магазинов и после нескольких проверок мог показать посетителям поддельную CAPTCHA или окно верификации. Уловка из семейства ClickFix просила открыть окно «Выполнить» в Windows и запустить скопированную команду, сообщили исследователи Zscaler.

Читать пост

Обновлённая версия Xloader сделала троян менее предсказуемым и сложнее обнаружить

кибератаки

По данным экспертов Zscaler, авторы инструмента не просто обновили код, а полностью переработали ключевые механизмы маскировки и связи с управляющими серверами. Xloader давно известен как преемник FormBook, и в его коде до сих пор сохраняются устаревшие фрагменты. Однако начиная с версии 8.1 разработчики активно усиливают защиту от анализа. Основно …

Читать пост

Китайская кибергруппировка, связанная с Mustang Panda, сосредоточилась на странах Персидского залива

хакеры

Атака начиналась с ZIP-архива, внутри которого находился файл с двойным расширением, маскирующийся под PDF. После открытия запускалась цепочка загрузки вредоносных компонентов. Сначала система скачивала CHM-файл с удалённого сервера, затем извлекала дополнительные элементы, включая поддельный документ на арабском языке с описанием ракетной атаки Ир …

Читать пост

APT28 уже использует новую уязвимость в Microsoft Office

уязвимости

По данным исследователей, атаки начались уже через три дня и были нацелены на пользователей на Украине, в Словакии и Румынии. Специалисты компании Zscaler сообщили, что кампания получила название Operation Neusploit, передаёт Securitylab. В основе атак лежит уязвимость CVE-2026-21509 с оценкой CVSS 7.8. Проблема позволяет обойти защитные механизмы …

Читать пост

В официальном репозитории npm обнаружены три вредоносные библиотеки, замаскированные под компоненты, связанные с проектами Bitcoin

npm

Вредоносные пакеты получили названия «bitcoin-main-lib», «bitcoin-lib-js» и «bip40». Первые два содержали скрипт postinstall.cjs, запускаемый автоматически после установки. Этот скрипт загружал и устанавливал «bip40» — библиотеку, в которой и находился основной вредоносный код. Общее число загрузок всех трёх пакетов достигло почти 3500, что говорит …

Читать пост

Распространяется нового набора для фишинга под названием BlackForce

фишинг

За короткий период было выявлено как минимум пять различных версий этого инструмента. BlackForce сочетает кражу учётных данных с атаками Man-in-the-Browser, что позволяет обойти двухфакторную аутентификацию в реальном времени. Комплект продаётся в Telegram по цене от 200 до 300 евро и поятоянно обновляется, пишет Securitylab.

Читать пост

DanaBot возвращается спустя полгода затишья

киберугрозы

Возвращение вредоносного ПО DanaBot после длительного перерыва оказалось неожиданным для отрасли: после почти полугодовой паузы, связанной с международной операцией силовых структур, в сети началась новая волна атак. Перерыв, вызванный изъятием серверов и обвинениями в отношении причастных к инфраструктуре, не остановил создателей трояна, пишет Sec …

Читать пост

Библиотека termncolor в официальном хранилище PyPI распространяла вредоносный код

https://consent.yahoo.com/v2/collectConsent?sessionId=3_cc-session_7a22e0ca-e168-4752-868b-a4dac5bcb124

Обе библиотеки уже удалены, однако до этого их успели скачать более 800 раз, пишут в Securitylab. Особенность атаки заключалась в многоступенчатом заражении: установка termncolor приводила к загрузке colorinal, которая запускала DLL-файл для расшифровки и запуска следующего этапа. На этой стадии применялся бинарный файл vcpktsvr.exe вместе с libcef …

Читать пост

Загрузчик Oyster распространяется через поддельные инструменты для разработчиков

https://www.aspirets.com/blog/bumblebee-malware-loader-threat-analysis/

ИБ-специалисты из Arctic Wolf выявили новую волну атак с применением техники SEO-отравления, целью которых стало распространение известного вредоносного загрузчика под названием Oyster, также известного как Broomstick или CleanUpLoader. Мошенники используют поддельные сайты, имитирующие официальные ресурсы популярных утилит вроде PuTTY и WinSCP, чт …

Читать пост

Вредоносные .desktop-файлы всё чаще используются в атаках на Linux

Linux-угрозы

Эти текстовые конфигурационные файлы обычно применяются в Linux для настройки ярлыков запуска приложений, но теперь становятся каналом проникновения вредоносного кода. Сам подход был впервые описан командой Zscaler ещё в 2023 году, напоминает Securitylab. Тогда выяснилось, что злоумышленники начали встраивать вредоносные команды в переменную Exec т …

Читать пост