Граждан Бразилии «предупредили» о нападении инопланетян, в старых моделях D-Link обнаружили угрозу и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Канадские спецслужбы впервые применили судебный ордер для удаленной очистки устройств граждан.

Инфостилер под macOS обошел ИИ-анализ с помощью инъекции фейковых ошибок.

Европол ликвидировал сеть распространения вредоносов Amadey и StealC.

В Бразилии хакеры разослали экстренные оповещения о «нападении инопланетян».

Канадские спецслужбы впервые применили судебный ордер для удаленной очистки устройств граждан

Канадская служба разведки и безопасности получила беспрецедентный судебный ордер на удаленное вмешательство в работу зараженных серверов, домашних роутеров и IoT-устройств на территории страны. Об этом сообщает Todayville.

Ботнеты работали по классической схеме ретрансляции. Маршрутизируя трафик через взломанное оборудование, хакеры маскировались под обычных домашних пользователей или интернет-провайдеров. Это позволяло им незаметно сканировать сети критической инфраструктуры (в частности, энергетического сектора), правительственные и военные ведомства Канады.

Целями для очистки стали базирующиеся в стране серверы, роутеры для малого бизнеса и дома, а также умная техника: дверные звонки, камеры видеонаблюдения, телевизоры и другие устройства с поддержкой Wi-Fi.

Федеральный суд Канады рассекретил публичную версию постановления только в середине июня 2026 года, хотя сам ордер был выдан более двух лет назад. В нем подчеркивается, что личные данные пользователей не перехватывались, а случайно собранная информация немедленно уничтожалась.

По данным СМИ, одна из основных проблем таких атак кроется в устаревшем оборудовании. Вредоносы внедряют в IoT-устройства с заводскими паролями или технику, чья поддержка завершена.

Это подтвердили специалисты из команды XLab. Они обнаружили ранее неизвестный ботнет под названием AryStinger, который использовал устаревшие домашние маршрутизаторы D-Link моделей DIR-850L и DIR-818LW.

В ходе вредоносной кампании хакеры взломали более 4000 роутеров, превратив их в прокси-серверы для ретрансляции злонамеренного трафика и выполнения распределенных задач.

По данным исследователей, помимо использования устройств в качестве стартовой площадки для атак, AryStinger способен вмешиваться в настройки DNS, перехватывать браузерные сессии жертв, а также скрытно мониторить и похищать весь входящий и исходящий сетевой трафик. Около 48% всех заражений пришлись на Южную Корею, Китай, Швецию, Малайзию и Сингапур.

Инфостилер под macOS обошел ИИ-анализ с помощью инъекции фейковых ошибок

Исследователи из SentinelOne обнаружили новое вредоносное ПО для macOS Gaslight. Инфостилер целенаправленно атакует инструменты автоматизированного анализа кода и реверс-инжиниринга, работающие на базе ИИ.

Аналитики с высокой долей уверенности связывают вредонос с северокорейскими хакерами. Помимо стандартной функциональности бэкдора и кражи данных, внутри файла Gaslight скрыт специальный загрузчик размером 3,5 КБ. Он содержит 38 сфабрикованных системных сообщений, оформленных с использованием Markdown-разметки и шаблонов.

Фейковые сообщения об ошибках. Источник: SentinelOne.

Эти строки работают как инъекции промптов для LLM-моделей. Фальшивые сообщения имитируют логи разработчиков, отчеты о сбоях, ошибки переполнения памяти и предупреждения об истечении срока действия токенов. Их цель — заставить ИИ-агента усомниться в корректности собственной сессии анализа. 

По данным экспертов, предлагая ИИ-платформам этот контекст, хакеры рассчитывают, что языковая модель прервет работу, обрежет отчет или вовсе откажется продолжать анализ «поврежденного» образца, сославшись на несуществующие технические ошибки.

Европол ликвидировал сеть распространения вредоносов Amadey и StealC

Европол совместно с правоохранителями из десятка стран и специалистами Microsoft ликвидировал сеть распространения вредоносов SocGholish, Amadey и StealC.

Троян Amadey выполнял роль загрузчика для получения первоначального доступа к системе, после чего вирус разворачивал инфостилер StealC. Последний специализировался на краже паролей, данных кредитных карт и сид-фраз криптокошельков.

Результаты скоординированной операции:

захвачено 326 серверов и 142 домена;

выявлены и заморожены криптоактивы на сумму свыше $47 млн;

изъята база, содержащая более 27 млн украденных учетных данных;

очищено около 15 000 сайтов на базе WordPress, которые хакеры ранее взломали для скрытого распространения вируса SocGholish под видом системных обновлений.

В Гонконге полиция арестовала членов финансового звена преступного синдиката. Об этом сообщает South China Morning Post.

Задержанные 69 человек в возрасте от 18 до 60 лет являлись членами группировки, которая специализировалась на легализации доходов от трансграничного инвестиционного мошенничества с использованием криптовалют.

Для запутывания следов и легализации криминальных средств злоумышленники использовали разветвленную сеть фейковых счетов, оформленных на подставных лиц (дропов). По оценкам полиции, мошенники отмыли около $25,6 млн.

В Бразилии хакеры разослали экстренные оповещения о «нападении инопланетян»

В ночь с 19 на 20 июня 2026 года национальная система экстренных оповещений Бразилии (Defesa Civil Alerta) подверглась кибератаке. Об этом сообщает G1. 

В результате взлома инфраструктуры жители нескольких штатов получили «экстренные предупреждения», которые сопровождались громким воем сирен на смартфонах — сигнал срабатывал даже на устройствах, переведенных в беззвучный режим.

Вместо реальных уведомлений о стихийных бедствиях злоумышленники разослали 10 сообщений с бессвязным и странным текстом. Большинство из них содержало слово «мизантропия», сопровождалось сленгом и опечатками, а в некоторых регионах рассылка и вовсе предупреждала о якобы начавшемся «нападении инопланетян».

Источник: G1.

По предварительным данным Министерства интеграции и регионального развития, атака была нацелена на правительственный механизм рассылки Cell Broadcast. 

Злоумышленникам, вероятно, удалось взломать учетные записи сотрудников Гражданской обороны. Получив доступ к платформе, хакеры удаленно инициировали рассылку высшего приоритета (Alerta Extremo), которая позволяет обходить системные ограничения смартфонов на звук и уведомления. 

Чтобы остановить спам-атаку, властям пришлось пойти на крайние меры: в 01:30 ночи серверы системы оповещения были принудительно отключены. На момент написания платформу Defesa Civil Alerta частично восстановили, однако право рассылать оповещения оставили исключительно за Национальным центром управления рисками и катастрофами. 

ZachXBT раскрыл личность хакера, задержанного в Польше

Европейские правоохранители при поддержке ФБР и Министерства внутренней безопасности США арестовали четырех членов хакерской группировки. Об этом сообщили в Центральном бюро по борьбе с киберпреступностью Польши (CBZC). 

Злоумышленников подозревают в проведении атак с подменой SIM-карт, краже цифровых активов с криптовалютных бирж и масштабном отмывании денег.

По данным следствия, хакеры использовали специализированное программное обеспечение и методы социальной инженерии для взлома IT-инфраструктуры компаний, сотрудничающих с телекоммуникационными операторами. Получив доступ к электронной почте сотрудников, они незаконно клонировали номера телефонов жертв.

Перехват позволял злоумышленникам обходить двухфакторную аутентификацию, захватывать контроль над пользовательскими аккаунтами на криптовалютных биржах и выводить цифровые активы.

Украденные средства отмывались через сложную распределенную финансовую сеть, включающую:

личные банковские счета в Польше и за рубежом;

международные платежные платформы;

криптокошельки.

Общая сумма отмытых средств оценивается в десятки миллионов польских злотых. Всем четверым подозреваемым грозит до 25 лет лишения свободы.

Официальные власти не раскрыли личности задержанных, однако ончейн-исследователь ZachXBT заявил, что одним из них является Войтек Кулиш — польский хакер, специализирующийся на социальной инженерии, и известный в сети под ником Merry.

https://t.me/investigations/344

Аналитик сделал такой вывод, сопоставив дизайнерскую одежду и ювелирные изделия, попавшие на оперативное видео полиции во время обыска, с вещами, которые Кулиш ранее публично демонстрировал в своем Instagram-аккаунте.

Также на ForkLog:

Polymarket возместит потери пользователей после атаки через подрядчика.

В Бристоле отключили ИИ-модели риска преступлений против детей из-за ошибок.

Регулятор Южной Кореи оштрафовал Bithumb за утечку данных.

Минюст США изъял инфраструктуру «криптопрачечной» Huione Group.

Из кошельков SecondFi вывели 16 млн ADA.

В Таиланде связали нелегальный майнинг с отмыванием $300 млн.

Five Eyes предупредили об ускорении ИИ-кибератак.

Криптоиндустрия поставила антирекорд по числу взломов.

Хакер взломал L2-сеть Taiko.

Axelar сообщил о взломе моста с Secret Network на $4,67 млн.

MEV-бот Jaredfromsubway.eth потерял более $7,5 млн.

Что почитать на выходных?

Разрыв между долларовыми и евро-стейблкоинами измеряется даже не процентами — он 200-кратный. В новом материале ForkLog постарался разобраться, почему ЕС проиграл толком не начавшуюся «блокчейн-гонку» и как можно исправить положение.

Источник