Хакеры атаковали пользователей Dashlane, в Trezor нашли уязвимость и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Хакеры взломали пользователей менеджера паролей Dashlane.

В чипе криптокошелька Trezor Safe 7 обнаружили уязвимость.

Китайские хакеры нацелились на Европу.

Мошенники убедили ИИ-поддержку переписать на них редкие Instagram-аккаунты.

Хакеры взломали пользователей менеджера паролей Dashlane

Злоумышленникам удалось обойти двухфакторную аутентификацию (2FA) и скачать зашифрованные хранилища с учетными данными пользователей Dashlane. Об этом сообщил разработчик менеджера паролей.

Кампания началась 31 мая 2026 года и была нацелена на API-эндпоинты регистрации новых устройств. Хакеры запустили цикл перебора шестизначных одноразовых кодов, которые отправлялись жертвам на электронную почту или генерировались в приложениях-аутентификаторах.

Несмотря на то, что автоматизированные системы безопасности Dashlane зафиксировали аномалию и начали временно блокировать целевые аккаунты, атакующие успели подобрать правильные коды для небольшого числа жертв. Пройдя верификацию 2FA, хакеры авторизовали в профилях пользователей свои устройства, после чего приложение автоматически скачало на них полные копии зашифрованных хранилищ.

По данным компании, в результате инцидента пострадали «менее 20 пользователей». Внутренняя инфраструктура и серверы самого Dashlane не скомпрометированы. Компания внедрила дополнительные уровни проверки и блокировки подозрительного трафика.

Специалисты подчеркнули, что похищенные базы паролей остаются недоступными для хакеров без мастер-пароля жертвы. Благодаря ZKP-архитектуре и стойкому шифрованию данные защищены от быстрого взлома.

Поскольку хранилища теперь физически находятся на серверах злоумышленников, они могут использовать неограниченные вычислительные мощности для локального взлома. Ситуация во многом повторяет инцидент с LastPass в 2022 году.

В чипе криптокошелька Trezor Safe 7 обнаружили уязвимость

Разработчик чипов безопасности Tropic Square раскрыл информацию об уязвимости в своем продукте TROPIC01, используемом в аппаратном криптокошельке Trezor Safe 7.

Проблему обнаружила команда исследователей безопасности Ledger Donjon в ходе независимого аудита. Специалисты провели успешную атаку типа Laser Fault Injection. В лабораторных условиях этот метод позволил обойти проверку подписи прошивки и извлечь часть секретных данных, защищаемых чипом.

Опираясь на отчет Donjon, в Tropic Square выявили сложный метод эксплуатации этой уязвимости для извлечения еще одного секрета. Он затрагивает функции TROPIC01, связанные с PIN-кодом. 

Как пояснили представители Trezor в письме ForkLog, даже с учетом дополнительной находки, компрометации одного лишь чипа недостаточно для получения доступа к самому PIN-коду Trezor Safe 7. К тому же приватные ключи пользователей и сид-фразы не хранятся на TROPIC01. Для реализации эксплойта злоумышленнику требуется полный физический доступ к кошельку жертвы, дорогостоящее специализированное оборудование и экспертные знания.

В Trezor заявили, что пользователям не нужно предпринимать никаких действий, так как дизайн кошелька полностью нивелирует этот риск на практике.

Китайские хакеры нацелились на Европу

С марта 2026 года интенсивность атак китайских хакеров из группировки TA4922 достигла беспрецедентных масштабов: география их интересов расширилась, теперь их целями стали организации в Европе. Об этом сообщили специалисты Proofpoint.

Ранее группировка концентрировалась исключительно на Восточной Азии, однако в ходе недавних кампаний фокус сместился на коммерческие и государственные организации в Германии, Италии, Великобритании и Южной Африке.

Количество атак группировки TA4922 по странам. Источник: Proofpoint.

По данным экспертов, для первоначального взлома системы хакеры используют высококлассные локализованные фишинговые приманки, имитирующие уведомления о начислении заработной платы, налоговые проверки, декларации по НДС и сообщения от HR-департаментов. Помимо электронной почты, злоумышленники ищут контакты с жертвами через мессенджеры WhatsApp, LINE и платформу Microsoft Teams.

В ходе последних атак они развернули ранее неизвестный троян удаленного доступа Atlas. Этот бэкдор обладает широким спектром шпионских функций:

полная разведка и фингерпринтинг системы;

целевая эксфильтрация файлов;

кейлоггинг и создание снимков экрана;

запись аудио и видео через периферийные устройства жертвы;

дистанционное управление питанием системы.

Кроме этого Atlas оснащен механизмами обхода «песочниц»: он проверяет ключи реестра и имена пользователей на наличие признаков сред Microsoft Defender Application Guard и службы CExecSvc.

Также в арсенале группы обнаружили новый загрузчик RomulusLoader для скрытого запуска утилит удаленного администрирования, таких как AnyDesk и популярной в Китае SyncFuture. Параллельно зафиксировано использование Python-установщика SilentRunLoader, нацеленного на кражу сессионных куки-файлов и паролей из Google Chrome.

В Proofpoint предполагают, что TA4922 использует большие языковые модели (LLM) для ускорения написания софта — на это указывает обилие специфических комментариев и структурных паттернов в коде, характерных для ИИ.

Мошенники убедили ИИ-поддержку переписать на них редкие Instagram-аккаунты

Некоторые пользователи Instagram лишились доступа к своим страницам из-за критической уязвимости в архитектуре ИИ-поддержки Meta, сообщает BleepingComputer.

Злоумышленникам удалось поставить на поток обход защитных механизмов платформы, включая двухфакторную аутентификацию (2FA), с помощью манипуляций с ИИ-помощником.

Атакующий инициировал стандартный протокол восстановления пароля, заявляя, что страница якобы была взломана. Когда автоматизированная система Instagram запрашивала верификацию личности через видео, хакеры использовали дипфейк, который сделали, получив доступ к изображениям жертвы.

По данным СМИ, злоумышленники дополнительно включали VPN для имитации привычной геолокации жертвы, что позволяло обходить встроенные проверки безопасности на стороне сервера. После атакующий принудительно менял привязанный к аккаунту адрес электронной почты и сбрасывал пароль.

Скомпрометированными оказались учетные записи с уникальными и короткими именами вроде @hey, @korn, @e и @f, а также профиль исследовательницы приложений Джейн Манчун Вонг и страница, ранее использовавшаяся командой Белого дома при администрации Обамы. Стоимость таких редких цифровых активов на черном рынке исчисляется десятками тысяч долларов. 

Пострадавшие жаловались на невозможность вернуть доступ к страницам из-за отсутствия людей в поддержке. Владелец аккаунта @korn рассказал, что провел более шести часов, общаясь с чат-ботом, который прислал ему четыре нерабочие ссылки подряд.

Вице-президент по коммуникациям Meta Энди Стоун заявил, что «проблема решена, и безопасность пострадавших аккаунтов обеспечена», не уточнив детали.

Инфостилер в Minecraft заразил 116 000 пользователей

В McAfee обнаружили масштабную кампанию WeedHack, которая затронула более 116 000 пользователей Minecraft.

По данным экспертов, вредонос распространяется через зараженные моды и клиенты, которые продвигаются с помощью SEO-отравления в поисковых запросах и на YouTube.

WeedHack работает по модели CaaS и в базовой версии бесплатно похищает сессионные ID Minecraft, пароли браузеров, данные криптокошельков и аккаунтов Telegram и Discord. Премиум-версия за $5 в месяц предоставляет полный удаленный доступ к ПК жертвы.

Ресурс с вредоносным ПО WeedHack. Источник: McAfee.

Кроме того, по данным Have I Been Pwned, в конце мая в сеть утекли данные 64 000 пользователей чит-сервиса Atlas Menu для Grand Theft Auto V. В результате инцидента похищены адреса электронной почты, логины, пароли и IP-адреса. Хакер выложил украденную базу на GitHub.

Также на ForkLog:

Исследователи создали адаптивного ИИ-червя.

Aave ужесточил листинг после инцидента с rsETH на $293 млн.

Белый хакер разблокировал $2 млн в смарт-контракте 2016 года.

ФБР раскрыло сеть скам-центров и изъяло $8 млрд в биткоинах.

Что почитать на выходных?

По просьбе ForkLog автор Telegram-канала «Темная культурология» Роман Королев разобрался, как апокалиптические пророки «цифрового концлагеря» были маргиналами, а стали мейнстримом.

Источник