Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Канадские спецслужбы впервые применили судебный ордер для удаленной очистки устройств граждан.
Инфостилер под macOS обошел ИИ-анализ с помощью инъекции фейковых ошибок.
Европол ликвидировал сеть распространения вредоносов Amadey и StealC.
В Бразилии хакеры разослали экстренные оповещения о «нападении инопланетян».
Канадские спецслужбы впервые применили судебный ордер для удаленной очистки устройств граждан
Канадская служба разведки и безопасности получила беспрецедентный судебный ордер на удаленное вмешательство в работу зараженных серверов, домашних роутеров и IoT-устройств на территории страны. Об этом сообщает Todayville.
Ботнеты работали по классической схеме ретрансляции. Маршрутизируя трафик через взломанное оборудование, хакеры маскировались под обычных домашних пользователей или интернет-провайдеров. Это позволяло им незаметно сканировать сети критической инфраструктуры (в частности, энергетического сектора), правительственные и военные ведомства Канады.
Целями для очистки стали базирующиеся в стране серверы, роутеры для малого бизнеса и дома, а также умная техника: дверные звонки, камеры видеонаблюдения, телевизоры и другие устройства с поддержкой Wi-Fi.
Федеральный суд Канады рассекретил публичную версию постановления только в середине июня 2026 года, хотя сам ордер был выдан более двух лет назад. В нем подчеркивается, что личные данные пользователей не перехватывались, а случайно собранная информация немедленно уничтожалась.
По данным СМИ, одна из основных проблем таких атак кроется в устаревшем оборудовании. Вредоносы внедряют в IoT-устройства с заводскими паролями или технику, чья поддержка завершена.
Это подтвердили специалисты из команды XLab. Они обнаружили ранее неизвестный ботнет под названием AryStinger, который использовал устаревшие домашние маршрутизаторы D-Link моделей DIR-850L и DIR-818LW.
В ходе вредоносной кампании хакеры взломали более 4000 роутеров, превратив их в прокси-серверы для ретрансляции злонамеренного трафика и выполнения распределенных задач.
По данным исследователей, помимо использования устройств в качестве стартовой площадки для атак, AryStinger способен вмешиваться в настройки DNS, перехватывать браузерные сессии жертв, а также скрытно мониторить и похищать весь входящий и исходящий сетевой трафик. Около 48% всех заражений пришлись на Южную Корею, Китай, Швецию, Малайзию и Сингапур.
Инфостилер под macOS обошел ИИ-анализ с помощью инъекции фейковых ошибок
Исследователи из SentinelOne обнаружили новое вредоносное ПО для macOS Gaslight. Инфостилер целенаправленно атакует инструменты автоматизированного анализа кода и реверс-инжиниринга, работающие на базе ИИ.
Аналитики с высокой долей уверенности связывают вредонос с северокорейскими хакерами. Помимо стандартной функциональности бэкдора и кражи данных, внутри файла Gaslight скрыт специальный загрузчик размером 3,5 КБ. Он содержит 38 сфабрикованных системных сообщений, оформленных с использованием Markdown-разметки и шаблонов.
Фейковые сообщения об ошибках. Источник: SentinelOne.
Эти строки работают как инъекции промптов для LLM-моделей. Фальшивые сообщения имитируют логи разработчиков, отчеты о сбоях, ошибки переполнения памяти и предупреждения об истечении срока действия токенов. Их цель — заставить ИИ-агента усомниться в корректности собственной сессии анализа.
По данным экспертов, предлагая ИИ-платформам этот контекст, хакеры рассчитывают, что языковая модель прервет работу, обрежет отчет или вовсе откажется продолжать анализ «поврежденного» образца, сославшись на несуществующие технические ошибки.
Европол ликвидировал сеть распространения вредоносов Amadey и StealC
Европол совместно с правоохранителями из десятка стран и специалистами Microsoft ликвидировал сеть распространения вредоносов SocGholish, Amadey и StealC.
Троян Amadey выполнял роль загрузчика для получения первоначального доступа к системе, после чего вирус разворачивал инфостилер StealC. Последний специализировался на краже паролей, данных кредитных карт и сид-фраз криптокошельков.
Результаты скоординированной операции:
захвачено 326 серверов и 142 домена;
выявлены и заморожены криптоактивы на сумму свыше $47 млн;
изъята база, содержащая более 27 млн украденных учетных данных;
очищено около 15 000 сайтов на базе WordPress, которые хакеры ранее взломали для скрытого распространения вируса SocGholish под видом системных обновлений.
В Гонконге полиция арестовала членов финансового звена преступного синдиката. Об этом сообщает South China Morning Post.
Задержанные 69 человек в возрасте от 18 до 60 лет являлись членами группировки, которая специализировалась на легализации доходов от трансграничного инвестиционного мошенничества с использованием криптовалют.
Для запутывания следов и легализации криминальных средств злоумышленники использовали разветвленную сеть фейковых счетов, оформленных на подставных лиц (дропов). По оценкам полиции, мошенники отмыли около $25,6 млн.
В Бразилии хакеры разослали экстренные оповещения о «нападении инопланетян»
В ночь с 19 на 20 июня 2026 года национальная система экстренных оповещений Бразилии (Defesa Civil Alerta) подверглась кибератаке. Об этом сообщает G1.
В результате взлома инфраструктуры жители нескольких штатов получили «экстренные предупреждения», которые сопровождались громким воем сирен на смартфонах — сигнал срабатывал даже на устройствах, переведенных в беззвучный режим.
Вместо реальных уведомлений о стихийных бедствиях злоумышленники разослали 10 сообщений с бессвязным и странным текстом. Большинство из них содержало слово «мизантропия», сопровождалось сленгом и опечатками, а в некоторых регионах рассылка и вовсе предупреждала о якобы начавшемся «нападении инопланетян».
Источник: G1.
По предварительным данным Министерства интеграции и регионального развития, атака была нацелена на правительственный механизм рассылки Cell Broadcast.
Злоумышленникам, вероятно, удалось взломать учетные записи сотрудников Гражданской обороны. Получив доступ к платформе, хакеры удаленно инициировали рассылку высшего приоритета (Alerta Extremo), которая позволяет обходить системные ограничения смартфонов на звук и уведомления.
Чтобы остановить спам-атаку, властям пришлось пойти на крайние меры: в 01:30 ночи серверы системы оповещения были принудительно отключены. На момент написания платформу Defesa Civil Alerta частично восстановили, однако право рассылать оповещения оставили исключительно за Национальным центром управления рисками и катастрофами.
ZachXBT раскрыл личность хакера, задержанного в Польше
Европейские правоохранители при поддержке ФБР и Министерства внутренней безопасности США арестовали четырех членов хакерской группировки. Об этом сообщили в Центральном бюро по борьбе с киберпреступностью Польши (CBZC).
Злоумышленников подозревают в проведении атак с подменой SIM-карт, краже цифровых активов с криптовалютных бирж и масштабном отмывании денег.
По данным следствия, хакеры использовали специализированное программное обеспечение и методы социальной инженерии для взлома IT-инфраструктуры компаний, сотрудничающих с телекоммуникационными операторами. Получив доступ к электронной почте сотрудников, они незаконно клонировали номера телефонов жертв.
Перехват позволял злоумышленникам обходить двухфакторную аутентификацию, захватывать контроль над пользовательскими аккаунтами на криптовалютных биржах и выводить цифровые активы.
Украденные средства отмывались через сложную распределенную финансовую сеть, включающую:
личные банковские счета в Польше и за рубежом;
международные платежные платформы;
криптокошельки.
Общая сумма отмытых средств оценивается в десятки миллионов польских злотых. Всем четверым подозреваемым грозит до 25 лет лишения свободы.
Официальные власти не раскрыли личности задержанных, однако ончейн-исследователь ZachXBT заявил, что одним из них является Войтек Кулиш — польский хакер, специализирующийся на социальной инженерии, и известный в сети под ником Merry.
https://t.me/investigations/344
Аналитик сделал такой вывод, сопоставив дизайнерскую одежду и ювелирные изделия, попавшие на оперативное видео полиции во время обыска, с вещами, которые Кулиш ранее публично демонстрировал в своем Instagram-аккаунте.
Также на ForkLog:
Polymarket возместит потери пользователей после атаки через подрядчика.
В Бристоле отключили ИИ-модели риска преступлений против детей из-за ошибок.
Регулятор Южной Кореи оштрафовал Bithumb за утечку данных.
Минюст США изъял инфраструктуру «криптопрачечной» Huione Group.
Из кошельков SecondFi вывели 16 млн ADA.
В Таиланде связали нелегальный майнинг с отмыванием $300 млн.
Five Eyes предупредили об ускорении ИИ-кибератак.
Криптоиндустрия поставила антирекорд по числу взломов.
Хакер взломал L2-сеть Taiko.
Axelar сообщил о взломе моста с Secret Network на $4,67 млн.
MEV-бот Jaredfromsubway.eth потерял более $7,5 млн.
Что почитать на выходных?
Разрыв между долларовыми и евро-стейблкоинами измеряется даже не процентами — он 200-кратный. В новом материале ForkLog постарался разобраться, почему ЕС проиграл толком не начавшуюся «блокчейн-гонку» и как можно исправить положение.
https://forklog.com/exclusive/kak-evro-stejblkoiny-proigrali-ne-nachavshuyusya-bitvu
