Хакеры атаковали пользователей Dashlane, в Trezor нашли уязвимость и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Хакеры взломали пользователей менеджера паролей Dashlane
Злоумышленникам удалось обойти двухфакторную аутентификацию (2FA) и скачать зашифрованные хранилища с учетными данными пользователей Dashlane. Об этом сообщил разработчик менеджера паролей.
Кампания началась 31 мая 2026 года и была нацелена на API-эндпоинты регистрации новых устройств. Хакеры запустили цикл перебора шестизначных одноразовых кодов, которые отправлялись жертвам на электронную почту или генерировались в приложениях-аутентификаторах.
Несмотря на то, что автоматизированные системы безопасности Dashlane зафиксировали аномалию и начали временно блокировать целевые аккаунты, атакующие успели подобрать правильные коды для небольшого числа жертв. Пройдя верификацию 2FA, хакеры авторизовали в профилях пользователей свои устройства, после чего приложение автоматически скачало на них полные копии зашифрованных хранилищ.
По данным компании, в результате инцидента пострадали «менее 20 пользователей». Внутренняя инфраструктура и серверы самого Dashlane не скомпрометированы. Компания внедрила дополнительные уровни проверки и блокировки подозрительного трафика.
Специалисты подчеркнули, что похищенные базы паролей остаются недоступными для хакеров без мастер-пароля жертвы. Благодаря ZKP-архитектуре и стойкому шифрованию данные защищены от быстрого взлома.
Поскольку хранилища теперь физически находятся на серверах злоумышленников, они могут использовать неограниченные вычислительные мощности для локального взлома. Ситуация во многом повторяет инцидент с LastPass в 2022 году.
В чипе криптокошелька Trezor Safe 7 обнаружили уязвимость
Разработчик чипов безопасности Tropic Square раскрыл информацию об уязвимости в своем продукте TROPIC01, используемом в аппаратном криптокошельке Trezor Safe 7.
Проблему обнаружила команда исследователей безопасности Ledger Donjon в ходе независимого аудита. Специалисты провели успешную атаку типа Laser Fault Injection. В лабораторных условиях этот метод позволил обойти проверку подписи прошивки и извлечь часть секретных данных, защищаемых чипом.
Опираясь на отчет Donjon, в Tropic Square выявили сложный метод эксплуатации этой уязвимости для извлечения еще одного секрета. Он затрагивает функции TROPIC01, связанные с PIN-кодом.
Как пояснили представители Trezor в письме ForkLog, даже с учетом дополнительной находки, компрометации одного лишь чипа недостаточно для получения доступа к самому PIN-коду Trezor Safe 7. К тому же приватные ключи пользователей и сид-фразы не хранятся на TROPIC01. Для реализации эксплойта злоумышленнику требуется полный физический доступ к кошельку жертвы, дорогостоящее специализированное оборудование и экспертные знания.
В Trezor заявили, что пользователям не нужно предпринимать никаких действий, так как дизайн кошелька полностью нивелирует этот риск на практике.
Китайские хакеры нацелились на Европу
С марта 2026 года интенсивность атак китайских хакеров из группировки TA4922 достигла беспрецедентных масштабов: география их интересов расширилась, теперь их целями стали организации в Европе. Об этом сообщили специалисты Proofpoint.
Ранее группировка концентрировалась исключительно на Восточной Азии, однако в ходе недавних кампаний фокус сместился на коммерческие и государственные организации в Германии, Италии, Великобритании и Южной Африке.
Количество атак группировки TA4922 по странам. Источник: Proofpoint.
По данным экспертов, для первоначального взлома системы хакеры используют высококлассные локализованные фишинговые приманки, имитирующие уведомления о начислении заработной платы, налоговые проверки, декларации по НДС и сообщения от HR-департаментов. Помимо электронной почты, злоумышленники ищут контакты с жертвами через мессенджеры WhatsApp, LINE и платформу Microsoft Teams.
В ходе последних атак они развернули ранее неизвестный троян удаленного доступа Atlas. Этот бэкдор обладает широким спектром шпионских функций:
Кроме этого Atlas оснащен механизмами обхода «песочниц»: он проверяет ключи реестра и имена пользователей на наличие признаков сред Microsoft Defender Application Guard и службы CExecSvc.
Также в арсенале группы обнаружили новый загрузчик RomulusLoader для скрытого запуска утилит удаленного администрирования, таких как AnyDesk и популярной в Китае SyncFuture. Параллельно зафиксировано использование Python-установщика SilentRunLoader, нацеленного на кражу сессионных куки-файлов и паролей из Google Chrome.
В Proofpoint предполагают, что TA4922 использует большие языковые модели (LLM) для ускорения написания софта — на это указывает обилие специфических комментариев и структурных паттернов в коде, характерных для ИИ.
Мошенники убедили ИИ-поддержку переписать на них редкие Instagram-аккаунты
Некоторые пользователи Instagram лишились доступа к своим страницам из-за критической уязвимости в архитектуре ИИ-поддержки Meta, сообщает BleepingComputer.
Злоумышленникам удалось поставить на поток обход защитных механизмов платформы, включая двухфакторную аутентификацию (2FA), с помощью манипуляций с ИИ-помощником.
Атакующий инициировал стандартный протокол восстановления пароля, заявляя, что страница якобы была взломана. Когда автоматизированная система Instagram запрашивала верификацию личности через видео, хакеры использовали дипфейк, который сделали, получив доступ к изображениям жертвы.
По данным СМИ, злоумышленники дополнительно включали VPN для имитации привычной геолокации жертвы, что позволяло обходить встроенные проверки безопасности на стороне сервера. После атакующий принудительно менял привязанный к аккаунту адрес электронной почты и сбрасывал пароль.
Скомпрометированными оказались учетные записи с уникальными и короткими именами вроде @hey, @korn, @e и @f, а также профиль исследовательницы приложений Джейн Манчун Вонг и страница, ранее использовавшаяся командой Белого дома при администрации Обамы. Стоимость таких редких цифровых активов на черном рынке исчисляется десятками тысяч долларов.
Пострадавшие жаловались на невозможность вернуть доступ к страницам из-за отсутствия людей в поддержке. Владелец аккаунта @korn рассказал, что провел более шести часов, общаясь с чат-ботом, который прислал ему четыре нерабочие ссылки подряд.
Вице-президент по коммуникациям Meta Энди Стоун заявил, что «проблема решена, и безопасность пострадавших аккаунтов обеспечена», не уточнив детали.
Инфостилер в Minecraft заразил 116 000 пользователей
В McAfee обнаружили масштабную кампанию WeedHack, которая затронула более 116 000 пользователей Minecraft.
По данным экспертов, вредонос распространяется через зараженные моды и клиенты, которые продвигаются с помощью SEO-отравления в поисковых запросах и на YouTube.
WeedHack работает по модели CaaS и в базовой версии бесплатно похищает сессионные ID Minecraft, пароли браузеров, данные криптокошельков и аккаунтов Telegram и Discord. Премиум-версия за $5 в месяц предоставляет полный удаленный доступ к ПК жертвы.
Ресурс с вредоносным ПО WeedHack. Источник: McAfee.
Кроме того, по данным Have I Been Pwned, в конце мая в сеть утекли данные 64 000 пользователей чит-сервиса Atlas Menu для Grand Theft Auto V. В результате инцидента похищены адреса электронной почты, логины, пароли и IP-адреса. Хакер выложил украденную базу на GitHub.
Также на ForkLog:
Что почитать на выходных?
По просьбе ForkLog автор Telegram-канала «Темная культурология» Роман Королев разобрался, как апокалиптические пророки «цифрового концлагеря» были маргиналами, а стали мейнстримом.
