На прошлой неделе исследователи «Лаборатории Касперского» очередной отчет, в котором анализируются приемы, применяемые мошенниками в фишинговых сообщениях и разного рода сетевом мошенничестве. Предыдущая публикация по этой теме , поэтому главной темой в новом обзоре стало активное использование технологий искусственного интеллекта. Начать можно с очевидного изменения: благодаря ИИ качество текстов в фишинговых сообщениях значительно повысилось. Если раньше сообщения мошенников часто содержали ошибки и опечатки, то теперь рассылаются максимально убедительные и правдоподобные письма.
Более сложные варианты эксплуатации ИИ включают генерацию дипфейков для мошеннических кампаний, например создание видеороликов с известными людьми, обещающими бесплатную раздачу дорогостоящей техники. Широко распространились автоматизированные звонки от мошенников, но наибольший интерес представляет комплексное использование систем машинного обучения для проведения сложных атак. ИИ используется для сбора информации о потенциальных жертвах, создания персонализированных сообщений, например якобы от имени сотрудников отдела кадров в организации. В более сложных случаях применяется имитация звонков с синтезом голоса руководителей или близких родственников. К сожалению, новые технологии повышают качество социальной инженерии и затрудняют распознавание мошеннических схем.
Значительная часть отчета посвящена приемам атак с использованием мессенджера Telegram. В частности, мошенники активно пользуются ботами для автоматизированной кражи средств и персональных данных. В качестве примеров приводится поддельная раздача криптовалюты, для участия в которой надо перевести небольшую сумму на банковский счет. Персональные данные собирают под соусом «легкого заработка», учетные записи крадутся в ботах, мимикрирующих под официальные сервисы.
Если пользователь взаимодействовал с таким ботом и не заблокировал его, он в дальнейшем будет присылать другие мошеннические сообщения или даже запрашивать доступ к управлению групповыми чатами или каналами. Через скомпрометированные каналы в популярных чатах рассылаются сообщения, которые в итоге приводят к угону учетной записи в Telegram.
Отдельно описываются новые тактики, при которых для мошенничества эксплуатируются легитимные сервисы. Из свежих примеров: использование сервиса публикации текстов Telegraph для создания рудиментарных фишинговых страниц. Для легитимации фишинговых страниц и в попытке обхода средств защиты используется переводчик Google. Для того чтобы продлить жизнь фишинговым страницам, злоумышленники все чаще используют легитимную капчу — это затрудняет автоматическое детектирование таких сайтов.
Исследователи «Лаборатории Касперского» также отмечают повышенный интерес киберпреступников к биометрическим данным: были замечены фишинговые сайты, которые требовали от жертвы включить камеру и передать фото и видео лица. Злоумышленники по-прежнему атакуют корпорации, маскируясь под сервисы для подписи документов, — в том числе для кражи самой подписи. В некоторых случаях злоумышленники также нацелены на похищение физической подписи сотрудников компании.
В заключение публикации приводится крайне интересный пример, в котором мошенники пытаются сделать более правдоподобной традиционную и хорошо известную атаку со звонком от «представителя правоохранительных органов». На начальном этапе атакующие присылают пользователю четырехзначный код, который потом просят предоставить, например, курьеру, осуществляющему доставку. А уже после происходит основной этап мошеннической атаки, в которой респондента убеждают, что он только что якобы стал жертвой мошеннической атаки. Таким образом, реальное мошенничество с кражей средств происходит как бы в ответ на мошенничество выдуманное.
Что еще произошлоЕще одна экспертов «Лаборатории Касперского» анализирует вредоносное ПО PipeMagic, в котором использовалась уязвимость нулевого дня CVE-2025-29824 в компоненте Windows Common Log File System, закрытая в апреле этого года.
Тем временем свежий августовский кумулятивный патч от Microsoft 107 ошибок в ПО компании, а также одну уязвимость нулевого дня — CVE-2025-53779 — в подсистеме Kerberos. Критические уязвимости также были в продуктах компании Adobe.
В на пользователей сервиса используется необычный прием: в URL фишинговых сайтов включается японский символ "ん". Если не присматриваться, он похож на символ "/" или комбинацию "/~", и таким образом фишинговый домен становится похож на адрес официального сайта.
Компания Binarly о том, что бэкдор в XZ Utils, в марте прошлого года, до сих пор иногда попадается в публичных образах Docker, доступных в Docker Hub. Такие образы (довольно часто, по свидетельствам мейнтейнеров, устаревшие) оказались уязвимыми, несмотря на то что бэкдор так и не попал в мейнстримные версии основных дистрибутивов Linux.
Пользователей сетевого медиасервера Plex как можно быстрее обновиться. В версии 1.42.1.10060 закрыта «проблема с безопасностью», детали которой пока не раскрываются.
