Обнаружение фишинговой кампании PoisonSeed
Аналитики SilentPush обнаружили фишинговую кампанию под названием PoisonSeed, которая рассылает электронные письма с сид-фразами для кражи криптовалют. На первом этапе злоумышленники создают поддельные страницы известных платформ массовой рассылки, таких как Mailchimp, SendGrid, HubSpot, Mailgun и Zoho. Эти страницы используются для взлома корпоративных почтовых аккаунтов маркетологов, с которых затем отправляется спам.
Хакеры в основном нацелены на клиентов биржи Coinbase и владельцев аппаратных кошельков Ledger. Рассылка, как правило, выглядит как срочное уведомление «Coinbase переходит на кошельки самообслуживания» и содержит сид-фразу. Жертвам предлагается ввести эту фразу при создании нового криптовалютного кошелька якобы для «безопасного перевода активов» в ходе обновления или миграции. Если жертва следует этим указаниям, злоумышленник получает полный контроль над её средствами.
Новая тактика хакеров Lazarus Group
Северокорейские хакеры, работающие под именем Lazarus Group, также используют новую тактику под названием ClickFix для атак на соискателей в сферах ИИ и криптовалют. Профессионалам направляются приглашения на собеседования с поддельных сайтов, которые могут вызывать ошибки при переходе. Пользователям предлагается «исправить» проблему, запустив команды PowerShell, что приводит к загрузке вредоносного ПО.
В этой кампании хакеры маскируются под известные криптопроекты, включая Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood и Bybit. Вредоносное ПО не только крадет криптовалюты, но и может выполнять операции с файлами, злоумышленные shell-команды, воровать cookies, историю браузера и сохраненные пароли, а также собирать метаданные системы.
Ситуация с хакерской группой SiegedSec
Член хакерской группы SiegedSec, ответственной за взлом портала НАТО и аналитического центра The Heritage Foundation, предположил, что ФБР провело обыск в доме их лидера с псевдонимом «vio» и арестовало её.
Об этом сообщила Daily Dot, ссылаясь на твит от 26 марта. На следующий день появилась новая запись, в которой поднимался вопрос о «молчании по делу SiegedSec, вызывающем беспокойство». Подробности ситуации остаются скудными. SiegedSec распустилась в июле 2024 года после предупреждения от The Heritage Foundation о том, что информация о хакерах была передана ФБР. Однако бюро не делало публичных заявлений о начале расследования или предъявлении обвинений.
Операция Kidflix по борьбе с CSAM
В то же время немецкие правоохранительные органы совместно с коллегами из Нидерландов остановили операцию Kidflix — одну из крупнейших даркнет-платформ для распространения материалов CSAM. Операция стартовала в 2022 году и завершилась 11 марта 2025 года, но подробности стали известны только сейчас.
В ходе операции было арестовано 79 человек, идентифицировано 1393 подозреваемых, а более 3000 электронных устройств было изъято. Сервер сайта также был конфискован. С момента запуска в 2021 году Kidflix разместила более 91 000 уникальных видео общей продолжительностью 6288 часов, а количество пользователей превысило 1,8 миллиона человек. Они платили за доступ к контенту криптовалютами и могли зарабатывать внутренние токены за активность. Дело было передано следственным организмам в 35 странах для дальнейшей работы с подозреваемыми.
Отчет Paradigm о киберпреступности из КНДР
Параллельно Paradigm подготовила детализированный отчет о группах киберпреступности из КНДР, стоящих за атаками на организации и частные лица по всему миру. В дополнение к наиболее известной группе Lazarus эксперты описали Contagious Interview и Wagemole, занимающиеся схемами по найму IT-специалистов.
Хакеры крадут широкий спектр данных, включая криптовалюты. Группа AppleJeus распространяет вредоносное ПО, замаскированное под торговые приложения и инструменты для работы с криптовалютами, тогда как Dangerous Password использует социальную инженерию для атак на владельцев цифровых активов. Группа TraderTraitor, нацеленная на биткойн-биржи и крупные компании, использует сложные целенаправленные фишинговые методы.
Продление срока для ByteDance
4 апреля президент США Дональд Трамп продлил на 75 дней срок, предоставленный компании ByteDance, владелице TikTok, для продажи американских активов и избежания блокировки. Глава государства выразил надежду на продолжение «добросовестного сотрудничества с Китаем». Reuters, ссылаясь на источники, сообщила, что сделка была приостановлена китайской стороной после введения 54-процентной пошлины на импорт китайских товаров в Соединенные Штаты.
