
Приговор хакерам Scattered Spider, атаки на аппаратные кошельки и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки.
- Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона.
- Около 300 фейковых репозиториев на GitHub распространяли инфостилер.
- США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud.
Вредонос под macOS воровал Telegram-сессии и подменял криптокошельки
Эксперты SlowMist раскрыли комплексный подход для кражи криптовалют инфостилера для macOS. По их данным, вредонос перехватывает авторизованные сессии в мессенджерах и атакует как программные, так и аппаратные кошельки.
Попав на устройство, вирус собирал конфиденциальные данные: пароли из связки ключей macOS Keychain, файлы cookie из Safari, скрытые записи в Apple Notes, а также базы данных более десятка криптокошельков и браузерных расширений.
Как действует вредонос:
- кража аккаунтов в обход 2FA. Вирус копирует файлы локальной сессии Telegram Desktop. Эти данные позволяют хакерам зайти в аккаунт жертвы на другом Mac без ввода номера телефона, СМС-кода или пароля двухфакторной аутентификации, так как система воспринимает подключение как продолжение уже авторизованной сессии;
- фишинг. ПО заменяет легитимные приложения для управления аппаратными кошельками (Ledger Live и Trezor Suite) на их точные копии. Их единственная цель — обманом заставить пользователя ввести сид-фразу.
По данным специалистов, украденные базы данных злоумышленники расшифровывают в офлайн-режиме, используя пароли, извлеченные из зараженного Mac.
Под прицелом инфостилера оказались кошельки Exodus, Atomic, Electrum, Wasabi, Monero, а также клиенты полных нод (Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core).
В SlowMist призвали пользователей, подозревающих компрометацию своего Mac, немедленно принудительно завершить все активные сеансы в настройках Telegram, заново авторизоваться и сменить пароли. Для сохранения криптоактивов эксперты посоветовали сгенерировать новую сид-фразу на чистом устройстве и экстренно перевести туда все средства.
Хакерам из Scattered Spider дали срок за взлом транспортной системы Лондона
Суд приговорил двух ключевых участников хакерской группировки Scattered Spider к пяти годам и шести месяцам тюремного заключения. Об этом сообщает Национальное криминальное агентство Великобритании (NCA).
20-летний Тальха Джубайр и 18-летний Оуэн Флауэрс признаны виновными во взломе IT-инфраструктуры Управления транспорта Лондона (TfL) в августе 2024 года.
Атака на TfL, обеспечивающее работу транспорта для 8,4 млн лондонцев, привела к масштабному сбою: из строя вышли 148 внутренних систем, отключились сервисы Dial-a-Ride, заказ льготных проездных, цифровые платежи и система возврата средств. Всем 27 000 сотрудникам ведомства пришлось менять пароли на рабочих местах.
Прямой ущерб и затраты на восстановление инфраструктуры TfL составили £29 млн. По оценкам властей, если бы хакерам удалось полностью остановить транспортную сеть, экономика Великобритании могла потерять до £56 млрд.
Оба злоумышленника арестованы сотрудниками NCA в сентябре 2024 года, спустя две недели после взлома. В ходе обысков на устройствах Флауэрса нашли не только улики по делу TfL, но и доказательства подготовки кибератак на американские медицинские компании Sutter Health и SSM Health Care Corporation.
В NCA назвали Scattered Spider «самой серьезной киберугрозой для Великобритании за последние годы». Помимо атаки на транспортную систему, за группировкой числится множество других обвинений в преступлениях:
- рейды на ритейл. В июле 2025 года NCA арестовало еще четверых участников банды, причастных к взломам крупнейших британских торговых сетей, включая Harrods, Marks & Spencer и Co-op;
- обвинения в США. В сентябре 2025 года Минюст США заочно предъявил обвинения Джубайру. По данным американского следствия, с мая 2022 по сентябрь 2025 года он был причастен ко взлому как минимум 120 сетей в США, включая объекты критической инфраструктуры и суды;
- шантаж. Всего за один год (с августа 2024 по июль 2025 года) Джубайр и его сообщники вымогали у жертв по всему миру более $115 млн.
Около 300 фейковых репозиториев на GitHub распространяли инфостилер
Хакеры развернули 292 поддельных репозитория на GitHub, замаскированных под популярные антивирусы, утилиты для разработчиков, криптовалютные сервисы и игровые программы. Об этом заявили специалисты Arctic Wolf.
Каждый фейковый репозиторий содержал файл README со ссылкой на фишинговый лендинг. Страница загрузки использовала динамические шаблоны и автоматически подстраивала свой дизайн и заголовки под тот бренд, который искала жертва.
Пользователю предлагалось скачать ZIP-архив, содержимое которого перегенерировалось каждую минуту для обхода анализа сигнатур. Внутри находились апдейтер с цифровой подписью WinGUP и библиотека с трояном libcurl.dll. При запуске вредонос загружался и работал исключительно в оперативной памяти.

Анализ показал, что злоумышленники использовали модифицированную версию стилера BoryptGrab. Вирус не пытался закрепиться в системе и похищал:
- данные 19 браузеров и 32 криптокошельков;
- локальные сессии Telegram, Steam и токены Discord;
- содержимое диспетчера учетных данных Windows;
- файлы с рабочего стола и из папки «Документы», если их названия связаны с паролями, бэкапами или сид-фразами.
Эксперты выделили опасную особенность: вредонос обходит защиту Google Chrome путем прямого внедрения кода в процесс браузера.
Украденные данные архивируются и отправляются на командный сервер, базирующийся в РФ. К моменту публикации отчета администрация GitHub удалила большую часть мошеннических репозиториев.
США предъявили обвинения операторам российских Bulletproof-хостингов Media Land и ML.Cloud
Минюст США предъявил трем гражданам РФ обвинения в управлении Bulletproof-хостингами — Media Land и ML.Cloud.
По данным следствия, их инфраструктура использовалась крупнейшими программами-вымогателями, включая Lockbit, Blacksuit и Play, и нанесла ущерб организациям по всему миру на сумму свыше $62 млн.
Хостинги Bulletproof сознательно игнорировали любые жалобы на вредоносную активность и требования правоохранительных органов об удалении контента. Злоумышленники использовали серверы Media Land и ML.Cloud для развертывания командных серверов, проведения фишинговых кампаний, DDoS-атак и распространения вредоносов. При этом их инфраструктура располагалась в разных странах, включая США, Китай, Нидерланды и Финляндию.
Согласно обвинительному заключению, роли в преступной группе распределялись следующим образом:
- Александр Волосовик (известный на даркнет-форумах под ником Yalishanda) — являлся владельцем хостинга Media Land;
- Юлия Панкова — владела ML.Cloud, а также отвечала за юридическое сопровождение и финансовые вопросы;
- Кирилл Затолокин — занимался сбором платежей от киберпреступников.
Деятельность группировки затронула жителей не менее 20 штатов США. В числе пострадавших оказались банки, школы, больницы, правительственные структуры и медиакомпании.
В связи с этим Госдепартамент объявил награду в размере $10 млн за любую информацию, которая поможет раскрыть связи этих лиц или их компаний с иностранными правительствами, а также за данные об их вредоносной активности.
В ноябре прошлого года США, Великобритания и Австралия уже ввели жесткие санкции против фигурантов дела и их компаний. В июле к ограничениям официально присоединился ЕС, который включил Media Land, ML.Cloud и Александра Волосовика в свой первый совместный с Великобританией пакет киберсанкций против РФ.
Один из модулей стилера OkoBot специализировался на краже сид-фраз
Эксперты «Лаборатории Касперского» обнаружили вредоносный фреймворк OkoBot, атакующий пользователей Windows как минимум с апреля 2025 года. Один из его модулей, SeedHunter, нацелен на кражу сид-фраз у владельцев аппаратных криптокошельков Ledger и Trezor.
В отличие от большинства вирусов, которые просто удаляют оригинальный софт и подкидывают вместо него фейковую копию, SeedHunter действует тоньше. Он внедряет вредоносный код непосредственно во внутренние процессы уже установленных легитимных приложений Ledger Live и Trezor Suite.
Модуль сканирует USB-порты компьютера и не проявляет себя до тех пор, пока пользователь физически не подключит аппаратный кошелек к ПК. Как только система распознает устройство, SeedHunter блокирует интерфейс и выводит поверх оригинального приложения поддельное окно с требованием ввести сид-фразу. Поскольку запрос исходит изнутри официальной программы, пользователи теряют бдительность.
По данным специалистов, OkoBot проникает на устройство жертвы через мошеннические уведомления ClickFix в браузере или троянизированные репозитории на GitHub.

Помимо SeedHunter, фреймворк несет в себе более 20 вредоносных нагрузок для слежки:
- разворачивает скрытые SSH-туннели и модифицирует системные файлы для невидимого доступа к компьютеру;
- устанавливает скрытые браузерные расширения (включая стилер Rilide);
- использует кейлоггеры и тайно записывает видео с экрана в формате MP4 каждый раз, когда жертва открывает парольные менеджеры (1Password), локальные кошельки (Exodus) или вкладки с MetaMask.
Исследователи зафиксировали сотни заражений более чем в 25 странах: лидируют Бразилия, Вьетнам, Канада и Мексика. При этом серверы злоумышленников не атакуют IP-адреса из России и стран СНГ, а в коде фишинговых страниц SeedHunter найдены комментарии на русском языке.
Исследование 85 браузерных криптокошельков указало на трекинг, деанонимизацию и утечку адресов
Ученые из исследовательской группы DistriNet Левенского католического университета Бельгии проанализировали 85 популярных браузерных криптокошельков с суммарной аудиторией в Chrome Web Store свыше 35 млн пользователей.
Аудит показал, что архитектура большинства из них позволяет сторонним трекерам связывать адреса пользователей, отслеживать их перемещения по сети и деанонимизировать личность. Эксперты подчеркнули, что речь идет не об уязвимостях или хакерских взломах, а о легитимных функциях и штатном поведении программ.
В ходе тестов они зафиксировали три ключевые проблемы конфиденциальности:
- связывание адресов. 17 кошельков передавали данные так, что сервер провайдера мог объединить разные адреса одного пользователя в единый профиль;
- трекинг после выхода. 36 из 85 кошельков раскрывали сайтам свое присутствие, формируя цифровой отпечаток. При этом многие Web3-приложения и кошельки некорректно отзывали доступ после отключения;
- деанонимизация через скрытые фреймы. Трекинговый скрипт может незаметно подгрузить доверенное Web3-приложение, получить адрес кошелька и связать его с именем, email или историей посещений пользователя.
Исследователи уведомили разработчиков о проблеме трекинга еще до публикации работы. По состоянию на лето 2026 года исправления внесли только Coinbase Wallet, Coin98 и Hana Wallet. Большинство же крупных игроков отказались признавать уязвимость:
- MetaMask закрыл отчет как дубликат, назвав проблему «известным нюансом», исправление которого «сломает слишком много существующих Web3-приложений»;
- Rabby заявил, что для атаки вредоносный скрипт должен одновременно находиться на двух сайтах, что «практически невозможно», а значит, «уязвимости не существует»;
- OKX признала техническую правоту ученых, но закрыла заявку как «информационную», поскольку данные утекают без прямой кражи денег;
- Bybit, Backpack и Core классифицировали риски как низкие или выходящие за рамки их программ баг-баунти.
Эксперты рекомендовали регулярно открывать настройки расширений и вручную очищать «список подключенных сайтов», а также использовать изолированные профили браузера для разной активности.
Также на ForkLog:
- Опрос выявил пробелы в защите корпоративных ИИ-агентов.
- СМИ: утечка раскрыла источники данных Suno.
- Summer.fi закроет интерфейс после взлома на $6 млн.
- Bonzo Lend потерял $9 млн из-за атаки на ценовой оракул.
Что почитать на выходных?
В новом материале ForkLog разобрался, как ончейн-анализ сочетается с разведкой по открытым источникам, какие инструменты используют криптодетективы и где проходит граница между расследованием и слежкой.