Киберпреступные группировки выстраивают целые инфраструктуры для распространения инфостилеров — вредоносных программ, которые воруют пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей. Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в даркнете и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются Telegram-боты : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению. Сами трафферы используют широкий спектр техник. Они создают фишинговые панели (например, под видом онлайн-казино), продвигают вредоносные ссылки через YouTube, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов Panda и Penguin. Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые майнеры для дополнительного заработка. Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам FUD Loader (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются Stealc V2 и Rhadamanthys Stealer , а логи с украденными данными выгружаются через Telegram-бота . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики. По данным исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний. Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на вредоносные страницы. Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от киберпреступлений .

Источник: https://www.securitylab.ru/news/562570.php

Хакера , атаковавшего сайты в Северной Америке, Йемене и Израиле и похитившего учётные данные миллионов пользователей, приговорили к тюремному заключению. 26-летний Аль-Тахери Аль-Машрики из города Ротерем (Саут-Йоркшир) был арестован в августе 2022 года спецслужбами Великобритании ( NCA ) на основании данных, предоставленных американскими правоохранительными органами. Его деятельность связывали с радикальными группами «Spider Team» и « Yemen Cyber Army ». Следователи NCA установили причастность Аль-Машрики к «Yemen Cyber Army» через его аккаунты в соцсетях и электронной почте. Экспертиза ноутбука и мобильных устройств показала, что он проникал на сайты, включая ресурсы МИД Йемена, Министерства безопасности и израильское новостное издание. Взломы сопровождались созданием скрытых страниц с его псевдонимами и пропагандистскими сообщениями. Хакер предпочитал ресурсы с низким уровнем защиты, добиваясь признания в киберпреступной среде за массовость атак. На одном из форумов он утверждал, что за три месяца 2022 года скомпрометировал более 3 тысяч сайтов. Однако форензика NCA раскрыла куда больший масштаб: на его ноутбуке обнаружены данные более 4 миллионов пользователей Facebook *, а также базы с логинами и паролями для сервисов вроде Netflix и PayPal. В феврале 2022 года он полностью скачал сайт израильского Live News, получив доступ к административным страницам. Кроме того, были зафиксированы взломы правительственных ресурсов Йемена с применением инструментов для поиска уязвимостей и сбора имён пользователей. Под удар попали и религиозные сайты в Канаде и США, а также сайт Калифорнийского совета по водным ресурсам. Совместно с зарубежными коллегами NCA получила свидетельства от пострадавших организаций, которые рассказали о серьёзных финансовых потерях и ущербе работе инфраструктур . В NCA подчеркнули, что действия обвиняемого парализовали работу атакованных сайтов и создавали угрозу миллионам людей. Аль-Машрики должен был предстать перед судом в Шеффилде по десяти эпизодам, связанным с нарушением Computer Misuse Act, однако 17 марта он признал вину по девяти пунктам. 15 августа суд приговорил его к 20 месяцам лишения свободы.

Источник: https://www.securitylab.ru/news/562575.php

В Ростовской области задержали жителя Шахт, которого подозревают в пособничестве зарубежным мошенникам. По данным МВД , он выступал посредником при переводе денег аферистам, действовавшим через мессенджер MAX. Первый известный случай обмана с использованием этого мессенджера произошёл 14 августа. «Жительница г. Курска выполнила указания неизвестных, которые представлялись сотрудниками различных государственных органов, и лишилась 444 тысяч рублей. Обман начался со звонка через новый мессенджер, установленный в телефоне потерпевшей», — сообщили в ведомстве. Полицейские быстро вышли на посредника и задержали его при поддержке Росгвардии. По факту возбуждено уголовное дело о мошенничестве (ч. 3 ст. 159 УК РФ). Мужчину проверяют на причастность к другим эпизодам, а личности остальных участников схемы уже установлены — их ищут. В МВД уточнили, что благодаря взаимодействию полиции и банков похищенные деньги удалось заблокировать на счёте. Таким образом, мошенники фактически не смогли ими завладеть. После окончания расследования пострадавшей помогут вернуть средства. В ведомстве также напомнили, что «мессенджер МАХ обеспечивает повышенную степень защиты от преступных посягательств по сравнению с зарубежными аналогами». Но при его использовании всё равно нужно соблюдать базовые правила безопасности: не сообщать никому секретные коды, не совершать переводы по указанию незнакомцев и проверять личность собеседника.

Источник: https://www.securitylab.ru/news/562611.php

Австралийский телеком-провайдер TPG Telecom сообщил о серьёзном инциденте, затронувшем инфраструктуру бренда iiNet, предоставляющего жителям Австралии услуги стационарного и мобильного интернета, телефонии, а также телевидения. Неизвестный злоумышленник получил доступ к системе управления заказами провайдера, воспользовавшись легитимными учётными данными. Эта система используется для оформления и отслеживания заказов на услуги, и именно из неё была выгружена клиентская информация. Компания уточнила, что из базы были скопированы около 280 тысяч действующих адресов электронной почты iiNet и примерно 20 тысяч активных стационарных номеров. Помимо этого, атакующий получил сведения о 10 тысячах учётных записях, включая имена пользователей, номера телефонов и почтовые адреса. Также были затронуты около 1700 паролей для настройки модемов. В массиве утечки присутствовали и устаревшие контакты, которые уже не используются. TPG подчеркнула, что система не содержит копий документов, данных банковских карт или иной платёжной информации. На данный момент проведённый анализ не выявил признаков того, что атака распространилась за пределы платформы управления заказами. Тем не менее компания приняла решение связаться не только с теми, чьи данные попали в выгрузку, но и со всеми остальными клиентами iiNet, чтобы подтвердить отсутствие последствий для их учётных записей. Оператор извинился за случившееся и сообщил, что уведомил государственные органы. Параллельно ведётся расследование, цель которого — установить детали взлома и исключить повторение подобных ситуаций.

Источник: https://www.securitylab.ru/news/562585.php

Федеральные агенты задержали 22-летнего жителя США Итана Дж. Фольца, которого считают оператором и совладельцем Rapper Bot — распределённой сети заражённых IoT-устройств , использовавшейся как сервис для запуска DDoS-атак. По данным Минюста США, именно эта инфраструктура 10 марта 2025 года вызвала перебои в работе X*. Следствие утверждает, что Фольц и его анонимный напарник под псевдонимом Slaykings сдавали мощности «в аренду» вымогателям, среди которых выделялись группы, атакующие китайские онлайн-казино. Арест состоялся 6 августа 2025 года. Поводом для участия ведомственного следствия стала серия ударов по адресам, подконтрольным Министерству обороны США. В материалах говорится, что волны трафика, генерируемые Rapper Bot, стабильно превышали 2 ТБит/с, а пиковые значения доходили до 6 и более — объёмы, с которыми справится лишь ограниченный круг особо укреплённых площадок. По оценке правительства, типичная цель в обычном дата-центре оказывалась перегруженной сотни раз сверх проектной ёмкости. Следы управления привели оперативников к одному из серверов в Аризоне. Запрос провайдеру хостинга показал: аккаунт оплачивался через PayPal . Дальнейшие юридические процедуры с платёжным сервисом вывели на Gmail Фольца и использованные им IP-адреса. Запрос Google раскрыл поисковую активность: подозреваемый регулярно мониторил публикации о Rapper Bot и конкурирующих сервисах « DDoS-по-заказу ». Во время обыска Фольц признал разработку и эксплуатацию инфраструктуры, сообщил о 50/50 разделе доходов со Slaykings и передал расшифровки переписки в Telegram. Скриншоты админ-панели Rapper Bot приветствовали клиентов фразой «Welcome to the Ball Pit, Now with refrigerator support» — прозрачный намёк на то, что в «армии» встречались даже умные холодильники. По оценке правительства накануне ареста под контролем находилось около 65 000 устройств по всему миру. При этом подозреваемые принципиально избегали попыток побить рекорды: они придерживались тактики «Goldilocks» — удерживали размер «не слишком большим и не слишком маленьким», чтобы мощность оставалась достаточной, управление — посильным, а шум — минимальным. Ещё один слой маскировки — регулярное стирание пользовательских и атакующих логов примерно раз в неделю. Наличие жёстких «правил игры» подтверждает и клиентская политика. Большинству заказчиков разрешали бить по целям не дольше 60 секунд — чтобы не провоцировать длительные расследования и публикации. Для отдельных платёжеспособных клиентов делались исключения — позволяли более объёмные и продолжительные серии. Именно сочетание высокой амплитуды и короткой длительности делало удары болезненными и одновременно снижало медиавнимание к источнику. Переписка Фольца со Slaykings показывает, насколько внимательно они относились к риску огласки. В частных диалогах они обсуждали майскую атаку на KrebsOnSecurity мощностью 6,3 Тбит/с — на тот момент крупнейшую волну, которую приходилось гасить Google ( проект Project Shield прикрывает новостные и правозащитные ресурсы). Организаторы Rapper Bot считали показательными ошибки конкурентов и прямо запрещали клиентам трогать сайт Брайана Кребса, называя такие выходки «детскими» и бессмысленными: «получите массу проблем и ноль денег». На фоне этой шумной истории они отмечали, что чужая инфраструктура сдувается, тогда как их собственная база заражений растёт. Контекст конкурентной борьбы описан и через фигуру «Forky» — 21-летнего бразильца Каике Саутьер Лейте, управлявшего IoT-сетью Aisuru и публично провоцировавшего исследователей. По наблюдениям следствия, в тот период интенсивность и «масса» его ресурса пошли на спад, тогда как заражения Rapper Bot прибавляли. В чатах Slaykings подчёркивал, что внимание «Кребса» — не то, чего стоит добиваться, не из-за страха, а из-за неотвратимости последствий: «он не отстанет, пока ты не будешь добит». Несмотря на регулярное «подчищение хвостов», агентам удалось собрать статистику по оставшимся данным: с апреля 2025-го до начала августа зафиксировано свыше 370 000 пусков по 18 000 уникальных целей в пределах тысячи сетей. Больше всего пострадавших числилось в Китае, Японии, США, Ирландии и Гонконге. Петерсон отдельно описывает экономику таких ударов: если представить, что жертва оплачивает входящий и исходящий трафик и использует балансировщики, то даже 30-секундная волна на уровне более 2 Тбит/с может потянуть от $500 до $10 000 только по счётчикам передачи данных — без учёта простоя и сопутствующих издержек. При этом альтернатива в виде «перестраховочной» инженерии — сверхрезервирование каналов и закупка специализированной защиты — для многих компаний оказывается неподъёмной. В такой ловушке угрозы «заплатите X, и атаки прекратятся» звучат особенно цинично. Техническая линия происхождения кода указывает на заимствование из fBot , также известного как Satori. В 2020 году в Северной Ирландии предъявляли обвинение 20-летнему Аарону «Vamp» Стерритту, которого США продолжают добиваться к экстрадиции. Сам fBot — производное от Mirai , источники которого утекли в открытый доступ ещё в 2016-м и до сих пор служат основой для многочисленных IoT-сборок . Таким образом, Rapper Bot стоит в длинной цепочке наследников, но отличается тем, как была выстроена коммерческая и операционная дисциплина. За несколько часов до обыска Фольц, судя по сообщениям, радовался находке: он обнаружил 32 000 новых узлов, уязвимых из-за ранее не описанной бреши. В тот же период партнёры обсуждали «лучший день» по доходам: суммы в $800, затем $1000 и выше «капали» в режиме реального времени. Интерес к «невидимости» проявлялся у партнеров и в выборе целей. Они подчёркивали бессмысленность «саморекламы» через атаки на крупных исследователей и СМИ, предпочитая зарабатывать на «рабочих» заказах с минимальным шумом. Поэтому неудивительно, что в перечне наиболее частых покупателей фигурируют схемы, тесно связанные с вымогательством у интернет-бизнесов, включая азартные площадки в КНР . Официально Фольцу инкриминируют содействие компьютерным вторжениям. Максимальная планка наказания по указанной статье — до 10 лет лишения свободы, однако для первого приговора суд, как правило, назначает существенно меньший срок: это будет зависеть от итоговой квалификации эпизодов, доказанности сговора и суммы ущерба. На уровне деталей эта история — учебник по эволюции криминального «DDoS-for-Hire»: от «витрины» с шутливым баннером и холодильниками в составе «армии» — до прагматики, в которой жёсткие лимиты, регулярная «санитария» логов и отказ от шумных «демонстраций» позволяют зарабатывать месяцами, не попадая в сводки. Именно поэтому, констатирует следствие, даже 65 000 машин — не про рекорды, а про управляемость, гибкость и минимизацию рисков для операторов, пока у них «лучший день» и счета пухнут от новых платежей. Теперь же «невидимость» закончилась: признания, логи чатов и цепочка платежей составили основу обвинения, а Rapper Bot из хорошо настроенного инструмента вымогателей превратился в вещественное доказательство.

Источник: https://www.securitylab.ru/news/562577.php