[Перевод] Как приглашение на вакансию мечты превращается в атаку
Начиналось всё с уведомления, радостного для каждого разработчика: «Вы попали в шорт-лист на вакансию разработчика ИИ». Компания кажется потрясающей — DLMind, «лаборатория инноваций ИИ». Рекрутер выглядит вполне правдоподобным — Tim Morenc, CEDS, с качественным профилем на LinkedIn,...
GUI ценой приватности: разбор вредоносного форка Zapret 2 GUI
Из за замедления YouTube, Discord и других популярных сервисов в РФ спровоцировало настоящий бум инструментов для обхода DPI. Флагманский проект zapret от @bol-van - мощное решение, но его консольный интерфейс пугает рядового пользователя. На этой почве выросли десятки GUI-оболочек «для...
Атаки на цепочку поставки ПО: виды угроз и как с ними бороться
Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений. В случае с атаками в open source...
Анатомия зловреда: разбираем логику работы хитрого вредоноса
Файл с именем как у фото из WhatsApp, расширение .pif вместо .jpg, и совершенно чистая репутация на VirusTotal. Внутри — четыре ступени тщательно спроектированной атаки: загрузчик с настоящим корпоративным EV-сертификатом, шеллкод, спрятанный в файле иконок, нестандартный TCP-протокол рукопожатия и...
Технический разбор Greenwich: когда «полезное» расширение начинает видеть слишком много
Это разбор браузерного расширения Greenwich, которое заявлено как инструмент для обмена связанными ссылками между пользователями. На практике его техническая реализация вызывает вопросы с точки зрения приватности и безопасности. В статье мы кратко и по делу рассмотрим, какие разрешения запрашивает...
Разбор вредоносного расширения «vksaver — music saver vk»
В ходе анализа стало понятно, что расширение «vksaver - music saver vk», которое заявлено как обычный инструмент для скачивания музыки из ВКонтакте, на деле работает значительно глубже и агрессивнее, чем может показаться сначала. Оно не ограничивается функцией загрузки аудио, а вмешивается во...
Разбор Urban VPN Proxy: как браузерное расширение превращается в перехватчик трафика и данных
Urban VPN Proxy — популярное браузерное расширение, позиционируемое как бесплатный VPN-сервис без логирования. Однако анализ JavaScript-кода, выполняемого расширением непосредственно в контексте страниц пользователя, показывает, что реальная функциональность продукта значительно шире и не...
Разбор JavaScript‑malware под Windows Script Host: AutoIt‑подобный фреймворк для полного контроля системы
В данной статье разбирается JavaScript‑файл, предназначенный для выполнения в Windows Script Host (WSH). Представленный код является вредоносным фреймворком, маскирующимся под вспомогательную библиотеку. Читать далее...
USB-червь на VBScript: закрепление в системе, контроль процессов и автоматическое заражение флешек
В этой статье — разбор примитивного, но показательного USB-червя, полностью реализованного на VBScript. Несмотря на простоту языка, код демонстрирует полный набор классических техник: закрепление в системе, маскировку, контроль процессов и автоматическое заражение флешек. Читать далее...
«Мастер очистки: лучший очиститель кэша Chrome» — разбор вредоносного расширения Chrome
Расширения браузера давно перестали быть просто вспомогательными инструментами. Благодаря широким правам и постоянному фоновому выполнению они стали удобной средой для скрытой реализации сложной логики, в том числе вредоносной. Под видом полезных утилит такие расширения могут получать удалённое...
С ИИ всё стало умным, в том числе и… малварь — история появления GenAI-полиморфных-вирусов
Все мы слышали про FraudGPT и WormGPT, и про такие атаки как Morris II, imprompter, EchoLeak. Но это все детский сад, или даже скрипткиддерство. А что насчет использования генеративных способностей LLM в целях киберпреступности в автоматизированном режиме? Да, нарушители используют GenAI-модели для...
Shade BIOS: полная маскировка вредоносного ПО UEFI
На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты. Я постарался сделать краткий обзор Shade. Читать далее...
[Перевод] Как я убедил виртуальную машину, что у неё есть кулер
Зачем вообще этим заморачиваться? Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких...
«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы....
За грань netflow: что получается, если отказаться от ограничений
Здравствуй, Хабр! Уже как 4 года я веду свой небольшой pet-проект в области netflow и его практического применения, и вот сейчас решил поделиться своими результатами. Эта история началась снежным московским днём, когда один уважаемый коллега поделился следующий новостью: ребята прочитали научную...
Малварь ниже «уровня радаров»
Атаки на виртуальную инфраструктуру VMware ESXi в последнее время стали заметно набирать обороты. Сценарий, когда злоумышленник получает доступ к гипервизору, а затем останавливает все виртуальные машины и шифрует их диски, выглядит пугающе реалистично, особенно если компания не подготовлена к...
Cекретный ингредиент для реверс-инжиниринга: как работает наш собственный опенсорс-плагин для IDA
Привет, Хабр! Меня зовут Георгий Кучерин, я — Security Researcher в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского», где мы занимаемся изучением APT-атак, кампаний кибершпионажа и тенденций в международной киберпреступности. Да-да, тот самый GReAT, который раскрыл...
[Перевод] Встраивание вредоносного исполняемого файла в обычный PDF или EXE
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Использование данных инструментов и методов против хостов, для которых у вас нет явного разрешения на тестирование, является незаконным. Вы несете ответственность за любые проблемы, которые могут возникнуть в результате использования этих инструментов и методов. Сегодня мы...
Назад