«Безкоштовний» TradingView Premium з стилером, рекордна DDoS-атака на Cloudflare та інші події кібербезпеки

# «Безкоштовний» TradingView Premium зі стилером, рекордна DDoS-атака на Cloudflare та інші події кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Хакери сховали стилер у фейковий TradingView Premium.
• Експерти знайшли небезпечний для криптокористувачів стилер.
• Вимагачі погрожували злисти арт-роботи ІІ-моделям.
• У управлінні китайськими роботами знайшли вразливість.

Хакери сховали стилер у фейковий TradingView Premium

Кіберзлочинці поширювали фейкову рекламу про безкоштовну установку TradingView Premium для завантаження шкідливого ПЗ на Android жертв. Про це повідомили дослідники Bitdefender.

Використовуване ПЗ Brokewell з'явилося на початку 2024 року. Воно має широкий спектр можливостей, включаючи крадіжку конфіденційних даних, віддалений моніторинг і контроль зараженого пристрою.

Згідно з дослідниками, цілями кампанії були користувачі криптовалют. Вона діє щонайменше з 22 липня, використовуючи приблизно 75 локалізованих під ру-сегмент оголошень.

Приклад реклами зловмисників. Джерело: Bitdefender. Коли жертва переходила за посиланням, вона перенаправлялася на маскувальний під оригінальний TradingView сайт, де пропонувався шкідливий файл tw-update.apk. Після встановлення додаток запитував доступ до функцій спеціальних можливостей. У разі згоди воно відкривало нібито системне вікно оновлення. У цей час інфостилер видавав собі всі необхідні дозволи.

Крім того, зловмисники намагалися отримати PIN-код блокування екрана смартфона, імітуючи системний запит Android.

Будь ласка, введіть PIN-код екрану блокування смартфона від шкідливого ПЗ. Джерело: Bitdefender.Експерти відзначили, що схема була розрахована виключно на мобільних користувачів: при переході з іншого пристрою відображався безпечний контент.

За даними Bitdefender, підроблений додаток є «розширеною версією шкідливої програми Brokewell» і налічує такі функції:

• сканує BTC, ETH, USDT та банківські реквізити IBAN;
• краде та експортує коди з Google Authenticator;
• захоплює облікові записи через підроблені екрани входу;
• записує екран і натискання клавіш, краде cookies, активує камеру і мікрофон, відслідковує геолокацію;
• перехоплює SMS, включаючи банківські та 2FA-коди, підміняючи стандартну програму для повідомлень;
• може приймати віддалені команди через Tor або WebSockets для відправки SMS, дзвінків, видалення софта або навіть самознищення.

Експерти знайшли небезпечний для криптокористувачів стилер

Дослідники з F6 повідомили про знайдену в червні шкідливу схему Phantom Papa. Зловмисники розсилали листи російською та англійською мовами з вкладеннями, що містять стилер Phantom.

ПО, основане на коді CaaS-софту Stealerium, дозволяє операторам викрадати паролі, банківську та криптовалютну інформацію, вміст браузерів і месенджерів.

Отримувачами шкідливих листів, що містять стилер, були організації з різних сфер економіки: ритейлу, промисловості, будівництва, ІТ.

У звіті зазначається вибір зловмисниками фейкових листів з темами сексуального характеру на кшталт See My Nude Pictures and Videos. Також зустрічалися класичні фішингові уловки на кшталт «Прикріплена копія платежу №06162025».

Фрагмент фішингового листа зловмисників з пропозицією завантажити архів. Джерело: F6.При розпакуванні та запуску вкладених в лист RAR-архівів файлів з розширенням .img та .iso. на пристрій проникав шкідливий програмний забезпечення. Після запуску на машині жертви Phantom збирав детальну інформацію про «залізо» та системні конфігурації, а також крадів файли cookie, паролі, дані банківських карт з браузера, зображення та документи. Всі зібрані дані зловмисники отримували через Telegram-боти на зразок papaobilogs.

Ще одна загроза для власників криптовалют — модуль Clipper. Він у безкінечному циклі з інтервалом у 2 секунди витягував вміст буфера обміну. Якщо він змінювався, зловмисник зберігав його у файл. Далі сканував активне вікно на наявність слів, пов'язаних із криптосервісами: «bitcoin», «monero», «crypto», «trading», «wallet», «coinbase».

У разі виявлення починалася фаза пошуку в буфері обміну криптогаманців за популярними уривками адрес. При знаходженні ПЗ замінювало гаманці користувача на заздалегідь встановлені адреси зловмисників.

Також у Phantom є модуль PornDetector. Він здатний стежити за активністю користувача і, у разі знаходження одного з рядків «porn», «sex», «hentai», створювати скріншот у файл. Якщо після цього вікно все ще активно, модуль робить знімок з веб-камери.

Вимагачі погрожували скинути арт-роботи ІІ-моделям

30 серпня, ймовірно, вимагателі з LunaLock розмістили на сторінці сервісу для художників Artists&Clients інформацію про злом. Про це повідомляє 404 Media.

Зловмисники вимагали від власників арт-майданчика викуп у розмірі $50 000 у біткоїні або Monero. В іншому випадку вони обіцяли опублікувати всі дані та передати твори мистецтва ІІ-компаніям для навчання LLM-моделей.

На сайті був розміщений таймер зворотного відліку, що давав власникам кілька днів на збір потрібної суми. На момент написання ресурс не працює.

«Це перший випадок, коли я бачу, що зловмисники використовують загрозу навчання ІІ-моделей як елемент своєї тактики вимагання», — зазначила старший аналітик з кіберзагроз Flare Тэммі Харпер в коментарі 404 Media.

Вона додала, що подібні дії можуть виявитися дієвими проти художників через чутливу тему.

У керуванні китайськими роботами знайшли вразливість

29 серпня спеціаліст з кібербезпеки під ніком BobDaHacker виявив проблеми в захисті провідного світового постачальника комерційних роботів. Уразливість дозволяла машинам підкорятися довільним командам.

Pudu Robotics — китайський виробник роботів для виконання широкого спектра завдань на виробництві та в публічних місцях

BobDaHacker виявив, що адміністративний доступ до програмного забезпечення для управління роботами виявився не заблокованим. За його словами, для атаки зловмиснику достатньо отримати дійсний токен авторизації або створити тестовий обліковий запис, який призначений для випробувань перед покупкою.

Після проходження первинної аутентифікації додаткових перевірок безпеки не відбулося. Атакуючий отримував можливість перенаправляти доставку їжі або відключити весь парк ресторанних роботів. Це дозволяло будь-кому вносити серйозні зміни: наприклад, перейменовувати роботів, щоб ускладнити відновлення

Cloudflare витримав рекордну DDoS-атаку

Cloudflare заблокував найбільшу з коли-небудь зареєстрованих DDoS-атак, пікова потужність якої склала 11,5 Тбит/с. Про це провайдер мережевих послуг повідомив 1 вересня

Захист Cloudflare працює на повну потужність. Протягом останніх кількох тижнів ми автономно заблокували сотні гіпервольюмних DDoS-атак, найбільша з яких досягла піків у 5.1 Bpps і 11.5 Tbps. Атака на 11.5 Tbps була UDP-флудом, що в основному походила з Google Cloud.… pic.twitter.com/3rOys7cfGS

— Cloudflare (@Cloudflare) 1 вересня 2025 року

«Системи захисту Cloudflare працюють у посиленому режимі. За останні кілька тижнів ми в автономному режимі заблокували сотні надпотужних DDoS-атак, найбільша з яких досягла піку в 5,1 млрд пакетів на секунду та 11,5 Тбіт/с», — заявила компанія.

Рекордна DDoS-атака тривала приблизно 35 секунд і була комбінацією кількох IoT-пристроїв та хмарних провайдерів.

Також на ForkLog:

• Grokking. Чат-бота Grok навчали публікувати скам-посилання.
• Квантовий комп'ютер зламав «крихітний» криптографічний ключ.
• У США запропонували план захисту активів від квантових загроз.
• Хакери сховали шкідливі посилання в смарт-контрактах.
• Користувач Venus втратив через фішинг $27 млн.
• Книга з психології допомогла «взломати» ChatGPT.
• Хакери вкрали токени WLFI за допомогою смарт-гаманець.
• Втрати від зломів криптопроєктів у серпні досягли $163 млн.
• Binance допомогла заморозити активи шахраїв на $47 млн.
• Сальвадор захистив свої 6284 BTC від квантової загрози.

Що почитати на вихідних?

ForkLog в рамках щомісячного дайджесту FLMonthly поговорив з шифропанком Антоном Нестеровим про головні загрози конфіденційності та способи їм протистояти.