ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — CryptoBandits: USB-червь крадёт криптовалюту через Tor, масштабная кампания FortiBleed: скомпрометировано более 73 000 межсетевых экранов Fortinet, вредоносные обои в Steam Workshop для Wallpaper Engine, Rust-клиппер: накрутка репутации и кража криптовалют, хакеры Dropping Elephant используют загрузчик для развертывания RAT в оперативной памяти.

1. CryptoBandits: USB-червь крадёт криптовалюту через Tor

Специалисты Microsoft Threat Intelligence и Microsoft Defender Experts обнаружили кампанию по распространению криптовалютного клиппера CryptoBandits, которая активна с февраля 2026 года. Распространение происходит через вредоносные LNK-файлы на USB-накопителях, которые служат точкой входа для запуска червевого компонента. Этот модуль сканирует девайс в поисках документов (.doc, .xlsx, .pdf), скрывает оригиналы и создаёт поддельные LNK-файлы с теми же именами для самораспространения. Вредонос использует Windows Script Host и ActiveXObject для запуска портативного Tor-клиента (ugate.exe) в скрытом окне, генерирует GUID жертвы и регистрирует заражённое девайс через на скрытом C2-сервере. Клиппер каждые 500 мс мониторит буфер обмена, извлекая сид-фразы и приватные ключи, а также подменяет адреса кошельков на подконтрольные атакующим и выгружает скриншоты через Tor. Рекомендуется отключить AutoRun/AutoPlay для всех сменных носителей и заблокировать выполнение LNK-файлов с USB-накопителей через GPO.

2. Масштабная кампания FortiBleed: скомпрометировано более 73 000 межсетевых экранов Fortinet

Кампания FortiBleed скомпрометировала 73 932 уникальных URL межсетевых экранов Fortinet в 194 странах, что составляет около 50% всех публично доступных устройств FortiGate. Атакующие просканировали интернет на предмет устройств с открытым management-интерфейсом, извлекли конфигурационные файлы и провели масштабный перебор учётных данных. Уязвимость стала возможной в связи с того, что многие администраторы не перелогинились после установки обновлений начала 2025 года, и устройства продолжали использовать старые SHA-256-хеши вместо новых PBKDF2. Для взлома применялся выделенный GPU-кластер под управлением Hashtopolis. После взлома злоумышленники проникали в Active Directory, закреплялись в сети и похищали данные. Рекомендуется апдейтнуть FortiOS до последней версии и выполнить свежий вход всех администраторов для принудительного перехеширования паролей в PBKDF2.

3. Вредоносные обои в Steam Workshop для Wallpaper Engine
Исследователи «Лаборатории Касперского» обнаружили, что с августа 2025 года в  Steam Workshop распространяются десятки вредоносных обоев-приложений для Wallpaper Engine, нацеленных на кражу аккаунтов игроков из Китая и России. Злоумышленники эксплуатируют тип обоев «приложение» — самостоятельное ПО, которое Wallpaper Engine запускает как фон рабочего стола, что позволяет выполнять произвольный исходник в системе жертвы. Вредоносные пакеты распространяются в двух вариантах, в первом варианте это публичный архив с исполняемыми обоями и вредоносными EXE/DLL-файлами либо архив. Во втором варианте это архив, защищённый паролем, который жертва должна ввести самостоятельно. Установка таких обоев приводит к краже учётной записи Steam, а равным образом может внедрять в систему бэкдоры или криптомайнеры. Вредоносные обои и ссылки на них были удалены командой Steam.

4. Rust-клиппер: накрутка репутации и кража криптовалют
Специалисты Check Point Research обнаружили кампанию, в контексте которой злоумышленники используют многоуровневую схему накрутки для продвижения Rust-клиппера под видом «снайперских ботов» для Solana/Pump.fun и «предсказателей» краш-игр. Центральным элементом этой схемы стал фишинговый веб-сайт на WordPress, где собраны все инструменты, а продвижение идёт через GitHub, SourceForge и YouTube. На VirusTotal образцы зарабатывают безопасную оценку и комментарии от подконтрольных аккаунтов, что при низком уровне детектирования создаёт ложное впечатление безопасности. Вредонос представляет собой клиппер, написанный на Rust, который устанавливает персистентность через LaunchAgent, непрерывно мониторит буфер обмена на наличие паттернов крипто-адресов и подменяет их на адреса из встроенного списка атакующего. Рекомендуется применять официальное ПО и проверять подозрительные файлы в изолированной среде.

5. Хакеры Dropping Elephant используют загрузчик для развертывания RAT в оперативной памяти

Кампания Dropping Elephant развернула 106 уникальных вредоносных хостов, используя малвертайзинг в Google Ads с подделкой AI-инструментов для привлечения технически подкованных пользователей. Ранние волны (с 8 апреля 2026 года) применяли 92 поддомена на GitLab Pages с поддельными страницами загрузки, где жертвам предлагали скопировать и вставить PowerShell-команду (техника ClickFix). Позднее операторы переключились на weaponized claude.ai/shared-chat, размещая инструкции на легитимном домене Anthropic, что позволило обходить URL-фильтры. Рекомендуется переходить на официальные сайты продуктов напрямую, а не по рекламным ссылкам.