#троян — Public Fediverse posts

Взломщик секретов: исследуем новую версию Android-трояна Falcon

В конце февраля 2026 года в России насчитывалось более 10 тыс. смартфонов, скомпрометированных этим вредоносным приложением, всего за две недели их число увеличилось на 33% . Falcon позволяет киберпреступникам похищать данные более чем 30 популярных мобильных сервисов и полностью управлять устройством пользователя. Особенность трояна – высокий уровень защиты от антивирусов: Falcon может удалять такие приложения сразу после собственной установки.

https://habr.com/ru/companies/F6/articles/1008898/

#falcon #android #троян #accessibility #кража_данных #fraud_protection #финансовое_мошенничество

«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

https://habr.com/ru/companies/pt/articles/1001196/

#расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

https://habr.com/ru/articles/967934/

#анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Вредоносы против песочницы на Standoff 15

Каждый год мы проводим масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей. В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным. Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам. Покопаться

https://habr.com/ru/companies/pt/articles/919358/

#sandbox #песочница #вредоносы #впо #бэкдор #хакерские_инструменты #троян #банковский_троян #cobalt_strike #вебшелл

Poco RAT в лапах дикой кошки: эволюция инструментов хакерской группировки Dark Caracal

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке. Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами. Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

https://habr.com/ru/companies/pt/articles/886500/

#Poco_RAT #rat #троян #кибератаки #латам #латинская_америка #дропперы #фишинг #bandook #вредоносное_программное_обеспечение

Android-троян Mamont — расследование реального кейса новой финансовой киберугрозы

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . Уже многие видели предупреждения о новом троянце Mamont, с которым злоумышленники нацелились на персданные и денежные средства российских пользователей Android. Недавно нашему системному инженеру Максиму Гусеву «посчастливилось» познакомиться с новой схемой на практике. Незнакомый аккаунт отправил ему в телегу вредоносный .apk. Мой коллега, конечно же, сразу понял, что это мошенники. В итоге он детально изучил возможности вредоносного файла и подготовил текст с подробным описанием своего расследования. Его вы и найдете под катом.

https://habr.com/ru/companies/k2tech/articles/879412/

#кибербезопасность #информационная_безопасность #трояны #троян #mamont #android #мошенники #злоумышленники #кража_денег #троянец

«Змеиная» дисциплина: как группировка DarkGaboon незаметно атаковала российские компании

Привет всем! Ловите первое в новом году расследование от команды киберразведки экспертного центра безопасности Positive Technologies. В октябре 2024 года наш департамент выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon. Злоумышленники атакуют финансовые подразделения российских организаций как минимум с мая 2023 года. Что «змеиного» у этой группы киберпреступников, как им удавалось оставаться незамеченными и на чем все-таки попалась группировка – рассказываем в статье. К расследованию

https://habr.com/ru/companies/pt/articles/875482/

#расследование_инцидентов #хакерская_группировка #целевые_атаки #фишинг #троян #dynamic_dns #revengerat #dark_gaboon #вредоносное_программное_обеспечение #российские_компании

Cекретный ингредиент для реверс-инжиниринга: как работает наш собственный опенсорс-плагин для IDA

Привет, Хабр! Меня зовут Георгий Кучерин, я — Security Researcher в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского», где мы занимаемся изучением APT-атак, кампаний кибершпионажа и тенденций в международной киберпреступности. Да-да, тот самый GReAT, который раскрыл кампанию «Операция Триангуляция» и множество других сложных атак :) В нашем арсенале есть собственный плагин hrtng для IDA Pro (известная утилита для реверс-инжиниринга), который упрощает реверсинг вредоносного ПО. Недавно мы опубликовали код этого плагина в открытом доступе под лицензией GPLv3 — и хотим наглядно показать, как именно он может облегчить реверсеру жизнь. В этой статье мы проанализируем с помощью hrtng образец известного трояна FinSpy, а в процессе анализа дадим немного рекомендаций по работе с IDA в целом.

https://habr.com/ru/companies/kaspersky/articles/865394/

#реверсинжиниринг #информационная_безопасность #плагин #плагины #угрозы #иб #опенсорс #реверсинг #malware #хэширование #хэш #вредоносное_по #вредоносный_код #cybersecurity #ida_pro #вредонос #троян #троянский_конь #троянец #троянывымогатели

Pupy Rat — возможности Open Source трояна

Привет, Хабр! Меня зовут Борис Нестеров, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я хочу рассказать о трояне Pupy Rat , и его модификациях Decoy Dog . Pupy Rat распространяется с помощью социальной инженерии или доставляется в инфраструктуру после компрометации одного из узлов и активно используется хакерскими группировками в атаках на российские компании. По данным различных источников, по меньшей мере 48 российских организаций в разных отраслях экономики пострадали от действий этого трояна. Об этом можно узнать из новостей на сайтах TheHackerNews , CisoClub , а также из других источников. Давайте более детально рассмотрим инструмент Pupy и выделим его наиболее интересные функции. Также мы обсудим, как можно обнаружить его использование.

https://habr.com/ru/companies/rvision/articles/834502/

#pupy_rat #троян #siem #windows #linux #впо

Что на неделе: жуткий Android-вирус, эротика в «Одноклассниках» и российский аналог YouTube

Всем привет! С вами снова Олег Малахов из AGIMA. Каждую неделю я высаживаюсь на Хабре с десантом смешных, важных или просто интересных новостей о технологиях. Их можно не понимать, презирать или обсуждать, но точно нельзя игнорировать. В моей субъективно интересной подборке самые громкие заголовки СМИ за последнюю неделю июня. Встречаем аплодисментами.

https://habr.com/ru/companies/agima/articles/825432/

#одноклассники #rustore #троян #microsoft #Google_переводчик

Hellhounds: Операция Lahat. Атаки на ОС Windows

Привет, Хабр. С небольшим перерывом на связи снова специалисты из экспертного центра безопасности Positive Technologies. Если помните, в ноябре мы рассказывали об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний. Статья была посвящена атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Так вот, Hellhounds продолжают атаковать организации на территории России. Причем команде PT ESC CSIRT в процессе реагирования на инцидент в одной из компаний удалось обнаружить успешные атаки на Windows-инфраструктуру, о которых ранее не сообщалось. Рассказываем о ранее неизвестном инструментарии группировки. К расследованию

https://habr.com/ru/companies/pt/articles/816455/

#decoy_dog #hellhounds #windows #linux #pupy_rat #троян #бэкдор #впо #itкомпании #госсектор

Неправильные ML-библиотеки, обфускация и кража аккаунтов Телеграм. Очищаем PyPI от вредоносных библиотек

Мы, команда Threat Intelligence экспертного центра безопасности Positive Technologies , в рамках недавнего автоматизированного аудита проектов, размещенных в главном репозитории Python-кода, нашли 28 вредоносных пакетов , которые уже много месяцев вредили пользователям. В совокупности они были скачаны 59 000 раз . Отчет о перечисленных ниже проектах был передан команде Python Package Index (PyPI), благодаря чему проекты были удалены. Посмотреть наши находки

https://habr.com/ru/companies/pt/articles/813977/

#python #опенсорс #открытое_программное_обеспечение #вредоносное_по #cybersecurity #pypi #троян #открытый_код #devsecops

Полицейские разоблачили хакеров, которые за пять с лишним лет похитили более 20 миллионов рублей #Faketoken, #BI.ZONE, #хакер, #троян, #Android https://www.securitylab.ru/news/514807.php https://twitter.com/SecurityLabnews/status/1338608466722697221/photo/1

После года затишья операторы трояна Gootkit вернулись в строй #Германия, #сайт, #троян, #Gootkit, #REvil, #WordPress https://www.securitylab.ru/news/514464.php https://twitter.com/SecurityLabnews/status/1333697356294987781/photo/1

Троян GravityRAT для Windows теперь атакует Android и macOS #GravityRAT, #Windows, #Android, #macOS, #троян, #RAT https://www.securitylab.ru/news/513196.php https://twitter.com/SecurityLabnews/status/1318523621413916672/photo/1

Китайские хакеры уже 12 лет незаметно используют RAT-троян TAIDOOR #Китай, #троян, #Taidoor, #RAT https://www.securitylab.ru/news/510796.php https://twitter.com/SecurityLabnews/status/1290546822658891778/photo/1