Лаборатория Касперского

❗️ В России идёт новая волна мошеннических рассылок с использованием QR-кодов. Письма отправляют на корпоративные электронные адреса сотрудников компаний 🔴Как это работает: - Сотрудник получает письмо якобы от государственного органа. В поле «Отправитель» — адрес с доменом, где используется характерная для госорганов аббревиатура. - В теме письма — номер «уведомления», «акта», «протокола» или «предписания». А внутри — только QR-код и подпись с именем и должностью «специалиста». - После перехода по QR-коду жертва попадает на страницу, похожую на реальный сервис отслеживания отправлений, где есть информация о «входящей документации» и статус «ожидает оплаты». - Пользователю предлагают внести скромную сумму — якобы за возможность отследить или получить отправление. После оплаты деньги жертвы отправляются мошенникам. Сергей Голованов, главный эксперт «Лаборатории Касперского»: «Использование QR-кодов позволяет злоумышленникам обходить привычные механизмы корпоративной защиты и дополнительно повышает доверие пользователей. Многие воспринимают QR-код как нейтральный технический инструмент и реже ожидают подвоха. При этом мошенники всё чаще копируют стиль официальных уведомлений, используют названия госструктур и создают сценарии, которые выглядят как часть реального бюрократического процесса». 🟢Как защититься - не сканировать QR-коды из писем и сообщений, которые приходят от незнакомых отправителей, особенно если в них требуют срочно что-то оплатить или ввести личные данные; - проверять адреса отправителей; - не переходить по подозрительным ссылкам; - использовать защитные решения, способные распознавать и анализировать QR-коды во вложениях. Например, Kaspersky Security для почтовых серверов. - если всё же необходимо отсканировать QR-код неизвестного происхождения, рекомендуем это делать это только с помощью защитных решений с функцией безопасного сканирования QR-кодов. Например, в Kaspersky для мобильных устройств.

❗️«Лаборатория Касперского» предупреждает о «серых» сайтах, которые могут привести к потере денег и данных В нашем новом отчёте рассказываем о так называемых «серых» сайтах — ресурсах, которые не относятся к классическим фишинговым, но всё чаще используются для обмана пользователей. В отличие от традиционных атак, они не всегда похищают данные напрямую, а используют социальную инженерию, вводящие в заблуждение интерфейсы и скрытые условия, чтобы подтолкнуть пользователя к оплате, подписке или передаче личной информации. Подобные сайты часто маскируются под легитимные сервисы — например, интернет-магазины, финансовые платформы, инструменты на базе искусственного интеллекта или контент по подписке, — что значительно затрудняет их распознавание. Анна Ларкина, эксперт «Лаборатории Касперского» по контентному анализу: «На первый взгляд подобные сайты не выглядят опасными. Однако они играют на доверии, создают ощущение срочности и используют привычные сценарии. Одного клика по, казалось бы, безобидному инструменту для обработки изображений на базе ИИ, „безопасному“ расширению для браузера или интернет-магазину с большими скидками может быть достаточно, чтобы потерять деньги или раскрыть конфиденциальные данные». Подробности — в новости на сайте компании.

❗️Обнаружена новая схема атак на крупные организации в России 🔴Как это работает: Злоумышленники действуют по методу телефонных мошенников под видом «правоохранительных органов». - Сотрудник получает письмо на рабочую почту с одним или несколькими PDF-документами. В них может быть «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». Жертву, конечно же, просят не допускать разглашения информации о проверке иным лицам. - В одном из сценариев пользователю предлагается заполнить анкету с большим количеством вопросов — в том числе о рабочем устройстве, действиях в определённые даты, возможных сбоях в работе компьютера, использовании программ удалённого управления или средств обхода блокировок, а также о личных данных. В письме может содержаться ещё один PDF-файл — заявление, подписав которое, человек якобы добровольно соглашается на «техническое исследование». Документы содержат профессиональную терминологию и много деталей, характерных для официального документооборота: ссылки на законы, регистрационные номера, даты, подписи, гербы и т.д., поэтому могут выглядеть убедительно для сотрудника, никогда с таким не сталкивавшимся. - После заполнения документов сотруднику направляют ещё одно письмо — с программой, которую нужно запустить «для проведения технического исследования». На самом деле это троянец. - После попадания в корпоративную сеть злоумышленник производит разведку устройств. Цель — шифрование инфраструктуры компании и требование выкупа. Сергей Голованов, главный эксперт «Лаборатории Касперского»: «Раньше сценарии, в которых злоумышленники действуют под видом представителей правоохранительных органов, были характерны больше для телефонного мошенничества и нацелены в основном на частных пользователей. Теперь мы видим, что подобные методы начинают использовать и в атаках на организации. Новые вредоносные рассылки мимикрируют под процедуру реагирования на инциденты информационной безопасности с исследованием рабочего устройства сотрудника. В результате человек может проигнорировать внутренние правила безопасности и не сообщить о происходящем в свой отдел по информационной безопасности, поскольку уже воспринимает происходящее как официальные действия со стороны правоохранительных органов». 🟢Как защититься: - не открывать вложения и не запускать программы из писем, связанных с «проверками», «расследованиями» или другими срочными запросами от неизвестных отправителей; - обязательно перепроверять подобные обращения через внутренние службы безопасности компании; - ставить надёжные корпоративные защитные решения, которые автоматически будут отправлять подобные письма в спам; - проводить тренинги по кибербезопасности для сотрудников, учить их распознавать техники социальной инженерии.

👨‍🎓Школьники оценили ИИ: 77% учащихся используют ИИ для учёбы Согласно исследованию «Взрослые и дети в интернете», 71% детей школьников от 12 до 17 лет используют нейросети, из них 40% — каждый или почти каждый день, ещё 37% — 2–4 раза в неделю. Дети прибегают к помощи нейросетей в первую очередь для учёбы (77%) и поиска информации (62%). Среди тех, кто применяет нейросети в учёбе, половина (53%) полностью перекладывают на них выполнение домашнего задания и только каждый пятый проверяет с их помощью уже сделанные уроки. А 7% обращаются к нейросетям прямо в школе. Андрей Сиденко, руководитель направления детской онлайн-безопасности «Лаборатории Касперского»: «ИИ действительно во многом упрощает жизнь и меняет процесс обучения, но, конечно, он не должен полностью заменять все процессы, связанные с учёбой. Важно помочь ребёнку научиться пользоваться нейросетями так, чтобы тот не перекладывал на них решение всех задач, а умел с их помощью более глубоко погружаться в ту или иную тему». Подробнее о результатах исследования — читайте по ссылке.

❗️ Через известную программу для работы с образами дисков распространяется вредонос Эксперты Kaspersky GReAT обнаружили кибератаку в начале апреля 2026 года. Вредонос содержится в известной программе для работы с образами дисков DAEMON Tools. На данный момент зафиксировано свыше 2 тысяч заражений более чем в 100 странах. Причём 20% пострадавших устройств находится в России, а порядка 10% из всех затронутых систем в мире — корпоративные. Как это работает: Злоумышленники скомпрометировали DAEMON Tools начиная с версии 12.5.0.2421 и вплоть до текущей. При запуске заражённых файлов (что обычно происходит во время включения компьютера или ноутбука) активируется бэкдор. Вредонос инициирует соединение с C2-сервером и выполнение shell-команд. Они, в свою очередь, развёртывают вредоносные нагрузки. Самой распространённой из них является сборщик информации, который способен «узнать» о заражённом устройстве его MAC-адрес, имя хоста, доменное имя DNS, списки запущенных процессов и установленного ПО, язык системы. В редких случаях злоумышленники развёртывают ранее неизвестный минималистичный бэкдор, используемый для загрузки файлов и выполнения шелл-кода. Кстати, упомянутые выше файлы имеют цифровую подпись разработчика DAEMON Tools — компании AVB Disc Soft. Как защититься частному пользователю: - Немедленно удалить заражённую программу, если она была загружена. - Выполнить сканирование системы для устранения любых других угроз. Как защититься корпоративным пользователям: - ИБ-команда должна изолировать заражённые устройства с установленным DAEMON Tools. - ИБ-специалистами необходимо провести дополнительную проверку устройств в организации, чтобы предотвратить дальнейшее распространение вредоноса. Как защититься корпоративным пользователям от подобных атак в будущем: - Провести аудит вендоров ПО на соответствие отраслевым стандартам ИБ. - Внедрить строгие протоколы закупок, чтобы ПО для сотрудников соответствовало политикам и требованиям организации. - Внедрять превентивные меры, такие как принцип наименьших привилегий, принцип нулевого доверия, зрелую систему управления учётными записями, для уменьшения ущерба в случае кибератаки. - Применять решение для комплексной защиты всей ИТ-инфраструктуры. - Разработать план реагирования на киберинциденты и убедиться, что в него включены меры для быстрого выявления брешей и минимизации связанных с ними рисков. - Установить на корпоративные устройства надёжное защитное ПО. Например, решения от «Лаборатории Касперского» для малого, среднего и крупного бизнеса. Подробный разбор кибератаки на DAEMON Tools и индикатор компрометации ПО — в нашем материале на Securelist. А более простым языком — рассказываем в статье на Kaspersky Daily.

❗️ Новая волна кибератак под видом защиты от кибератак Цель злоумышленников — получить телефонный номер жертвы, чтобы запустить мошеннические сценарии. • Как это работает: Мошенники создают сайты, где предлагают «онлайн-диагностику личных кабинетов» — проверку компрометации данных и учётных записей пользователя. Такие сайты выглядят максимально правдоподобно: на них есть контент по кибербезопасности, запрашиваются разрешения на сбор cookie-файлов, упоминаются «официальные партнёры» — реально существующие компании и организации, в том числе «Лаборатория Касперского». Для запуска «диагностики» нужно ввести номер телефона. После этого пользователю могут позвонить злоумышленники и представиться сотрудниками «Центра цифровой безопасности», госорганов или финансовых структур. Под предлогом проверки аккаунтов они могут направлять фальшивые письма и подключать к разговору якобы представителей иных ведомств. В конечном итоге жертву могут убедить перевести деньги на «безопасный» счёт. • Как защититься: Сергей Голованов, главный эксперт «Лаборатории Касперского»: «Злоумышленники эксплуатируют тревоги пользователей и их опасения стать жертвами мошенников. Однако если есть сомнения в безопасности учётной записи, лучше самостоятельно сменить пароли, проверить, не было ли сторонних подключений, и настроить дополнительные меры защиты. Это поможет снизить риски и избежать ситуаций, когда пользователю приходится обращаться за диагностикой к сомнительным сервисам».

❗️Зловред под видом PDF-читалки вошёл в топ-200 самых скачиваемых приложений в российском сегменте Google Play Давно известный экспертам по кибербезопасности банковский троянец Anatsa на этой неделе снова был обнаружен в Google Play, где маскировался под популярное приложение для чтения PDF-файлов. 21 апреля заражённое приложение заняло 185 место по скачиваемости в категории «Инструменты» в российском сегменте. Сейчас зловред уже удален, но его успели скачать более более 10 тысяч раз. Решение Kaspersky Premium детектирует и блокирует эту угрозу: HEUR:Trojan-Downloader.AndroidOS.Anatsa.a, HEUR:Trojan-Dropper.AndroidOS.Banker.bb. Как это работает: Приложение действительно позволяло читать PDF-файлы. Однако внутри него находился вредонос-дроппер, который после установки загружал дополнительный APK-файл с банковским троянцем Anatsa. Получив расширенные разрешения, зловред пытался перехватывать конфиденциальные данные, включая банковские учётные записи. Как защититься Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского»: «Это не первый случай распространения Anatsa через официальный магазин. Злоумышленники регулярно используют схему, при которой сначала публикуется легитимное приложение, а вредоносный функционал добавляется позднее — уже после прохождения модерации. Такой подход помогает обходить проверки и дольше оставаться незамеченными. Этот кейс показывает, что даже загрузка приложений из официальных сторов не гарантирует полной безопасности, поэтому важно устанавливать надёжные защитные решения, внимательно относиться к обновлениям, проверять запрашиваемые разрешения и учитывать поведение приложений».