Новости ChatGPT

ТОП-5 ИБ-событий недели по версии Jet CSIRT

24.02.2026

Сегодня в ТОП-5 — в Telegram нашли две новые схемы взлома аккаунтов и кражи денег, новый бэкдор Keenadu скрывается в прошивке Android и крадет данные, обнаружены уязвимости в расширениях VS Code, PromptSpy: троян, который блокирует своё удаление, используя ИИ Gemini, исправлена критическая уязвимость в Windows Admin Center.

В Telegram нашли две новые схемы взлома аккаунтов и кражи денег

Эксперты «Лаборатории Касперского» обнаружили новые схемы атак, нацеленные на пользователей Telegram в России. В первой схеме под предлогом переезда групповых чатов злоумышленники распространяют ссылки, ведущие на вредоносные мини-программы, где под видом капчи выманивают код доступа к аккаунту. Во второй схеме мошенники предлагают пользователям Android скачать якобы «исправленную» версию Telegram для обхода ограничений и замедления работы, которая на самом деле содержит троян Mamont, похищающий банковские данные. Для защиты рекомендуется не доверять мини-приложениям, не открывать подозрительные файлы, установить облачный пароль для двухфакторной аутентификации.

Новый бэкдор Keenadu скрывается в прошивке Android и крадет данные

Исследователи «Лаборатории Касперского» обнаружили бэкдор Keenadu, внедренный в прошивки планшетов на Android через атаку на цепочку поставок. Бэкдор внедряется в Zygote, центральный процесс операционной системы Android, откуда его невозможно удалить без полной перепрошивки устройства, и попадает в адресное пространство каждого запускаемого приложения. Keenadu представляет собой многоуровневый загрузчик, который предоставляет операторам неограниченные возможности для контроля устройства жертвы. Он остается скрытым около двух с половиной месяцев, после чего начинает загружать дополнительные модули для подмены поисковых запросов, монетизации установок программ и скрытого взаимодействия с рекламой. Хотя на данный момент было зафиксировано, что бэкдор используется в основном для различных видов рекламного мошенничества, исследователи не исключают, что в будущем это вредоносное ПО может пойти по стопам Triada и начать красть учетные данные.

Обнаружены уязвимости в расширениях VS Code

Исследователи из OX Security выявили уязвимости в четырех популярных расширениях Microsoft VS Code: Live Server — CVE-2025-65717 (CVSS: 9.1), Code Runner — CVE-2025-65715 (CVSS: 7.8), Markdown Preview Enhanced — CVE-2025-65716 (CVSS: 8.8) и Microsoft Live Preview. Эксплойты позволяют злоумышленникам похищать локальные файлы и удаленно выполнять код, используя вредоносные веб-сайты, специально созданные файлы или фишинговые атаки. Уязвимости в трех расширениях остаются неисправленными. Уязвимость в Microsoft Live Preview не имеет идентификатора и была устранена компанией Microsoft в версии 0.4.16+. Рекомендуется обновить расширение Microsoft Live Preview до последней версии, а также избегать применения ненадежных конфигураций.

PromptSpy: троян, который блокирует своё удаление, используя ИИ Gemini

Исследователи ESET обнаружили Android-троян PromptSpy, который использует ИИ Gemini от Google для повышения своей устойчивости на разных устройствах. Вредонос анализирует экран устройства и с помощью ИИ получает инструкции, как заблокировать себя в списке последних приложений («повесить замок»), чтобы предотвратить автоматическое закрытие приложения. Встроенный VNC-модуль обеспечивает злоумышленникам удалённый доступ к экрану, кражу паролей и запись действий жертвы в реальном времени. При этом при попытке пользователей удалить приложение или отключить специальные разрешения троян накладывает прозрачные, невидимые прямоугольники на кнопки пользовательского интерфейса. Хотя массовых заражений пока не зафиксировано, образцы уже распространяются через фишинговые сайты.

Исправлена критическая уязвимость в Windows Admin Center

Компания Microsoft исправила критическую уязвимость CVE-2026-26119 (CVSS: 8.8) в Windows Admin Center, обнаруженную исследователем Андреа Пьерини. Она позволяла авторизованному злоумышленнику повысить привилегии в сети до уровня владельца приложения. Патч был включен в версию 2511, выпущенную в декабре 2025 года, однако данные о реальных атаках отсутствуют. Несмотря на это, эксперты Microsoft присвоили уязвимости рейтинг «высокой вероятности эксплуатации». По словам Пьерини, в определенных сценариях уязвимость могла привести к полной компрометации домена, начиная со стандартного пользователя. Рекомендуется немедленно обновиться до последней версии, а также ограничить сетевой доступ к инструменту и использовать принцип минимальных привилегий для снижения риска компрометации.