Ряд крупных сайтов в Рунете стали жертвами хакеров

Ряд крупных сайтов в Рунете стали жертвами хакеров

В пекинском представительстве "Лаборатории Касперского" сообщили об обнаружении нетривиальной серии заражений веб-ресурсов. Как говорит Евгений Асеев, эксперт "Лаборатории Касперского", здесь злоумышленники не гонятся за количеством и целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб.



Согласно данным антивирусной компании, среди жертв хакероов оказались: хостинг-провайдер Infobox, сайт "РЖД", сайт free-lance.ru, а также сайты "Комсомольской правды", "Интерфакса", "Свободной прессы", несколько сайтов Главного управления МЧС России, Роскомнадзора и других.

"После обнаружения заражения на этих сайтах мы связались с владельцами тех ресурсов, где своевременно не была устранена проблема, проинформировали их о ее наличии и дали рекомендации по защите от таких атак в будущем. Ресурсы не связывает ни общий хостинг-провайдер, ни одна система управления содержимым веб-сайтами. Их объединяет только то, что они были заражены одними и теми же людьми"- говорит Асеев.

 Известно, что злоумышленники использовали индивидуальный подход к каждому ресурсу и не действовали шаблонно. Результатом заражения во всех случаях был фрейм, который ссылался на вредоносный ресурс. Однако встраивался он в исходную страницу не всегда одинаково. В части зараженных ресурсов фрейм был классическим образом записан в произвольное место страницы. В других случаях фрейм записывался в какой-нибудь структурный блок. Такой изощренный способ заражения говорит о том, что, скорее всего, злоумышленники получили доступ не к самому серверу, на котором располагался веб-сайт, а к учетным записям систем управления содержимым, и проводили свои махинации именно через них, передает cybersecurity.

В названии некоторых вредоносных доменов, куда перенаправлялся пользователь, присутствовали названия зараженных ресурсов. То есть злоумышленники специально регистрировали доменные имена, сходные с именами заражаемых ресурсов.

"Злоумышленники вручную заражали некоторые ресурсы: для того чтобы сделать заражения более незаметными для администраторов, они днем убирали вредоносный код, а вечером снова вставляли. После перехода на вредоносный ресурс компьютер пользователя атаковал набор различных эксплойтов для уязвимых версий Oracle Java и Adobe Acrobat/Reader, успешное исполнение которых влекло за собой установку в систему троянца Carberp", - говорит Асеев.

Carberp – это наследник троянцев а-ля Zbot (ZeuS). Он отличается особенной жадностью: помимо различных пользовательских данных (в том числе и данных для доступа к онлайн-банкингу) пытается украсть идентификационные данные пользователя, сохраненные в различном ПО (в том числе и данные для доступа к FTP-серверам из популярных FTP-клиентов). Кроме того, Carberp имеет функционал кейлоггера.

Стоит заметить, что при таких атаках уже не помогут простые советы по интернет-безопасности, вроде «не открывайте ссылки, пришедшие от недоверенных адресатов». Здесь нужна надежная и своевременная комплексная защита.

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru