Незаметна підміна биткоін-адресів, витік у виробника іграшок для дорослих та інші події кібербезпеки - ForkLog: криптовалюти, ІІ, сингулярність, майбутнє

# Незаметна підміна біткойн-адресів, витік у виробника дорослих іграшок та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Хакери придумали схему непомітної підміни біткойн-адресів.
• Новий троян для Android замаскували під IPTV-додатки.
• Користувачам Trezor і Ledger надійшли фішингові паперові листи.
• Дослідник викрив великі компанії у слежці за користувачами Chrome через розширення.

Хакери придумали схему непомітної підміни біткойн-адресів

Зловмисники почали непомітно підмінювати біткойн-адреси під виглядом вигідної угоди з арбітражу криптовалют. Схему виявили фахівці BleepingComputer.

Кампанія базується на обіцянках великого прибутку від нібито знайденої «уразливості для арбітражу» на платформі обміну криптовалют Swapzone. Насправді хакери запускають шкідливий код, який модифікує процес свопу прямо у браузері жертви.

Зазвичай атаки у стилі ClickFix спрямовані на ОС: користувачів обманом змушують запускати команди у PowerShell для «виправлення помилок» Windows, що призводить до встановлення стіллерів або шифрувальників. У цьому випадку метою стала конкретна сесія у браузері.

За даними ЗМІ, це один із перших зафіксованих випадків використання механіки ClickFix для маніпуляції веб-сторінками з метою прямого крадіжки криптовалют.

Для просування шахрайської кампанії хакери залишають коментарі до різних постів на популярному сервісі для збереження тексту (рядків коду) Pastebin.

Джерело: BleepingComputer. Вони рекламують «витік документації з взлому», яка нібито дозволяє заробити $13 000 за два дні, і додають посилання на ресурс. «Керівництво» у Google Docs описує схему отримання завищеної суми обміну у певних парах BTC.

Спостереження BleepingComputer показали, що документ постійно переглядають одночасно від одного до п’яти осіб, що підтверджує активність схеми.

Джерело: BleepingComputer. У фальшивому керівництві користувачу пропонується:

1. Перейти на сайт Swapzone.
2. Скопіювати JavaScript-код із стороннього ресурсу.
3. Повернутися на вкладку Swapzone, увести у адресний рядок javascript:, вставити скопійований код і натиснути Enter.

Цей метод використовує функцію браузера javascript: URI, яка дозволяє виконувати код у контексті відкритого сайту. Аналіз показав, що первинний скрипт завантажує другу, сильно заплутану частину навантаження. Вона впроваджується у сторінку Swapzone, підмінюючи легітимні сценарії Next.js, що відповідають за проведення транзакцій:

• підміна адреси. Шкідливий скрипт містить список біткойн-адрес злоумисників. Він підставляє один із них замість реального адреси депозиту, згенерованого біржею;
• візуальний обман. Код змінює відображувані курси обміну та суми виплат на екрані, щоб у користувача склалося враження, що «арбітражна схема» дійсно працює;
• результат. Жертва бачить звичний інтерфейс легітимного сервісу, але надсилає гроші на біткойн-гаманець хакера.

Новий троян для Android замаскували під IPTV-додатки

Новий шкідливий софт для Android видає себе за додаток для перегляду IPTV для крадіжки цифрових особистостей і доступу до банківських рахунків жертви. Про це повідомили дослідники кібербезпеки ThreatFabric.

Вірус Massiv використовує накладання вікон і запис натискань клавіш для збору конфіденційних даних. Він також може встановлювати повне дистанційне керування зараженим пристроєм.

У рамках кампанії Massiv атакував португальський державний додаток, пов’язаний із Chave Móvel Digital — національною системою цифрової автентифікації та підпису. Дані, що зберігаються у цих сервісах, можуть бути використані для обходу процедур верифікації особистості (KYC), доступу до банківських рахунків, а також до інших державних і приватних онлайн-сервісів.

За даними ThreatFabric, зафіксовані випадки відкриття банківських рахунків і сервісів на ім’я жертви без її відома.

Massiv надає операторам два режими дистанційного керування:

• стрімінг екрану — використовує Android MediaProjection API для трансляції того, що відбувається на екрані у реальному часі;
• режим UI-tree — витяг структурованих даних через Accessibility Service (Службу спеціальних можливостей).

Джерело: ThreatFabric. Другий режим дозволяє зловмисникам бачити текст, назви елементів інтерфейсу та їх координати. Це дає можливість натискати кнопки і редагувати текстові поля від імені користувача. Що ще важливіше, цей метод дозволяє обійти захист від скріншотів, який часто вбудований у банківські та фінансові додатки.

Дослідники відзначили цікаву тенденцію: за останні вісім місяців різко зросло використання IPTV-додатків як «приманки» для зараження Android-устройств.

Джерело: ThreatFabric. Такі додатки часто порушують авторські права, тому їх не можна знайти у Google Play. Користувачі звикли завантажувати їх у вигляді APK-файлів із неофіційних джерел і встановлювати вручну.

За даними звіту, кампанія спрямована на мешканців Іспанії, Португалії, Франції та Туреччини.

Користувачам Trezor і Ledger надійшли фішингові паперові листи

Користувачі Trezor і Ledger почали отримувати звичайні листи, надіслані зловмисниками нібито від імені виробників апаратних криптогаманців.

За словами фахівця з кібербезпеки Дмитра Смилянця, отримане ним листо виглядало як офіційне повідомлення від відділу безпеки Trezor.

На фірмовому бланку клієнту запропонували пройти обов’язкову процедуру: відсканувати QR-код і завершити верифікацію на спеціальному сайті до визначеної дати. У разі невиконання користувачам погрожували позбавленням доступу до функцій гаманця.

У коментарях до посту з’явилися й інші ранні випадки фішингу нібито від представників Ledger. Обидва листи створювали відчуття терміновості, підштовхуючи жертв до негайних дій.

принаймні вони могли б попрацювати над кращою фішинговою сторінкою 😭😭

навіть у вигляді простого тексту seed-слова відправляли у Telegram API…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Хто що сказав? (@g0njxa) 12 лютого 2026

QR-коди з листів вели на шкідливі сайти, що імітували офіційні сторінки налаштування Trezor і Ledger. На фінальному етапі від користувачів вимагали ввести seed-фразу для «підтвердження володіння пристроєм».

Дослідник викрив великі компанії у слежці за користувачами Chrome через розширення

Дослідник під ніком Q Continuum виявив 287 розширень для Chrome, які передають усі дані про історію відвідувань стороннім компаніям. Їх сумарна кількість установок перевищила 37,4 млн.

За допомогою автоматизованої системи тестування фахівець перевірив 32 000 плагінів із Chrome Web Store. У результаті вдалося виявити понад 30 компаній, які збирають дані.

Аналітик вважає, що розширення, що пропонують зручні й корисні інструменти, насправді необґрунтовано запитують доступ до історії браузера. Деякі з них додатково шифрують дані, ускладнюючи їх виявлення.

За словами фахівця, частина збору даних формально прописана у політиках конфіденційності. Однак не всі користувачі звертають їм належну увагу.

Дослідник викрив у зборі даних Similarweb, Semrush, Alibaba Group, ByteDance і аффілійовану з Similarweb структуру Big Star Labs.

Під підозрою опинилися кастомізатори тем Stylish і блокувальники реклами (Stands AdBlocker і Poper Blocker, CrxMouse), а також розширення самої Similarweb (SimilarWeb: Website Traffic & SEO Checker).

Джерело: GitHub користувача Q Continuum. Близько 20 млн установок із 37,4 млн не вдалося прив’язати до конкретних отримувачів даних.

У політиці конфіденційності Similarweb збору даних задокументовано. Компанія стверджує, що анонімізує інформацію на стороні клієнта, хоча тут же зазначається, що «частина цих даних може включати персональні та конфіденційні відомості залежно від пошукових запитів і переглянутого контенту».

Витікли дані клієнтів популярного виробника дорослих іграшок

Японська компанія Tenga надіслала клієнтам повідомлення про порушення безпеки даних. Про це повідомляє TechCrunch.

Згідно з повідомленням, «зловмисник отримав доступ до професійної електронної пошти одного з наших співробітників», що відкрила хакеру доступ до вмісту вхідних повідомлень. Це потенційно дозволило йому побачити і викрасти імена клієнтів, адреси електронної пошти та історію переписки, яка «може включати деталі замовлень або звернень до служби підтримки».

Хакер також розсилали спам-повідомлення за списком контактів зламаного співробітника, включно з клієнтами компанії.

Після публікації новини представник Tenga повідомив TechCrunch, що за результатами технічної експертизи витік торкнувся «приблизно 600 осіб» у США.

Tenga — глобальний постачальник товарів для дорослих. Ураховуючи характер продукції, деталі замовлень і звернень до техпідтримки, швидше за все, містять особисту інформацію, яку багато клієнтів не хотіли б розголошувати.

Компанія вжила низку захисних заходів:

• скидання облікових даних зламаного співробітника;
• впровадження у всі свої системи багатофакторної автентифікації — базової функції безпеки, яка запобігає доступу до акаунтів навіть за наявності викраденого пароля.

Представник компанії відмовився уточнити, чи була активована двофакторна автентифікація на поштовому акаунті до зламу.

В Африці затримали 651 підозрюваного у рамках операції проти кіберзлочинності

Правоохоронці африканських країн затримали 651 підозрюваного і вилучили понад $4,3 млн у рамках спільної операції проти інвестиційного шахрайства. Про це повідомляє Інтерпол.

Метою Red Card 2.0 стали кіберзлочинні групи, причетні до фінансових втрат понад $45 млн. Влада 16 країн вилучили 2341 пристрій і заблокували 1442 шкідливі веб-сайти, домени та сервери.

Ключові результати за країнами:

• Нігерія. Поліція ліквідувала мережу інвестиційного шахрайства, яка вербувала молодь для проведення фішингових атак, крадіжки особистих даних і реалізації фейкових інвестиційних схем. Знято понад 1000 шахрайських акаунтів у соцмережах. Також затримано шістьох членів банди, які використовували викрадені облікові дані співробітників для зломів великих телеком-провайдерів;
• Кенія. Затримано 27 підозрюваних у рамках розслідування діяльності груп, які через соцмережі і месенджери заманювали жертв у фіктивні інвестиційні проекти;
• Кот-д’Івуар. Затримано 58 осіб у рамках боротьби з мобільними додатками для мікропозик. Вони використовували приховані комісії і незаконні методи стягнення боргів.

Також на ForkLog:

• OpenAI випустила бенчмарк для оцінки здатності ІІ-агентів зламувати смарт-контракти.
• Вайб-кодування через Claude Opus призвело до зломів DeFi-проекту Moonwell.
• Figure визнала витік персональних даних клієнтів.
• У поліції Південної Кореї з холодного гаманця зникли 22 BTC.

Що почитати на вихідних?

У романі «Лжива сліпота» канадський біолог і письменник Пітер Воттс запропонував радикальну гіпотезу: розум може бути ефективним без свідомості. Майже через 20 років після публікації книги цей тезис точно описує генеративний ІІ.

У новому матеріалі ForkLog розібрався, які помилки ми робимо, людячи алгоритми.