ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — CryptoBandits: USB-червь крадёт криптовалюту через Tor, масштабная кампания FortiBleed: скомпрометировано более 73 000 межсетевых экранов Fortinet, вредоносные обои в Steam Workshop для Wallpaper Engine, Rust-клиппер: накрутка репутации и кража криптовалют, хакеры Dropping Elephant используют загрузчик для развертывания RAT в оперативной памяти.

1. CryptoBandits: USB-червь крадёт криптовалюту через Tor

Специалисты Microsoft Threat Intelligence и Microsoft Defender Experts обнаружили кампанию по распространению криптовалютного клиппера CryptoBandits, которая активна с февраля 2026 года. Распространение происходит через вредоносные LNK-файлы на USB-накопителях, которые служат точкой входа для запуска червевого компонента. Этот компонент сканирует устройство в поисках документов (.doc, .xlsx, .pdf), скрывает оригиналы и создаёт поддельные LNK-файлы с теми же именами для самораспространения. Вредонос использует Windows Script Host и ActiveXObject для запуска портативного Tor-клиента (ugate.exe) в скрытом окне, генерирует GUID жертвы и регистрирует заражённое устройство через на скрытом C2-сервере. Клиппер каждые 500 мс мониторит буфер обмена, извлекая сид-фразы и приватные ключи, а также подменяет адреса кошельков на подконтрольные атакующим и выгружает скриншоты через Tor. Рекомендуется отключить AutoRun/AutoPlay для всех сменных носителей и заблокировать выполнение LNK-файлов с USB-накопителей через GPO.

2. Масштабная кампания FortiBleed: скомпрометировано более 73 000 межсетевых экранов Fortinet

Кампания FortiBleed скомпрометировала 73 932 уникальных URL межсетевых экранов Fortinet в 194 странах, что составляет примерно 50% всех публично доступных устройств FortiGate. Атакующие просканировали интернет на