CraxsRAT и NFCGate в одном флаконе: киберпреступники разработали новую связку для атак на клиентов банков.

И этот Франкенштейн потенциально прямо в вашем смартфоне 👀 Android-троян CraxsRAT и приложение NFCGate вместе позволяют злоумышленникам без единого звонка устанавливать на устройства вредоносный софт, способный через NFC-модули перехватывать и передавать данные карт. Увеличение доли скомпрометированных устройств именно этой атакующей связкой зафиксировало решение F6 Fraud Protection.

‼️Как работает связка CraxsRAT и NFCGate?
Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под полезную программу. Так злоумышленники получат полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги. Основной вектор распространения CraxsRAT — социальная инженерия, но уже без телефонного разговора.

😧 По данным F6 на март 2025 года, в России суммарно насчитывалось 180 тыс.+ скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate. Новость тревожная, но не внезапная — эти инструменты, согласно отчету F6, входят в число самых опасных киберугроз на этот год.

🔍 В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс. Сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го — 200 млн рублей. Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.

➡️ Читайте все детали новой схемы и рекомендации от экспертов F6.

Кибершпионы FakeTicketer причастны к атаке на российские предприятия от имени «ВОЕНМЕХа»? Разбираемся.

▪️ Атаку с использованием вредоноса, мимикрирующего под официальный документ от университета «ВОЕНМЕХ», обнаружили в конце 2024-го и назвали Operation HollowQuill. Анализ ВПО и инфраструктуры злоумышленников кампании HollowQuill и у FakeTicketer позволил специалистам F6 обнаружить пересечения в коде дропперов и именовании доменов.

▪️ Злоумышленники действуют как минимум с июня 2024 года. Предположительная мотивация — шпионаж, среди целей — промышленные организации, госорганы, спортивные функционеры.

➡️ Детали описали на Habr

По мнению эĸспертов F6 Threat Intelligence, найденные доĸазательства позволяют со средней уверенностью приписать кампанию HollowQuill группе FakeTicketer.

😉 Борьба с киберпреступностью

RuStore начал использовать решение Digital Risk Protection от F6 для борьбы с цифровыми угрозами. Технология на базе ИИ позволит в автоматическом режиме блокировать фишинговые ресурсы и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.

Дмитрий Морев, директор по информационной безопасности RuStore:

За последний год существенно увеличилось количество фишинговых и фейковых ресурсов с опасными приложениями. Помимо традиционных опасностей, таких как кража средств и продажа личных данных, через мошеннические приложения телефон может быть подключен к сети ботов для DDoS-атак. При этом наша команда фиксирует снижение количества попыток загрузить поддельные приложения в RuStore.

Продолжаем защищать бизнес в эпоху изощренных кибератак 🔥

Одна из самых востребованных кибербез-дисцплин — в нашем новом курсе 😎 Анализ угроз, разбор реальных кейсов, изучение сервисов и инструментов, а также практическая часть с тестовой инфраструктурой — всё это обещаем на курсе «ASM в действии: автоматизированная защита внешних сервисов».

Когда: 23 апреля 2025 г.
Кто: Кирилл Федоренко, специалист по тестированию на проникновение F6.
Зачем: чтобы научиться выявлять уязвимости в публично доступных сервисах, понимать тактику атакующих и применять эффективные меры защиты, чтобы предотвратить кибератаки и минимизировать риски утечек данных.
Для кого: для ИБ-специалистов, аналитиков SOC и CERT, сисадминов и DevOps-инженеров, разработчиков, работающих с веб-приложениями и API — для всех, кто отвечает за защиту внешнего периметра компании.

💚 Детали о курсе и стоимость можно уточнить, написав нам на почту education@f6.ru, или заполнив форму на сайте.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

⚡️ Команда F6 выпустила бесплатный White Paper — и это настоящий маст-хэв для всех, кто отвечает за онлайн-сервисы, безопасность и финансы.

Киберпреступления составляют 40% от всех зарегистрированных преступлений в стране. В 2024-м компании потеряли 116 млрд+ руб. из-за цифрового мошенничества.

‼️ Со стандартными средствами защиты — вроде капчи, двухфакторной аутентификации и черных списков — мошенники справляются с помощью анонимизации, антидетект-браузеров и эмуляторов.

Мы создали подробный гайд, который объясняет, почему традиционный подход больше не работает и как Fraud Protection F6 помогает защитить бизнес.

Вы узнаете:
💚 как устроены распространенные схемы фрода;
💚 какие проблемы актуальны для банков, финтеха, ритейла и страхования;
💚 как работают технологии защиты: цифровые отпечатки устройств, графовый анализ, поведенческая аналитика;
💚 реальные цифры по снижению потерь и сокращению нагрузки на команды.

Всё это абсолютно бесплатно ❤️ Пересылайте коллегам!

Скачать White Paper «Fraud Protection для бизнеса»

Аналитики Threat Intelligence F6 фиксируют более чем двукратный рост числа выставленных на продажу веб-шеллов для доступа к ресурсам в зоне .by.

Веб-шелл — это вредоносный скрипт, который загружается на сервер через уязвимости в веб-приложениях, например, через форму загрузки файлов. Скрипт может быть написан на PHP, ASP, Python или Perl, он позволяет выполнять произвольные команды, манипулировать файловой системой, устанавливать дополнительное ВПО.

▪️Рост распространения веб-шеллов в белорусской доменной зоне может свидетельствовать о возрастающем интересе к эксплуатации уязвимостей приложений и недостатках в защите сайтов.

💲На теневых форумах и маркетплейсах даркнета цены на веб-шеллы достигают нескольких тысяч долларов. Стоимость определяется уровнем доступа, скрытностью, функциональными возможностями и ценностью информации, хранящейся на скомпрометированном сервере.

➡️ Описали ситуацию в деталях на Habr

Новая неделя — новое интервью 🎙 На этот раз пообщались с Александром Соколовым, и это его первое интервью на посту директора единого сервисного блока F6.

😎 Когда-то компания была основана как бутиковое кибердетективное агентство для проведения компьютерной криминалистики и расследований. Но формально единого сервисного блока не существовало.

👀 Почему в компании решили изменить структуру? Какие ключевые задачи Александра по развитию направлений? В каких кризисных ситуациях спасут решения F6? Об этом и многом другом читайте в «РБК Компании».

Мошенники готовятся к лету, а ты нет

☀️ Специалисты Digital Risk Protection F6 обнаружили новую схему в преддверии майских праздников и сезона отпусков. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру или дом, а для бронирования присылают ссылку на фишинговый ресурс.

🎥 Механика обмана изменилась. Если раньше свои предложения по аренде жилья мошенники размещали на сайтах объявлений, то теперь они рекламируют их через короткие ролики в YouTube Shorts, TikTok и Instagram (принадлежит Meta, которая признана экстремистской и запрещена в РФ).

💲 Внимание мошенников обращено прежде всего на популярные курорты на Черноморском и Балтийском побережьях. По данным F6, размер ущерба уставших россиян, желающих поскорее отдохнуть, составляет от 1000 руб. до 140 тыс. руб.

Как выглядят ролики, что злоумышленники сообщают в переписке и как работает схема для iOS и Android — все детали собрали в релизе.

👀 Представьте: в вашем доме открыты все двери, но вы не знаете, сколько их и где они находятся. Похожую ситуацию переживает бизнес, который не ведет учет цифровых активов и становится уязвим перед киберпреступниками.

Для тех, кто намерен эффективно противостоять кибератакам и действовать на опережение, мы выпустили бесплатный White Paper по Attack Surface Management. Пока компании не будут осознавать масштаб своих цифровых активов и уязвимостей, киберпреступники будут выигрывать.

▪️ Что вообще такое Attack Surface Management?
▪️ Какие проблемы актуальны для бизнеса разного масштаба?
▪️ Что будет, если не отслеживать поверхность атаки?

❗️ Все ответы в нашем бесплатном гайде

Качайте сами и пересылайте пост коллегам ❤️

Мошенники начали использовать цифровой рубль в инвестскаме.
 
▪️ В сети появились ресурсы, предлагающие участие в программе «Цифровой рубль Банка России» для пассивного заработка на финансовом рынке. Цифровой рубль — приманка для классической схемы инвестиционного мошенничества.

▪️Пользователи видят страницу с символикой цифрового рубля и чат-бот с «личным менеджером». Первые сообщения в чат-боте обещают «доход от 100 тыс. руб. с первых дней». Минимальная сумма инвестиций — 10 тыс.

▪️ Под предлогом расчета потенциального дохода и «удобной» суммы вклада требуется ответить на ряд вопросов, после чего на экран выводится сообщение: «Наши специалисты перезвонят вам в ближайшее время». Жертве звонит злоумышленник ака «персональный менеджер» и уговаривает внести «депозит». В результате — потеря денег.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Цифровой рубль — бренд, про который слышали многие, но не все понимают, что он из себя представляет и зачем нужен. Этим и пользуются мошенники.

Все обнаруженные специалистами F6 мошеннические сайты созданы недавно: первый домен зарегистрирован 18 марта, последний — 4 апреля.

😉 Борьба с киберпреступностью

Специалисты F6 помогли отразить кибератаку на сеть фитнес-клубов.

Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных.

🔍 Аномальную активность на одном из серверов Alex Fitness зафиксировал модуль системы F6 MXDR. Первые действия по изоляции устройств и предотвращению развития атаки были предприняты уже через 20 минут после обнаружения вредоносной активности. А оперативный анализ действий злоумышленников позволил выявить и заблокировать инструменты атакующих, оборвав им доступ к инфраструктуре Alex Fitness.

🔍 Характер действий атакующих указывает на то, что за атакой могла стоять группировка Shadow.

➡️ Все детали анализа атаки, ее расследования и отражения — читайте в блоге F6.

‼️ Рекомендуем выделить на это особое время: букв в материале так же много, как и пользы от изучения.

Есть ли шанс избежать неприятностей, если ваши данные уже в руках мошенников? 👀

🤚 В запасе каждого всегда остается «золотой час» — если использовать его рационально, можно минимизировать последствия инцидента.

Вместе с руководителем департамента обучения F6 Светланой Буриковой мы подготовили серию коротких видеоинструкций: как действовать, если стали жертвой мошенников.

➡️ Первый ролик — гайд по неотложным действиям при компрометации банковской карты. Смотреть обязательно!

Как устроен криминальный бизнес в даркнете?

😎 Теневой рынок — сложная и многоуровневая паутина, соединяющая между собой представителей совершенно разных киберпреступных группировок. Ориентироваться в андеграунде сложно, но для Лады Крюковой, руководителя отдела исследования и мониторинга андеграунда департамента Threat Intelligence F6, нет секретов и белых пятен.

➡️ Где находятся теневые рынки, какие направления доминируют в андеграунде и как противодействовать киберугрозам — читайте в интервью для Cyber Media.

Графовый анализ лежит в основе Fraud Protection от F6. Объясняем, что это такое и зачем нужно.

👍 В чем польза графового анализа?
Традиционные системы защиты, основанные на правилах, ручных проверках и статической логике, теряют эффективность. Графовый анализ связей — это инструмент, выявляющий структуру мошенничества: взаимодействие между участниками операций, цифровыми следами, техническими параметрами и каналами. Он обеспечивает проактивную защиту: демонстрирует скрытые зависимости и прогнозирует действия атакующих.

🔍 Как он работает внутри Fraud Protection F6?
Граф строится не внутри одного заказчика, но и на основе Global ID — уникальной модели, объединяющей сигналы из разных систем и сегментов и формирующей единое пространство анализа. Кросс-отраслевой граф позволяет фиксировать активность мошенников, перемещающихся между сервисами и компаниями, и выявлять организованные схемы на ранней стадии.

Собрали 10 сценариев, в которых граф показывает результат, а другие системы не справляются.

Потрачено 😧 «Моды» из Telegram для Minecraft и Roblox содержат ВПО, выяснили аналитики F6.
 
▪️ Атака направлена на устройства на базе Android. Боты предлагают пользователям скачать игровые моды и приложения. Для продвижения злоумышленники создают Telegram-каналы, посвященные Roblox, Minecraft, Brawl Stars, Subway Surfers, Standoff 2 и др.

Разбираем, как работает схема, на примере канала «Роблокс Моды» (245+ тыс. подписчиков) ⬇️

Игрокам предлагают скачать моды «полет», «высокий прыжок», «ходьба сквозь стены». Пройдя по ссылке, пользователь попадает в бот, где его просят подписаться на несколько Telegram-каналов, а потом — скачать apk-файл. В приложении по ссылке спрятано ВПО, в том числе Android-трояны, которые могут украсть данные аккаунтов, а также выполнять удаленные команды и менять настройки устройства.

❗️ За месяц вредоносный бот посетили 570+ тыс. пользователей. Специалисты Digital Risk Protection F6 направили заявку на его блокировку в техподдержку Telegram.

😉 Борьба с киберпреступностью