Атаки на видеопамять Nvidia, $21 млрд убытков от киберпреступлений и защита Chrome на уровне чипа: дайджест кибербезопасности

Прошедшая неделя ознаменовалась серией значимых событий в сфере кибербезопасности: от рекордных убытков в отчёте ФБР до новых техник взлома графических процессоров Nvidia. Параллельно Google усилила защиту браузера Chrome, а в Украине ликвидировали группу криптомошенников.

ФБР: ущерб от киберпреступлений достиг $21 млрд

Согласно годовому отчёту ФБР за 2025 год, граждане США лишились порядка $21 млрд из-за действий киберпреступников. Показатель увеличился на 26% относительно 2024 года.

Наиболее массовыми категориями жалоб стали:

• Фишинг — 191 000 случаев;
• Вымогательство — 89 000 случаев;
• Инвестиционные схемы — 72 000 случаев.

Инвестиционное мошенничество составило 49% всех зарегистрированных инцидентов с убытками на $8,6 млрд. Однако самый крупный урон связан с криптовалютами: потери превысили $11 млрд при 181 565 обращениях.

Среди ключевых выводов отчёта:

• Кибермошенничество фигурировало в 453 000 жалобах и привело к $17,7 млрд убытков;
• Американцы старше 60 лет понесли наибольшие потери — $7,7 млрд (рост 37% за год);
• Впервые в отчёт вошли мошенничества с применением ИИ (клонирование голоса, дипфейки, поддельные профили и документы): 22 300 жалоб и $893 млн ущерба.

Почему это важно

Рост потерь от киберпреступлений на четверть за год и первое появление в статистике ФБР ИИ-мошенничества сигнализируют об ускоряющейся эволюции угроз. Для криптоиндустрии цифра в $11 млрд убытков подчёркивает масштаб проблемы — это более половины от общего ущерба. Одновременно внедрение аппаратной защиты в Chrome и обнаружение новых векторов атак на GPU указывают на продолжающуюся гонку вооружений между защитниками и злоумышленниками.

Chrome 146: аппаратная защита от кражи cookie

Google представила технологию Device Bound Session Credentials (DBSC) в Chrome 146 для Windows. Решение направлено против инфостилеров — вредоносных программ, похищающих cookie-файлы сессий для несанкционированного доступа к аккаунтам.

Такие стилеры, как GlassWorm и LummaC2, научились эффективно извлекать сессионные токены из памяти или локальных файлов браузера. DBSC решает проблему путём криптографической привязки сессии к аппаратному модулю безопасности устройства:

• На Windows — к Trusted Platform Module (TPM);
• На macOS — к Secure Enclave.

Принцип работы: защитный чип генерирует уникальную пару ключей, причём закрытый ключ невозможно экспортировать за пределы устройства. Для получения краткосрочных сессионных cookie браузер обязан подтвердить серверу владение закрытым ключом. Даже если злоумышленник перехватит cookie, без аппаратного ключа сервер отклонит сессию. Поддержка macOS ожидается в одном из будущих обновлений.

Украинская полиция раскрыла схему с криптодрейнерами

Киберполиция Украины ликвидировала группировку, похищавшую криптоактивы под видом «сопровождения в трейдинге». Мошенники находили жертв в тематических Telegram-каналах и направляли их на поддельные торговые платформы, содержавшие криптодрейнеры.

После подключения кошелька к фальшивому сайту пользователи фактически передавали полный контроль над средствами. В одном эпизоде злоумышленники завладели ~95 000 USDT, в другом — более 1000 USDT. Похищенные средства переводились между кошельками, конвертировались в другие активы и обналичивались.

Правоохранители провели 20 одновременных обысков, изъяли технику, денежные средства и документальные подтверждения незаконной деятельности. Четырём участникам, включая соорганизатора, предъявлены подозрения в мошенничестве в особо крупных размерах и отмывании доходов. Им грозит до 12 лет лишения свободы с конфискацией имущества.

Три новых атаки на видеопамять Nvidia

Три независимые исследовательские группы представили новые варианты атак типа Rowhammer, нацеленных на видеопамять GDDR6 в картах Nvidia:

• GDDRHammer — эффективна против RTX 6000 (архитектура Ampere). Благодаря новым паттернам «простукивания» удалось достичь в среднем 129 «переворачиваний битов» на банк памяти — в 64 раза больше, чем у предшественника GPUHammer. Атака открывает путь к доступу к CPU;
• GeForge — манипулирует директорией страниц памяти. Исследователи зафиксировали 1171 bit flip на RTX 3060 и 202 на RTX 6000. Это первый GPU-Rowhammer, позволяющий повысить привилегии до root;
• GPUBreach — заставляет драйвер с привилегиями ядра выполнить запись out-of-bounds. Демонстрация проводилась на RTX A6000 — модели, активно используемой для обучения ИИ.

Команда из Торонто уведомила инженеров Nvidia, Google, AWS и Microsoft ещё в ноябре 2025 года. Google выплатила исследователям $600 по программе баг-баунти. Nvidia сообщила о возможном обновлении прошлогоднего бюллетеня безопасности, связанного с GPUHammer.

Уязвимость максимального уровня в ИИ-платформе Flowise

Хакеры приступили к активной эксплуатации критической уязвимости в Flowise — инструменте для создания приложений на базе больших языковых моделей. Об этом сообщила эксперт VulnCheck Кейтлин Кондон.

Брешь позволяет выполнять JavaScript-код без проверок безопасности. Проблема локализована в узле CustomMCP, отвечающем за подключение к внешним серверам. Уязвимость публично раскрыли в сентябре 2025 года с предупреждением о возможности выполнения произвольных команд и доступа к файловой системе.

На момент обнаружения вредоносная активность исходила с одного IP-адреса Starlink. В сети функционирует от 12 000 до 15 000 экземпляров Flowise, и доля уязвимых инстансов пока не определена. Кондон рекомендовала обновить софт до версии 3.1.1 (или минимум 3.0.6) и при возможности отключить инстансы от интернета.

Фишинговые SMS с QR-кодом маскируются под судебные уведомления

В США зафиксирована новая волна фишинга через SMS: мошенники рассылают поддельные уведомления о штрафах за нарушение ПДД, выдавая себя за суды различных штатов, сообщает BleepingComputer.

В отличие от предыдущих кампаний с обычными ссылками, злоумышленники вложили изображение «судебного уведомления» с QR-кодом. Получателей запугивали немедленной оплатой штрафа в $6,99 за парковку или проезд по платной дороге, грозя вызовом в суд. Одно из сообщений было выслано якобы от «Уголовного суда города Нью-Йорк».

Сканирование QR-кода вело на промежуточную страницу с капчей — для обхода автоматизированных систем безопасности. Далее пользователь попадал на фальшивый портал, имитирующий сайт Департамента транспортных средств, где требовалось ввести личные данные и реквизиты банковской карты.