Седмичен Киберсигурност БюлетинDTGarage · Тони Ангелчовски · Февруари 2026
СЪДЪРЖАНИЕ01 ·
Стоманодобивна компания — 5 дни хаос след ransomware02 ·
Luna Moth — 4 минути от достъп до кражба на данни03 ·
ResidentBat — беларуски KGB шпионира журналисти чрез Android04 ·
ClickFix атаки срещу Mac потребители чрез фалшиви реклами05 ·
Chrome разширения срутват браузъра като капан06 ·
80%+ от корпоративните мрежи — уязвими към WinRAR експлойт07 ·
LockBit ransomware чрез Apache ActiveMQ08 ·
Севернокорейски хакери чрез Microsoft Teams срещи09 ·
Фишинг вълна — представя се за Bitpanda10 ·
1Campaign — платена услуга за злонамерени Google реклами
№ 1 — RANSOMWARE № 1 — Стоманодобивна компания: 5 дни хаос след ransomwareКатегория: Ransomware · Критична инфраструктура
КритичноВодеща стоманодобивна компания претърпя мащабна ransomware атака, довела до пет дни пълна оперативна парализа. Производственото оборудване, логистичните системи и вътрешните комуникации бяха напълно блокирани.
Засегнати бяха над 200 производствени обекта в няколко континента. Финансовата щета се изчислява на стотици милиони евро — включително преки загуби от спряно производство, разходи за реагиране на инцидента и репутационни щети.
Основна уязвимост: Атаката е станала възможна заради незакърпена уязвимост в VPN системата — известна от месеци. Patch management пропуските са сред топ причините за успешни атаки срещу критична инфраструктура.
Какво да направите: Прилагайте security patch-ове в рамките на 72 часа след публикуването им — особено за VPN, firewall и публично достъпни системи. Критичната инфраструктура е основна мишена. № 2 — СКОРОСТ НА АТАКАТА № 2 — Luna Moth: 4 минути от достъп до кражба на данниКатегория: Data Theft · Социално инженерство
КритичноГрупата Luna Moth атакува адвокатска кантора и за само 4 минути премина от първоначалния достъп до кражба на данни. Основната причина: нападателите използват откраднати легитимни credentials, за да се „слеят" с нормалния трафик.
AI в ръцете на нападателите: Групи като Fancy Bear, Akira и Blind Eagle активно използват AI за автоматизиране и ускоряване на атаките си. Регистрирано е 89% увеличение на AI-подпомогнатите атаки спрямо 2024 г.
Какво да направите: Внедрете MFA (многофакторна автентикация) навсякъде. Откраднати пароли без MFA дават мигновен достъп. Настройте alerts за необичайни входове в системата. № 3 — SPYWARE № 3 — ResidentBat: Беларуски KGB шпионира журналисти чрез AndroidКатегория: Шпионски софтуер · Android
ВисокResidentBat е Android шпионски имплант, използван от беларуските власти за наблюдение на журналисти и граждански активисти. Въпреки че е документиран за пръв път в края на 2025 г., изследователите от Censys установяват, че зловредният код датира от 2021 г.
Какво краде ResidentBat:
Записи от обаждания · Микрофонни записи · SMS съобщения · Трафик от криптирани месинджъри · Екранни снимки · Локално съхранени файлове
Инфраструктурата на ResidentBat е разпределена в Европа: Нидерландия (5 сървъра), Германия (2), Швейцария (2) и Русия (1). Комуникацията с командния сървър използва тесен диапазон от портове (7000–7257), което улеснява засичането.
Какво да направите: Ако сте активист, журналист или работите в чувствителна сфера — използвайте само официални магазини за приложения, редовно проверявайте разрешенията на инсталираните апликации. № 4 — CLICKFIX / macOS № 4 — ClickFix атаки срещу Mac потребители чрез фалшиви рекламиКатегория: Malvertising · macOS
ВисокАктивна кампания с над 200 злонамерени реклами в Google таргетира Mac потребители, търсещи популярен безплатен софтуер: Homebrew, 7-Zip, Notepad++, LibreOffice и Final Cut Pro. Рекламите идват от поне 35 хакнати рекламодателски акаунти от множество държави.
Как работи ClickFix: Потребителят е пренасочен към фалшива страница, която показва фиктивна грешка или CAPTCHA и го инструктира да „поправи проблема" чрез копиране и поставяне на команда в Terminal — след което се инсталира крадецът на данни MacSync.
Тактиката е особено ефективна, защото жертвата сама изпълнява зловредния код, заобикаляйки много защитни механизми. Според данни на ReliaQuest, ClickFix е отговорен за доставянето на 59% от топ малуер семействата при атаки чрез социално инженерство.
Какво да направите: Никога не копирайте и поставяйте команди в Terminal от уебсайтове, дори ако изглеждат легитимни. Изтегляйте софтуер само от официалните сайтове на разработчиците. № 5 — CHROME РАЗШИРЕНИЯ № 5 — Chrome разширения умишлено срутват браузъра и го използват като капанКатегория: Злонамерени разширения · Chrome
ВисокДве нови Google Chrome разширения — Pixel Shield - Block Ads и PageGuard - Phishing Protection — следват тактиката CrashFix: умишлено предизвикват срив на браузъра, а след това подлъгват потребителя да изпълни злонамерена команда, точно като при ClickFix атаките.
Хитрата техника: Разширенията наистина работят и предлагат рекламираните функции! Срутването се задейства само когато командният сървър (C2) изпрати push нотификация с определена стойност. Така атакуващите имат дистанционен контрол кога точно да ударят.
Вместо предишния метод с милиард повиквания, новите варианти използват „Promise Bomb" — заливат системата за предаване на съобщения с милиони неразрешими promises, причинявайки срив.
Какво да направите: Проверете разширенията си в Chrome. Деинсталирайте всичко, което не е от проверени и известни разработчици. Дори „полезни" разширения могат да са троянски коне. № 6 — WINRAR № 6 — 80%+ от корпоративните мрежи са уязвими към WinRAR експлойтКатегория: CVE-2025-8088 · Неактуализиран софтуер
КритичноCybersecurity компанията Stairwell установи, че над 80% от мрежите, които мониторира, използват версии на WinRAR, уязвими към CVE-2025-8088 — активно експлоатирана уязвимост от криминални и шпионски групи.
Защо толкова много незакърпени системи? WinRAR е доверена програма, използвана с години. Организациите рядко приоритизират актуализациите на „стари, добре работещи" програми. Точно на това разчитат нападателите.
Какво да направите: Актуализирайте WinRAR незабавно до последната версия. Помолете IT администратора на вашата организация да провери и корпоративните компютри. № 7 — LOCKBIT № 7 — LockBit ransomware чрез Apache ActiveMQ — и се завръща след изгонванеКатегория: Ransomware · CVE-2023-46604
КритичноНападатели активно експлоатират вече закърпена уязвимост в Apache ActiveMQ сървъри (CVE-2023-46604) за разпространение на LockBit ransomware. Особено тревожното: след като са прогонени, те успяват да се върнат на същия сървър само 18 дни по-късно.
Последователност на атаката:
Компрометиране на ActiveMQ → Metasploit за post-exploitation → Извличане на credentials от LSASS → Страничен достъп в мрежата → При второ проникване — незабавно разгръщане на LockBit чрез RDP с откраднатите пароли.
Предполага се, че използваният LockBit е построен от изтекъл публичен builder от 2023 г., което означава, че дори не е нужно нападателите да са свързани с оригиналната група.
Какво да направите: Закърпете Apache ActiveMQ незабавно. След инцидент — сменете всички пароли, не само за засегнатите системи. Атакуващите запазват откраднатите credentials за повторна употреба. № 8 — TEAMS / СЕВЕРНА КОРЕЯ № 8 — Севернокорейски хакери инсталират macOS малуер чрез Microsoft Teams срещиКатегория: Социално инженерство · macOS · Северна Корея
ВисокКампанията GhostCall, свързана с севернокорейски заплашващи актьори, използва Microsoft Teams срещи за разпространение на macOS малуер. Атакуващите организират „бизнес разговори", а по време на срещата твърдят, че имат проблеми с аудиото.
Сценарий на атаката:
„Имам проблем с микрофона — можеш ли да отвориш Terminal и да изпълниш тази команда за диагностика?"
→ Жертвата изпълнява командата
→ Изтегля се и се изпълнява злонамерен бинарен файл
→ Достъп до Keychain (пароли), файловата система и изходящи connection-и към контролни домейни.
Какво да направите: Никога не изпълнявайте терминални команди, поискани от непознат по видео конференция. Легитимните IT специалисти не искат това. Бъдете особено внимателни при „job offer" срещи. № 9 — ФИШИНГ № 9 — Фишинг вълна се представя за криптоборсата BitpandaКатегория: Фишинг · Криптовалути
СреденМасивна фишинг кампания имитира криптоборсата Bitpanda и убеждава потребителите да „потвърдят данните си" под заплахата от блокиране на акаунта. Имейлите изглеждат убедително легитимни и симулират многофакторен процес на верификация.
Пълно им на потребителя · Email адрес · Парола · Местоположение · Лична идентификация
Какво да направите: Никога не кликайте на линкове в имейли за „верификация на акаунт". Отидете директно на официалния сайт като напишете адреса в браузъра. Активирайте 2FA на всички крипто акаунти. № 10 — ЗЛОНАМЕРЕНИ РЕКЛАМИ № 10 — 1Campaign: Платена услуга помага на злонамерени реклами да избегнат Google сканиранеКатегория: Malvertising · Платформа за измами
ВисокКомпанията Varonis откри нова cybercrime услуга наречена 1Campaign, която позволява на нападателите да пускат злонамерени Google реклами за продължително време, докато избягват засичане. Разработена е и поддържана от заплашващ актьор с псевдоним DuppyMeister вече над три години.
Реалновременно филтриране на посетители · Оценка на риска от засичане · Географско таргетиране · Автоматично блокиране на изследователи по сигурността.
Трафикът е разпределен в САЩ, Канада, Нидерландия, Китай и Германия.
Какво да направите: Използвайте AdBlock или uBlock Origin. Бъдете скептични дори към рекламирани резултати в търсачки — особено при изтегляне на известен безплатен софтуер.
Основни изводи и препоръки за тази седмицаТенденцията е ясна: атаките стават по-бързи, по-автоматизирани и все по-трудно забележими, защото използват легитимни инструменти и потребителско доверие.
Ето конкретните стъпки, които можете да предприемете сега:
- Актуализирайте WinRAR до последната версия — над 80% от системите са незакърпени
- Активирайте MFA навсякъде — паролите сами по себе си вече не са достатъчни
- Проверете Chrome разширенията — деинсталирайте всичко непроверено
- Не изпълнявайте терминални команди от непознати — нито в имейли, нито в Teams срещи
- Закърпете Apache ActiveMQ ако го ползвате — активно се експлоатира
- Изтегляйте софтуер само от официални сайтове — не чрез Google реклами
- При инцидент: сменете всички пароли — нападателите запазват откраднатите credentials за повторна употреба
Написано от Тони Ангелчовски за DTGarage.eu Forums
Базирано на данни от The Hacker News, CrowdStrike, ReliaQuest, Bitdefender, Stairwell и др. | Февруари 2026
Имате въпроси или добавки? Коментирайте по-долу! 
Автор: Тони Ангелчовски | Ексклузивно за DTGaraGe Копирането без разрешение не е позволено