#news Атаки BitB вызывают все большее беспокойство... BitB (браузер в браузере) — это новый метод фишинга, который копирует всплывающие окна, используемые для единого входа, с целью кражи учетных данных для входа. Атака использует комбинацию HTML и CSS для имитации поддельного дизайна браузера в браузере, который неотличим от настоящей страницы авторизации. Атаки BitB особенно опасны, поскольку они могут предоставить жертве законный URL-адрес на фишинговом сайте.
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
🔥7😁1💩1
#news Федор Ряузов и Саид Табаев выступили в панельной дискуссии о кибербуллинге и кибершантаже и поделились своими впечатлениями. По их словам, ожидали, что будет «лебедь, рак, да щука» в силу разницы направлений спикеров. Однако, по результатам спикеры пришли к общему консенсусу. Радует также, что разговор был интенсивным и разноплановым, и сам факт того, что такие современные темы и острые вопросы были затронуты — это шаг в правильном направлении.
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
❤8
#news Занятные подробности по краху крипты Luna. Сетевой валидатор THORmaximalist слил скрины переписки руководителей сети. И судя по ним, в день падения валюты с Луны на Землю те вообще не понимали, что происходит и что с этим делать.
Хаос там творился такой, что валидаторы банально не знали последовательность запуска сети после её временной остановки 12 мая и не могли понять, готова ли она к повторному запуску. Что уж говорить об удержании Luna от неконтролируемого схода с орбиты.
Сам же До Квон, как пишут южнокорейские СМИ, незадолго до краха своего крипто-МММ ликвидировал офисы и распустил корпорацию Terraform Labs. Что ж, очевидно, с коллегами по цифровой пирамиде инсайтами финансовый гений поделиться забыл.
@tomhunter
Хаос там творился такой, что валидаторы банально не знали последовательность запуска сети после её временной остановки 12 мая и не могли понять, готова ли она к повторному запуску. Что уж говорить об удержании Luna от неконтролируемого схода с орбиты.
Сам же До Квон, как пишут южнокорейские СМИ, незадолго до краха своего крипто-МММ ликвидировал офисы и распустил корпорацию Terraform Labs. Что ж, очевидно, с коллегами по цифровой пирамиде инсайтами финансовый гений поделиться забыл.
@tomhunter
😁14💩1
#news Тем временем Федеральная торговая комиссия США сообщает, что за прошедший год американцы потеряли на криптовалютном мошенничестве $1.6 миллиарда долларов.
С прошлогоднего отчёта сумма выросла в семь раз, и четверть всех денег, уходивших мошенникам в целом, была в крипте. И более половины жертв лишились средств, купившись на объявления, посты и сообщения в соцсетях.
Ожидаемо, правят бал инвестиционные мошенничества — больше трети суммы. Комиссия рекомендует избегать предложений с обещаниями гарантированных и солидных дивидендов. После этих слов в лунном шаттле 2.0 начался сущий кошмар…
@tomhunter
С прошлогоднего отчёта сумма выросла в семь раз, и четверть всех денег, уходивших мошенникам в целом, была в крипте. И более половины жертв лишились средств, купившись на объявления, посты и сообщения в соцсетях.
Ожидаемо, правят бал инвестиционные мошенничества — больше трети суммы. Комиссия рекомендует избегать предложений с обещаниями гарантированных и солидных дивидендов. После этих слов в лунном шаттле 2.0 начался сущий кошмар…
@tomhunter
🔥6🤔1
#news В первом квартале 2022 года общее число жертв программ-вымогателей сократилось на 40%: с 982 в четвертом квартале 2021 года до 698. Отчасти это произошло из-за постепенного упадка и возможного исхода Conti, а также из-за того, что новые группы не производили таких же объемов атак. Лидером за этот период является LockBit, заразивший 226 жертв, почти столько же, сколько и в предыдущем квартале. США возглавили список наиболее целевых стран с 40%, за ними следуют Великобритания, Италия, Германия и Канада. Франция, которая ранее входила в первую пятерку, в последние месяцы не подвергалась такой атаке.
@tomhunter
@tomhunter
🔥5
#news Специалисты отмечают рост числа фишинговых кампаний, в которых сочетаются услуги обратного туннелирования и сокращения URL-адресов. Сервисы обратного туннеля, которые чаще всего злоупотребляют, — это Ngrok, LocalhostRun и Argo от Cloudflare. Отмечается и более широкое распространение сервисов сокращения URL-адресов Bit.ly, is.gd и cutt.ly. Службы обратного туннеля защищают фишинговый сайт, обрабатывая все соединения с локальным сервером, на котором он размещен. Таким образом, любое входящее соединение разрешается службой туннеля и перенаправляется на локальный компьютер. Используя сокращатели URL-адресов, субъект угрозы маскирует имя URL-адреса, которое обычно представляет собой строку случайных символов. Таким образом, доменное имя, вызывающее подозрения, скрыто в коротком URL-адресе.
@tomhunter
@tomhunter
🔥6
#news Вновь к новостям из мира надвигающегося киберпанка. Про Коста-Рику все наслышаны, а теперь в городе Палермо в Италии вырубили все компьютерные системы после атаки. Почти полтора миллиона населения, между прочим.
Уже три дня отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить.
Подробности пока неизвестны, но спецы предполагают, что это рансомварь-атака, а не DDoS, обещанный пророссийской Killnet. Если злоумышленники стянули и данные, масштабы утечки могут быть серьёзными. А пока жителям города приходится сдувать пыль с факсов, чтобы связаться с госслужбами.
@tomhunter
Уже три дня отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить.
Подробности пока неизвестны, но спецы предполагают, что это рансомварь-атака, а не DDoS, обещанный пророссийской Killnet. Если злоумышленники стянули и данные, масштабы утечки могут быть серьёзными. А пока жителям города приходится сдувать пыль с факсов, чтобы связаться с госслужбами.
@tomhunter
😱7🔥3🤬2
#news За эксплойт Follina, критической уязвимости в Microsoft Office, активно взялись китайские хакеры.
По госслужащим США и Европы идёт рассылка писем с заманчивым предложением увеличить размер зарплаты на 20% уже к выходным. Подробности в приложенном файле. А в нём шпионский зловред, тянущий инфу и пароли чуть ли не со всех известных браузеров и всевозможного софта. Масштабы сбора информации как бы намекают, что за этим стоят китайцы, да и в эксплойте уязвимости они уже засветились.
Между тем патча от Мелкософта всё нет, доступны только неофициальные от 0patch, выложенные ещё первого июня. Впрочем, ждать от госструктур достаточного авантюризма для их применения не приходится. Может, хоть MSDT-протокол не поленились отключить.
@tomhunter
По госслужащим США и Европы идёт рассылка писем с заманчивым предложением увеличить размер зарплаты на 20% уже к выходным. Подробности в приложенном файле. А в нём шпионский зловред, тянущий инфу и пароли чуть ли не со всех известных браузеров и всевозможного софта. Масштабы сбора информации как бы намекают, что за этим стоят китайцы, да и в эксплойте уязвимости они уже засветились.
Между тем патча от Мелкософта всё нет, доступны только неофициальные от 0patch, выложенные ещё первого июня. Впрочем, ждать от госструктур достаточного авантюризма для их применения не приходится. Может, хоть MSDT-протокол не поленились отключить.
@tomhunter
🔥7😱2🤯1
Всем привет! Время для нашего традиционного дайджеста самых громких событий информационной безопасности за последний месяц весны. В программе массовые утечки данных крупных компаний в России, крах криптовалюты Luna, злоключения Коста-Рики после атак Conti по следам их распада и многое другое. Добро пожаловать под кат и приятного чтения!
🔥5
#news Авторы неофициального патча для Follina выкатили ещё один, исправляющий другую уязвимость нулевого дня в MSDT.
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
🔥10😱1
#news Новая малварь под Linux заражает все процессы в системе. Вместо экзешника вредонос загружается через разделяемую библиотеку, закинутую в LD_PRELOAD для повышения приоритета.
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
🔥6😁2🤯1😱1
#news Взломанные версии CCleaner’a, набитые вредоносом, всплывают в топе выдачи поисковиков.
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
🤔9🔥6❤2💩2😁1
#OSINT Новая статья вышла у меня на Хабре. В ней мы поговорим о том, какую информацию можно получить с веб-ресурса для последующего использования в OSINT. Полезная информация и методики помогут определить «на глазок» благонадежность того или иного сайта. Приятного чтения!
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
🔥7❤4😢1
#news Агрегаторы Sabre и Travelport еженедельно сообщали спецслужбам США о перемещениях русского хакера, проходившего подозреваемым по делу сайта Cardplanet, в 2015-м году.
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
🤯5🔥2😢2🤬1
#news Злоумышленники используют оригинальный метод продажи декриптора. Покупать его нужно в игровом магазине Roblox за местную валюту.
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
❤4😱4
#news Исследователи провели полевой эксперимент, зафиксировав сотни тысяч тестовых запросов на подключение к Wi-Fi от прохожих, чтобы определить тип данных, передаваемых без ведома владельцев устройств. Ранее считалось, что мобильные устройства передают так только анонимные MAC-адреса, что считается совместимым с GDPR. В результате исследования оказалось, что в 23,2% запросы передавали SSID сетей, к которым устройства подключались в прошлом. В захваченных SSID исследователи обнаружили строки, соответствующие сетям Wi-Fi магазинов, 106 различных имен, три адреса электронной почты и 92 дома отдыха или жилья, ранее добавленные в качестве надежных сетей.
@tomhunter
@tomhunter
🔥8🤯2😱2