#news Специалисты отмечают рост числа фишинговых кампаний, в которых сочетаются услуги обратного туннелирования и сокращения URL-адресов. Сервисы обратного туннеля, которые чаще всего злоупотребляют, — это Ngrok, LocalhostRun и Argo от Cloudflare. Отмечается и более широкое распространение сервисов сокращения URL-адресов Bit.ly, is.gd и cutt.ly. Службы обратного туннеля защищают фишинговый сайт, обрабатывая все соединения с локальным сервером, на котором он размещен. Таким образом, любое входящее соединение разрешается службой туннеля и перенаправляется на локальный компьютер. Используя сокращатели URL-адресов, субъект угрозы маскирует имя URL-адреса, которое обычно представляет собой строку случайных символов. Таким образом, доменное имя, вызывающее подозрения, скрыто в коротком URL-адресе.
@tomhunter
@tomhunter
🔥6
#news Вновь к новостям из мира надвигающегося киберпанка. Про Коста-Рику все наслышаны, а теперь в городе Палермо в Италии вырубили все компьютерные системы после атаки. Почти полтора миллиона населения, между прочим.
Уже три дня отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить.
Подробности пока неизвестны, но спецы предполагают, что это рансомварь-атака, а не DDoS, обещанный пророссийской Killnet. Если злоумышленники стянули и данные, масштабы утечки могут быть серьёзными. А пока жителям города приходится сдувать пыль с факсов, чтобы связаться с госслужбами.
@tomhunter
Уже три дня отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить.
Подробности пока неизвестны, но спецы предполагают, что это рансомварь-атака, а не DDoS, обещанный пророссийской Killnet. Если злоумышленники стянули и данные, масштабы утечки могут быть серьёзными. А пока жителям города приходится сдувать пыль с факсов, чтобы связаться с госслужбами.
@tomhunter
😱7🔥3🤬2
#news За эксплойт Follina, критической уязвимости в Microsoft Office, активно взялись китайские хакеры.
По госслужащим США и Европы идёт рассылка писем с заманчивым предложением увеличить размер зарплаты на 20% уже к выходным. Подробности в приложенном файле. А в нём шпионский зловред, тянущий инфу и пароли чуть ли не со всех известных браузеров и всевозможного софта. Масштабы сбора информации как бы намекают, что за этим стоят китайцы, да и в эксплойте уязвимости они уже засветились.
Между тем патча от Мелкософта всё нет, доступны только неофициальные от 0patch, выложенные ещё первого июня. Впрочем, ждать от госструктур достаточного авантюризма для их применения не приходится. Может, хоть MSDT-протокол не поленились отключить.
@tomhunter
По госслужащим США и Европы идёт рассылка писем с заманчивым предложением увеличить размер зарплаты на 20% уже к выходным. Подробности в приложенном файле. А в нём шпионский зловред, тянущий инфу и пароли чуть ли не со всех известных браузеров и всевозможного софта. Масштабы сбора информации как бы намекают, что за этим стоят китайцы, да и в эксплойте уязвимости они уже засветились.
Между тем патча от Мелкософта всё нет, доступны только неофициальные от 0patch, выложенные ещё первого июня. Впрочем, ждать от госструктур достаточного авантюризма для их применения не приходится. Может, хоть MSDT-протокол не поленились отключить.
@tomhunter
🔥7😱2🤯1
Всем привет! Время для нашего традиционного дайджеста самых громких событий информационной безопасности за последний месяц весны. В программе массовые утечки данных крупных компаний в России, крах криптовалюты Luna, злоключения Коста-Рики после атак Conti по следам их распада и многое другое. Добро пожаловать под кат и приятного чтения!
🔥5
#news Авторы неофициального патча для Follina выкатили ещё один, исправляющий другую уязвимость нулевого дня в MSDT.
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
🔥10😱1
#news Новая малварь под Linux заражает все процессы в системе. Вместо экзешника вредонос загружается через разделяемую библиотеку, закинутую в LD_PRELOAD для повышения приоритета.
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
🔥6😁2🤯1😱1
#news Взломанные версии CCleaner’a, набитые вредоносом, всплывают в топе выдачи поисковиков.
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
🤔9🔥6❤2💩2😁1
#OSINT Новая статья вышла у меня на Хабре. В ней мы поговорим о том, какую информацию можно получить с веб-ресурса для последующего использования в OSINT. Полезная информация и методики помогут определить «на глазок» благонадежность того или иного сайта. Приятного чтения!
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
🔥7❤4😢1
#news Агрегаторы Sabre и Travelport еженедельно сообщали спецслужбам США о перемещениях русского хакера, проходившего подозреваемым по делу сайта Cardplanet, в 2015-м году.
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
🤯5🔥2😢2🤬1
#news Злоумышленники используют оригинальный метод продажи декриптора. Покупать его нужно в игровом магазине Roblox за местную валюту.
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
❤4😱4
#news Исследователи провели полевой эксперимент, зафиксировав сотни тысяч тестовых запросов на подключение к Wi-Fi от прохожих, чтобы определить тип данных, передаваемых без ведома владельцев устройств. Ранее считалось, что мобильные устройства передают так только анонимные MAC-адреса, что считается совместимым с GDPR. В результате исследования оказалось, что в 23,2% запросы передавали SSID сетей, к которым устройства подключались в прошлом. В захваченных SSID исследователи обнаружили строки, соответствующие сетям Wi-Fi магазинов, 106 различных имен, три адреса электронной почты и 92 дома отдыха или жилья, ранее добавленные в качестве надежных сетей.
@tomhunter
@tomhunter
🔥8🤯2😱2
#news В пакеты Python pyanxdns, api-res-py и keep затесалась крадущая пароли малварь.
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
🔥6🤬2
#news Исследователи из MIT нашли RCE-уязвимость в Маках на процессоре M1.
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной, смело покупайте новые М2-макбуки. Но что-то мне подсказывает, что следующий яблочный «нулевой день» рискует очень органично выстроиться с Пакманом в цепочку…
@tomhunter
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной
@tomhunter
❤4🔥3🤯3
#news Цифровые отпечатки Bluetooth позволяют достаточно точно отслеживать устройства.
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
🔥6😱2
#news Cloudflare сообщил о рекордной HTTPS DDoS-атаке по одному из своих клиентов. 26 миллионов запросов в секунду.
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
🔥6🤬1
#news В этот четверг, 16 июня, в 20:00 (по МСК) поговорим про инструменты и ловушки используемые кибердетективами с ребятами из @tomhunter которые, собственно и используют их на практике.
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
❤7
#news Хотите свежих оригинальных новостей? Очень жаль. Ведь эта про очередной слив от Яндекса.
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
😁6🔥2
#news Сервис Travis CI вновь засветил десятки тысяч токенов для доступа к GitHub, AWS и Docker.
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
🔥9😁5
#news В ходе спецоперации First Light 2022, Интерпол конфисковал 50 миллионов долларов и арестовал 2000 социальных инженеров... Операция проводилась при содействии полиции 76 стран и была сосредоточена на преступлениях социальной инженерии, включая телефонный обман, мошенничество в романтических отношениях, мошенничество с компрометацией деловой электронной почты (BEC) и связанное с этим отмывание денег. Среди ярких случаев, представленных Интерполом, - гражданин Китая, который обманул 24 000 жертв на сумму 35 700 000 долларов, и фальшивое дело о похищении, по которому от родителей жертвы требовалось выплатить 1 575 000 долларов.
@tomhunter
@tomhunter
🔥7😁1🤯1
#news Facebook собирает личные данные на сайтах больниц в США. Трекеры Meta Pixel стоят на трети сайтов крупнейших клиник.
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
🤯11🤬6😁3💩2