#news У банка в ОАЭ украли $35 миллионов с помощью дипвойс-фейка. Мошенник подделал голос директора крупной компании, позвонил в банк и рассказал сотруднику, что его компания планирует крупную сделку, поэтому нужно перевести деньги на её новые счета. Ещё мошенники скинули ему электронных писем от «директора» про сделку. Банковский менеджер ничего не заподозрил — голос директора тот же, что и всегда, письма солидно выглядят — и перевёл деньги, куда попросили.
В интересные времена живём.
@tomhunter
В интересные времена живём.
@tomhunter
#news Группировка Desorden взломала индийские серверы Acer и похитила с них 60 гигабайт различных данных. Это финансовые и корпоративные документы, плюс данные миллионов клиентов, продавцов и дистрибьюторов. Теперь эти данные продаются.
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
#news Новая фишинговая кампания, получившая название MirrorBlast, использует документы Excel. Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI, представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart. Важно отметить, что разработчики MirrorBlast приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
@tomhunter
@tomhunter
#news VirusTotal опубликовали масштабный отчёт по вирусам-вымогателям за 2020 и первую половину 2021.
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
#news Большая часть компаний и организаций Нидерландов, задействованных в критически важной инфраструктуре, излишне уязвима для хакеров и киберпреступников. Сорок три из сотни опрошенных компаний не смогли оптимально защитить свою систему электронной почты от фишинга, спуфинга и программ-вымогателей. К ним относятся банки, производители энергии и компании по производству питьевой воды.
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
#news Возвращаемся к любимой теме! ЕС сейчас расследует Apple в рамках антимонопольного дела: нехорошо, что Яблоко разрешает скачивать приложения только из своего магазина.
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U):
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
AdSense: Pub- или ca-pub
Analytics: UA-
Amazon: &tag=
AddThis: #pubid / pubid
Metrika: mc.yandex / ym
Rambler: top100Сервисы поиска рекламных идентификаторов:
Mail.ru: Top.Mail.Ru
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
#news 13-14 октября США провели двухдневную онлайн-встречу по вопросам кибербезопасности, а если быть точным, то проблемы программ-вымогателей. Участие приняли представители 30 стран. Хотя представителей России на встречу не позвали (как и представителей Китая), было отмечено, что - "Россия сделала определенные шаги в борьбе с киберпреступностью в ответ на сигналы США, которые касаются действующих на российской территории криминальных субъектов".
@tomhunter
@tomhunter
«Основные тренды мошенничества в 2021 году».
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
YouTube
Защита от мошенничества | Безопасная среда
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия и события…
#news Хорошего начала рабочей недели! А у нас тут схлопнулись REvil. «Что, опять?», — может ехидно поинтересоваться давний читатель этого канала, но на сей раз, кажется, ребята решили окончательно и бесповоротно ребрендиться сворачиваться.
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
#news Исследователи доказали, что можно научить машину угадывать 4-значные PIN-коды карт в 41% случаев, даже если жертва прикрывает терминал. Атака требует настройки реплики целевого банкомата, потому что обучение алгоритма конкретным размерам и расстоянию между клавишами различных контактных площадок имеет решающее значение. Для эксперимента исследователи собрали 5800 видеороликов 58 разных людей из разных демографических групп, введя 4- и 5-значные PIN-коды.
@tomhunter
@tomhunter
#news В Израиле всплеск атак программ-вымогателей, нацеленных медицинские учреждения. Основной жертвой хакеров-вымогателей стал медицинский центр "Гилель Яффе" в Хадере, который не может расшифровать свои данные уже более 6 дней. Атака приписывается китайской группе киберпреступников, использовавших вымогатель DeepBlueMagic. DeepBlueMagin отключает решения безопасности, которые обычно обнаруживают и блокируют попытки шифрования файлов, что позволяет проводить успешные атаки. Само шифрование производится при помощи утилиты BestCrypt.
@tomhunter
@tomhunter
#news Группировка TA505 вернулась и принесла с собой новую RAT-малварь, получившую название FlawedGrace.
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
#news В Squirrel Engine нашли уязвимость, которая позволяет злоумышленнику выбраться из песочницы SquirrelVM и выполнять произвольный код. Уязвимость закрыли, но стабильного релиза с этим фиксом пока нет.
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
#news #decoder Выпущен бесплатный дешифратор вымогателя BlackByte, позволяющий жертвам восстанавливать свои файлы. Дешифратор не остались незамеченным для BlackByte, которые предупредили, что использование дешифратора с неправильным ключом может повредить файлы жертвы. Тем не менее, если вы являетесь жертвой BlackByte и хотите использовать предлагаемый дешифратор, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
@tomhunter
@tomhunter
#news Всего за неделю компания Acer подверглась второй кибератаке со стороны хакерской группы «Desorden». Ранее было взломано подразделение Acer Индия, а теперь добрались и до Acer Тайвань. Acer Taiwan отключила уязвимый сервер вскоре после того, как злоумышленники сообщили компании о взломе. Однако хакерская группа заявляет, что другие серверы в Малайзии и Индонезии по-прежнему уязвимы.
@tomhunter
@tomhunter
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
#news Google заявляет, что создатели YouTube-каналов все чаще становятся жертвами фишинговых атак с использованием вредоносных программ для кражи паролей и файлов cookie. Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как Sorano и AdamantiumThief. Данное вредоносное ПО используется для кражи учетных данных и файлов cookie браузера, что позволяет злоумышленникам захватывать авторизационные сессии пользователей. Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании.
@tomhunter
@tomhunter
#news янки разработали новую атаку с захватом фингерпринтов и спуфингом в браузере, которая назвали Gummy Browsers. Фингерпринты (т.е. совокупность данных об устройстве и соединении пользователя) представляют собой достаточно ценную историю, хорошо используемую взломов. Атака Gummy Browsers - это процесс получения фингерпринтов у пользователя при посещении веб-сайта, контролируемого злоумышленником, с последующим использованием полученного фингерпринта для взлома веб-сервисов.
@tomhunter
@tomhunter
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.