#news Google заявляет, что создатели YouTube-каналов все чаще становятся жертвами фишинговых атак с использованием вредоносных программ для кражи паролей и файлов cookie. Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как Sorano и AdamantiumThief. Данное вредоносное ПО используется для кражи учетных данных и файлов cookie браузера, что позволяет злоумышленникам захватывать авторизационные сессии пользователей. Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании.
@tomhunter
@tomhunter
#news янки разработали новую атаку с захватом фингерпринтов и спуфингом в браузере, которая назвали Gummy Browsers. Фингерпринты (т.е. совокупность данных об устройстве и соединении пользователя) представляют собой достаточно ценную историю, хорошо используемую взломов. Атака Gummy Browsers - это процесс получения фингерпринтов у пользователя при посещении веб-сайта, контролируемого злоумышленником, с последующим использованием полученного фингерпринта для взлома веб-сервисов.
@tomhunter
@tomhunter
Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.
С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.
Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
Pastebin
gosusliga.rudl1-gosuslugi.rugosuslugi-api.rugosuslugicovidnet.rugosuslug - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
#news Из-за ошибки в настройке ElasticSearch (просто доступ к логам не прикрыли, неловко) китайский ВПН-сервис Quickfox де-факто слил данные миллиона с лишним пользователей. Там и имена, и телефонные номера, и информация о прочем установленном на устройстве софте, и иже с ними. В том числе есть настоящие IP пользователей и IP, которые каждому выдал сервис.
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
Данные, что характерно, даже не зашифрованы. В основном пользователи из США, Японии, Индонезии и Казахстана.
Quickfox — это ВПН, позволяющий открывать за пределами Китая некоторые китайские сайты, доступные только на территории страны.
@tomhunter
#news Количество распределенных атак типа «отказ в обслуживании» (DDoS) на российские компании в текущем году увеличилось в 2,5 раза по сравнению с тем же периодом 2020 года. DDoS-атаки обычно используются для вымогательства жертв с требованием выкупа или для отвлечения ИТ-специалистов, пока хакеры пытаются украсть ценные данные из скомпрометированных систем. Сентябрь 2021 года был записан как худший период для России в новейшей истории DDoS-атак. В сентябре злоумышленники запустили 90% всех DDoS-атак 2021 года.
@tomhunter
@tomhunter
#news Бюро промышленности и безопасности (BIS) Министерства торговли сегодня объявило о новых средствах контроля, которые запретят компаниям США экспортировать и перепродавать программное обеспечение и аппаратные средства, которые могут использоваться для нарушения прав человека. Правила вступят в силу через 90 дней, поэтому ряду правительств нужно или быстро закупиться или задумываться о собственных разработках.
@tomhunter
@tomhunter
#news В npm нашли вредоносные пакеты, втихую майнящие крипту.
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
Речь об okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автор заблокирован, а библиотеки удалены, но осадочек остался.
Случай, конечно же, далеко не первый и совсем не уникальный. В августе, например, я писал про удаление 8 зловредных библиотек к PyPI. До этого в RubyGems находили пакет, ворующий крипту, а в том же npm — стилер паролей.
@tomhunter
#news Основатели Bulletproof-хостинга ждут приговора в американском суде. Им грозит максимальное наказание в виде 20 лет тюрьмы. Хостинг использовался для распространения вредоносного ПО (Zeus, SpyEye, Citadel и Blackhole Exploit Kit), которые атаковали американские компании и финансовые учреждения в период с 2009 по 2015 год.
@tomhunter
@tomhunter
#news В настоящее время хакерские группы оптимизируют свою членскую структуру и предоставляют каждому человеку определенные функциональные роли. Одно из самых ярких различий, которое мы видим сегодня, по сравнению с практикой киберпреступности пятилетней давности заключается в том, что крупные банки больше не являются основными объектами атак. Вместо этого хакеры активно атакуют коммерческие организации с помощью программ-вымогателей.
@tomhunter
@tomhunter
#news В начале недели я писал о том, что REvil вынужденно свернулись, потому что кто-то хакнул серверы.
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter
Было очевидно, что с этим почти наверняка связаны правоохранительные органы, у которых REvil давно в печенках сидит. Теперь догадка официально подтвердилась: за взломом стоят ФБР, Кибернетическое командование, Секретная служба США и спецслужбы ещё нескольких стран.
Напомню, что представитель группировки, известный как 0_neday, пожелал всем удачи, откланялся и исчез. Похоже, ему не очень понравилось, что на взломанном сервере специально для него оставили несколько ловушек — увы, их он вовремя заметил.
@tomhunter
#news #covid Пишу свой блог на Хабре. Снова ограничения, связанные с распространением COVID-19... Злоумышленники ринулись предлагать фейковые ПЦР-тесты. Как это работает? Во-первых, им потребовалось большое количество доменных имен, использующих определенные термины (госуслуги, ковид, вакцина, пцр, названия лабораторий) или близких к ним. Это нужно для выкладывания онлайн готового теста, на который проверяющий смог бы перейти, считав QR-код. Во-вторых, им потребовался сервис, который позволяет генерировать фейковую справку на бланках ведущих лабораторий, а также отправлять ее на почту, указанную клиентом при регистрации. Вот и вся нехитрая инфраструктура...
Ответственность за продажу и использование поддельных тестов предусмотрена ст. 327 УК РФ. Про беспринципность покупателей таких тестов и их отношение к окружающим не хочется и говорить. А число их растет - загляните в WordStat. Заодно убедитесь, что Яндекс не против наварить деньжат на такой рекламе. От 76.70 руб. за запрос по Москве.
@tomhunter
Ответственность за продажу и использование поддельных тестов предусмотрена ст. 327 УК РФ. Про беспринципность покупателей таких тестов и их отношение к окружающим не хочется и говорить. А число их растет - загляните в WordStat. Заодно убедитесь, что Яндекс не против наварить деньжат на такой рекламе. От 76.70 руб. за запрос по Москве.
@tomhunter
#news Check Point опубликовали большое исследование о безопасности инфраструктуры Discord. Из него можно сделать два вывода: плохой и ещё хуже.
Во-первых, бот-инфраструктура Дискорда крайне уязвима для распространения малвари — вредоносные файлы потенциально может начать рассылать любой бот. Во-вторых, это практически невозможно исправить.
Исследователи нашли несколько гитхаб-репозиториев со зловредными ботами. Они могут, например, делать скриншоты и забирать фото с веб-камеры, скачивать на устройство дополнительные файлы, вписывать бэкдоры в дискордовский index.js, логировать данные с клавиатуры, воровать сохранённые пароли из браузеров и так далее. Проще сказать, чего они не могут, в общем. Всё это делается штатными средствами дискордовского API.
Бонус: файлы при загрузке никак не проверяются, достаточно просто сделать малварь легче 8 МБ.
@tomhunter
Во-первых, бот-инфраструктура Дискорда крайне уязвима для распространения малвари — вредоносные файлы потенциально может начать рассылать любой бот. Во-вторых, это практически невозможно исправить.
Исследователи нашли несколько гитхаб-репозиториев со зловредными ботами. Они могут, например, делать скриншоты и забирать фото с веб-камеры, скачивать на устройство дополнительные файлы, вписывать бэкдоры в дискордовский index.js, логировать данные с клавиатуры, воровать сохранённые пароли из браузеров и так далее. Проще сказать, чего они не могут, в общем. Всё это делается штатными средствами дискордовского API.
Бонус: файлы при загрузке никак не проверяются, достаточно просто сделать малварь легче 8 МБ.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Биткойны на сумму почти в 7 млн. $ в криптовалютном кошельке, контролируемом операторами вымогателя DarkSide, начали движение. Время начала движения совпадает с уничтожением инфраструктуры вымогателя REvil в результате международной операции правоохранительных органов.
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
#news Evil Corp запустила новую программу-вымогатель под названием Macaw Locker, чтобы обойти санкции США, которые не позволяют жертвам выплачивать выкуп. Программа-вымогатель Macaw Locker шифрует файлы жертв и добавляет расширение .macaw к имени файла при проведении атак. При шифровании файлов программа-вымогатель также создает заметки о выкупе в каждой папке с именем macaw_recover.txt. Для каждой атаки записка с требованием выкупа содержит уникальную страницу переговоров жертвы на сайте Tor в Macaw Locker и связанный с ней идентификатор дешифрования или идентификатор кампании. Теперь, когда Macaw Locker был разоблачен как вариант Evil Corp, мы, вероятно, увидим, как злоумышленники снова ребрендируют свои программы-вымогатели.
@tomhunter
@tomhunter
#news Ещё немного про свежие руткиты. Исследователи заметили, что у руткита FiveSys есть цифровая подпись Microsoft, позволяющая ему незаметно проникать в Windows-системы. Он активен уже больше года и целится в китайских геймеров, у которых ворует различные данные.
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
#news На днях писал о том, что в трёх npm-библиотеках нашли криптомайнеры. Неприятно, конечно, но могло быть хуже: у них там загрузки всего десятками измерялись.
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news "Многие поставщики интернет-услуг (ISP) собирают и передают гораздо больше данных о своих клиентах, чем многие потребители могут ожидать, включая доступ ко всему их интернет-трафику и данным о местоположении в реальном времени" - неожиданно прозрела Федеральная торговая комиссия (FTC) США.
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
#news Возвращаюсь к своей излюбленной теме. Команда китайских хакеров взломала последнюю версию операционной системы Apple на iPhone 13 Pro. Хотя iOS 15.0.2 была доступна всего неделю, хакерам удалось взломать телефон за 15 секунд. Произошло это во время соревнований по кибербезопасности в Чэнду, Китай. Взломщики не раскрыли свою методику. А что же Apple? Продолжает нахваливать защищенность своих устройств.
@tomhunter
@tomhunter
#news Allianz Global Corporate & Specialty (AGCS) отметила, что число киберпреступлений выросло на 125% в первой половине 2021 года по сравнению с предыдущим годом. Наибольший рост произошел за счет инцидентов с программами-вымогателями, число которых увеличились на 62%. По различным оценкам, только атаки вымогателей принесли киберпреступникам около 20 млрд $.
@tomhunter
@tomhunter
#news На днях, житель Петербурга отбрил телефонного мошенника. В ответ мошенник, используя "служебное положение", подделал номер телефона петербуржца и "заминировал" с него здание Петроградского УМВД. Очевидно, что "сваттинг" (ложное сообщение о минировании от лица конкретного человека) берут на вооружение не только "виртуальные минёры". Он позволяет оттянуться оскорбленным мошенникам за счет недокументированного использования силовиков.
@tomhunter
@tomhunter
#news #decoder Оказывается, компания Emsisoft с этого лета тайно расшифровывала жертв вымогателя -BlackMatter. Поскольку жертвы начали отказываться платить, BlackMatter стала более подозрительной. Это вылилось в прямые угрозы жертвам. К сожалению, BlackMatter узнала о дешифраторе в конце сентября и смогла исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
#tomhunter
#tomhunter