This media is not supported in your browser
VIEW IN TELEGRAM
#news Биткойны на сумму почти в 7 млн. $ в криптовалютном кошельке, контролируемом операторами вымогателя DarkSide, начали движение. Время начала движения совпадает с уничтожением инфраструктуры вымогателя REvil в результате международной операции правоохранительных органов.
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
#news Evil Corp запустила новую программу-вымогатель под названием Macaw Locker, чтобы обойти санкции США, которые не позволяют жертвам выплачивать выкуп. Программа-вымогатель Macaw Locker шифрует файлы жертв и добавляет расширение .macaw к имени файла при проведении атак. При шифровании файлов программа-вымогатель также создает заметки о выкупе в каждой папке с именем macaw_recover.txt. Для каждой атаки записка с требованием выкупа содержит уникальную страницу переговоров жертвы на сайте Tor в Macaw Locker и связанный с ней идентификатор дешифрования или идентификатор кампании. Теперь, когда Macaw Locker был разоблачен как вариант Evil Corp, мы, вероятно, увидим, как злоумышленники снова ребрендируют свои программы-вымогатели.
@tomhunter
@tomhunter
#news Ещё немного про свежие руткиты. Исследователи заметили, что у руткита FiveSys есть цифровая подпись Microsoft, позволяющая ему незаметно проникать в Windows-системы. Он активен уже больше года и целится в китайских геймеров, у которых ворует различные данные.
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.
Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.
@tomhunter
#news На днях писал о том, что в трёх npm-библиотеках нашли криптомайнеры. Неприятно, конечно, но могло быть хуже: у них там загрузки всего десятками измерялись.
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news "Многие поставщики интернет-услуг (ISP) собирают и передают гораздо больше данных о своих клиентах, чем многие потребители могут ожидать, включая доступ ко всему их интернет-трафику и данным о местоположении в реальном времени" - неожиданно прозрела Федеральная торговая комиссия (FTC) США.
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
#news Возвращаюсь к своей излюбленной теме. Команда китайских хакеров взломала последнюю версию операционной системы Apple на iPhone 13 Pro. Хотя iOS 15.0.2 была доступна всего неделю, хакерам удалось взломать телефон за 15 секунд. Произошло это во время соревнований по кибербезопасности в Чэнду, Китай. Взломщики не раскрыли свою методику. А что же Apple? Продолжает нахваливать защищенность своих устройств.
@tomhunter
@tomhunter
#news Allianz Global Corporate & Specialty (AGCS) отметила, что число киберпреступлений выросло на 125% в первой половине 2021 года по сравнению с предыдущим годом. Наибольший рост произошел за счет инцидентов с программами-вымогателями, число которых увеличились на 62%. По различным оценкам, только атаки вымогателей принесли киберпреступникам около 20 млрд $.
@tomhunter
@tomhunter
#news На днях, житель Петербурга отбрил телефонного мошенника. В ответ мошенник, используя "служебное положение", подделал номер телефона петербуржца и "заминировал" с него здание Петроградского УМВД. Очевидно, что "сваттинг" (ложное сообщение о минировании от лица конкретного человека) берут на вооружение не только "виртуальные минёры". Он позволяет оттянуться оскорбленным мошенникам за счет недокументированного использования силовиков.
@tomhunter
@tomhunter
#news #decoder Оказывается, компания Emsisoft с этого лета тайно расшифровывала жертв вымогателя -BlackMatter. Поскольку жертвы начали отказываться платить, BlackMatter стала более подозрительной. Это вылилось в прямые угрозы жертвам. К сожалению, BlackMatter узнала о дешифраторе в конце сентября и смогла исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
#tomhunter
#tomhunter
#OSINT #Password Всех с началом трудовой недели. Сегодня я расскажу об источниках, которые использую для идентификации пользователей по их паролю. В сети есть несколько ресурсов, которые позволяют искать связанные никнеймы и адреса электронной почты по утекшим паролям. Ими и воспользуемся:
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
#news Критическая уязвимость Discourse CVE-2021-41163 удаленного выполнения кода (RCE), была исправлена с помощью срочного обновления в пятницу. Уязвимые версии - 2.7.8 и старше, и лучший способ снизить риск - обновить до 2.7.9 или более поздней версии.
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
#news Ну хоть кто-то учится на ошибках индустрии: блокчейн Polygon выплатил $2 миллиона ИБ-исследователю, который обнаружил в системе баг двойной траты.
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
#news Исследователи заметили новую волну фрода под Андроид, получившую название UltimaSMS.
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
#news Вымогатель Conti поменял политику работы с жертвами. Теперь, если жертва отказывается платить выкуп или не ведет переговоры с группировкой, то в блоге Conti вывешивают предложение купить доступ к ее похищенным данным. Креативненько...
@tomhunter
@tomhunter
T.Hunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U): AdSense:…
#OSINT #AD Дописал статью про работу с рекламными идентификаторами в рамках OSINT-исследований на Хабр... прошу прощения за задержку, очень много работы навалилось.
@tomhunter
@tomhunter
#news А ещё вот снова о креативности. Зловредные Firefox-расширения Bypass и Bypass XM, имевшие в сумме полмиллиона установок, блокировали установку обновлений браузера, которые закрывали дыры в безопасности. Кроме того, пользователей отрезали от свежих блоклистов.
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
#news Правоохранительные органы арестовали 150 подозреваемых, предположительно причастных к продаже и покупке незаконных товаров на DarkMarket. Аресты стали результатом скоординированной международной операции под названием Dark HunTOR, которая длилась десять месяцев и в которой участвовали полицейские силы и следователи из девяти стран.
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
#news В креативную копилочку! Кибератака в Иране ударила по бензоколонкам по всей стране: их массово отключали, пока хакеры выводили на видеоэкраны сообщение "cyberattack 64411". 64411 — это номер телефона, принадлежащий горячей линии лидера страны, Али Хаменеи.
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
#news Поговорим об интересных хобби. Тель-авивский исследователь Идо Хорвич, заскучав, выяснил, что 70% домашних Wi-Fi точек очень слабо защищены, и взломать их проще простого.
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
#news #decoder Выпущен инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
#news Месть за Пегасуса... Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года. Вредоносы маскируются под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие. Исследователи проанализировали образцы ПО и обнаружили, что злоумышленники используют для атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.
@tomhunter
@tomhunter