#news На днях писал о том, что в трёх npm-библиотеках нашли криптомайнеры. Неприятно, конечно, но могло быть хуже: у них там загрузки всего десятками измерялись.
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.
Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.
А Гитхаб-тред с деталями можно почитать тут.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news "Многие поставщики интернет-услуг (ISP) собирают и передают гораздо больше данных о своих клиентах, чем многие потребители могут ожидать, включая доступ ко всему их интернет-трафику и данным о местоположении в реальном времени" - неожиданно прозрела Федеральная торговая комиссия (FTC) США.
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.
@tomhunter
#news Возвращаюсь к своей излюбленной теме. Команда китайских хакеров взломала последнюю версию операционной системы Apple на iPhone 13 Pro. Хотя iOS 15.0.2 была доступна всего неделю, хакерам удалось взломать телефон за 15 секунд. Произошло это во время соревнований по кибербезопасности в Чэнду, Китай. Взломщики не раскрыли свою методику. А что же Apple? Продолжает нахваливать защищенность своих устройств.
@tomhunter
@tomhunter
#news Allianz Global Corporate & Specialty (AGCS) отметила, что число киберпреступлений выросло на 125% в первой половине 2021 года по сравнению с предыдущим годом. Наибольший рост произошел за счет инцидентов с программами-вымогателями, число которых увеличились на 62%. По различным оценкам, только атаки вымогателей принесли киберпреступникам около 20 млрд $.
@tomhunter
@tomhunter
#news На днях, житель Петербурга отбрил телефонного мошенника. В ответ мошенник, используя "служебное положение", подделал номер телефона петербуржца и "заминировал" с него здание Петроградского УМВД. Очевидно, что "сваттинг" (ложное сообщение о минировании от лица конкретного человека) берут на вооружение не только "виртуальные минёры". Он позволяет оттянуться оскорбленным мошенникам за счет недокументированного использования силовиков.
@tomhunter
@tomhunter
#news #decoder Оказывается, компания Emsisoft с этого лета тайно расшифровывала жертв вымогателя -BlackMatter. Поскольку жертвы начали отказываться платить, BlackMatter стала более подозрительной. Это вылилось в прямые угрозы жертвам. К сожалению, BlackMatter узнала о дешифраторе в конце сентября и смогла исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
#tomhunter
#tomhunter
#OSINT #Password Всех с началом трудовой недели. Сегодня я расскажу об источниках, которые использую для идентификации пользователей по их паролю. В сети есть несколько ресурсов, которые позволяют искать связанные никнеймы и адреса электронной почты по утекшим паролям. Ими и воспользуемся:
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
#news Критическая уязвимость Discourse CVE-2021-41163 удаленного выполнения кода (RCE), была исправлена с помощью срочного обновления в пятницу. Уязвимые версии - 2.7.8 и старше, и лучший способ снизить риск - обновить до 2.7.9 или более поздней версии.
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
#news Ну хоть кто-то учится на ошибках индустрии: блокчейн Polygon выплатил $2 миллиона ИБ-исследователю, который обнаружил в системе баг двойной траты.
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
#news Исследователи заметили новую волну фрода под Андроид, получившую название UltimaSMS.
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
#news Вымогатель Conti поменял политику работы с жертвами. Теперь, если жертва отказывается платить выкуп или не ведет переговоры с группировкой, то в блоге Conti вывешивают предложение купить доступ к ее похищенным данным. Креативненько...
@tomhunter
@tomhunter
T.Hunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U): AdSense:…
#OSINT #AD Дописал статью про работу с рекламными идентификаторами в рамках OSINT-исследований на Хабр... прошу прощения за задержку, очень много работы навалилось.
@tomhunter
@tomhunter
#news А ещё вот снова о креативности. Зловредные Firefox-расширения Bypass и Bypass XM, имевшие в сумме полмиллиона установок, блокировали установку обновлений браузера, которые закрывали дыры в безопасности. Кроме того, пользователей отрезали от свежих блоклистов.
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
#news Правоохранительные органы арестовали 150 подозреваемых, предположительно причастных к продаже и покупке незаконных товаров на DarkMarket. Аресты стали результатом скоординированной международной операции под названием Dark HunTOR, которая длилась десять месяцев и в которой участвовали полицейские силы и следователи из девяти стран.
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
#news В креативную копилочку! Кибератака в Иране ударила по бензоколонкам по всей стране: их массово отключали, пока хакеры выводили на видеоэкраны сообщение "cyberattack 64411". 64411 — это номер телефона, принадлежащий горячей линии лидера страны, Али Хаменеи.
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
#news Поговорим об интересных хобби. Тель-авивский исследователь Идо Хорвич, заскучав, выяснил, что 70% домашних Wi-Fi точек очень слабо защищены, и взломать их проще простого.
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
#news #decoder Выпущен инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
#news Месть за Пегасуса... Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года. Вредоносы маскируются под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие. Исследователи проанализировали образцы ПО и обнаружили, что злоумышленники используют для атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.
@tomhunter
@tomhunter
#news С начала октября в интернете было зарегистрировано 294 доменных имени, использующих наименование, схожее с официальным доменом портала Госуслуг (прим. уже больше). Для чего используются подобные домены?
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
#news Прямо беда какая-то с npm в последнее время. У библиотеки noblox.js обнаружились два зловредных фейка: noblox.js-proxy и noblox.js-proxies. Сначала разработчик опубликовал «здоровый» пакет, а затем уже обновил его вирусом: добавил .bat-скрипт, который скачивает с Discord CDN малварь. Малварь отключает антивирусы, ворует данные из браузеров и даже догружает бинарники-вымогатели.
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
#news Немецкие следователи опознали члена банды вымогателей REvil. Вероятнее всего, речь идет об Unknown. Известно, что идентифицировать киберпреступника смогли при помощи анализа и сопоставления транзакций криптовалюты, полученной от деятельности вымогателя, а также контактным данным. Имя преступника, разумеется, не "Николай К." - этот псевдоним специально сообщался СМИ, чтобы не афишировать реальную личность злоумышленника. Профиль "Николая" в соцсетях закрыт, но можно прочитать его статус: In Crypto we trust. В ходе расследования также была подтверждена тесная связь между REvil и GandCrab, о которой неоднократно говорили частные расследователи и журналисты.
@tomhunter
@tomhunter