#OSINT #Password Всех с началом трудовой недели. Сегодня я расскажу об источниках, которые использую для идентификации пользователей по их паролю. В сети есть несколько ресурсов, которые позволяют искать связанные никнеймы и адреса электронной почты по утекшим паролям. Ими и воспользуемся:
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
├leaklookup (Need Registration)
├leakpeek (Free)
├breachdirectory (Need Registration)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)
З.Ы. Списки источников для проверки адресов электронной почты и поиска совпадений по никнейму.
@tomhunter
#news Критическая уязвимость Discourse CVE-2021-41163 удаленного выполнения кода (RCE), была исправлена с помощью срочного обновления в пятницу. Уязвимые версии - 2.7.8 и старше, и лучший способ снизить риск - обновить до 2.7.9 или более поздней версии.
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня.
@tomhunter
#news Ну хоть кто-то учится на ошибках индустрии: блокчейн Polygon выплатил $2 миллиона ИБ-исследователю, который обнаружил в системе баг двойной траты.
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.
Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.
@tomhunter
#news Исследователи заметили новую волну фрода под Андроид, получившую название UltimaSMS.
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.
Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.
Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.
А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.
@tomhunter
#news Вымогатель Conti поменял политику работы с жертвами. Теперь, если жертва отказывается платить выкуп или не ведет переговоры с группировкой, то в блоге Conti вывешивают предложение купить доступ к ее похищенным данным. Креативненько...
@tomhunter
@tomhunter
T.Hunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U): AdSense:…
#OSINT #AD Дописал статью про работу с рекламными идентификаторами в рамках OSINT-исследований на Хабр... прошу прощения за задержку, очень много работы навалилось.
@tomhunter
@tomhunter
#news А ещё вот снова о креативности. Зловредные Firefox-расширения Bypass и Bypass XM, имевшие в сумме полмиллиона установок, блокировали установку обновлений браузера, которые закрывали дыры в безопасности. Кроме того, пользователей отрезали от свежих блоклистов.
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
#news Правоохранительные органы арестовали 150 подозреваемых, предположительно причастных к продаже и покупке незаконных товаров на DarkMarket. Аресты стали результатом скоординированной международной операции под названием Dark HunTOR, которая длилась десять месяцев и в которой участвовали полицейские силы и следователи из девяти стран.
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
#news В креативную копилочку! Кибератака в Иране ударила по бензоколонкам по всей стране: их массово отключали, пока хакеры выводили на видеоэкраны сообщение "cyberattack 64411". 64411 — это номер телефона, принадлежащий горячей линии лидера страны, Али Хаменеи.
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
#news Поговорим об интересных хобби. Тель-авивский исследователь Идо Хорвич, заскучав, выяснил, что 70% домашних Wi-Fi точек очень слабо защищены, и взломать их проще простого.
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
#news #decoder Выпущен инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
#news Месть за Пегасуса... Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года. Вредоносы маскируются под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие. Исследователи проанализировали образцы ПО и обнаружили, что злоумышленники используют для атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.
@tomhunter
@tomhunter
#news С начала октября в интернете было зарегистрировано 294 доменных имени, использующих наименование, схожее с официальным доменом портала Госуслуг (прим. уже больше). Для чего используются подобные домены?
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
#news Прямо беда какая-то с npm в последнее время. У библиотеки noblox.js обнаружились два зловредных фейка: noblox.js-proxy и noblox.js-proxies. Сначала разработчик опубликовал «здоровый» пакет, а затем уже обновил его вирусом: добавил .bat-скрипт, который скачивает с Discord CDN малварь. Малварь отключает антивирусы, ворует данные из браузеров и даже догружает бинарники-вымогатели.
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
#news Немецкие следователи опознали члена банды вымогателей REvil. Вероятнее всего, речь идет об Unknown. Известно, что идентифицировать киберпреступника смогли при помощи анализа и сопоставления транзакций криптовалюты, полученной от деятельности вымогателя, а также контактным данным. Имя преступника, разумеется, не "Николай К." - этот псевдоним специально сообщался СМИ, чтобы не афишировать реальную личность злоумышленника. Профиль "Николая" в соцсетях закрыт, но можно прочитать его статус: In Crypto we trust. В ходе расследования также была подтверждена тесная связь между REvil и GandCrab, о которой неоднократно говорили частные расследователи и журналисты.
@tomhunter
@tomhunter
#news В августе корпорация Майкрософт выпустила обновление безопасности для CVE-2021-34484 - «уязвимости службы профилей пользователей Windows, связанной с повышением привилегий». Однако обновление оказалось недостаточным и легко обходилось исследователями.
Хорошая новость заключается в том, что эксплойт требует, чтобы злоумышленник знал имя и пароль другого пользователя, чтобы активировать уязвимость, поэтому он, скорее всего, не будет широко использоваться в атаках.
@tomhunter
Хорошая новость заключается в том, что эксплойт требует, чтобы злоумышленник знал имя и пароль другого пользователя, чтобы активировать уязвимость, поэтому он, скорее всего, не будет широко использоваться в атаках.
@tomhunter
#OSINT #Security Сегодня изучим общедоступные источники, предназначенные для анализа иностранных контрагентов. Полезно для служб безопасности, да и юристам пригодится. Поехали...
├inttax (World Tax)
├opencorporates (Service)
├kompany (Service)
├bvdinfo (Service)
├dnb (Service)
├offshoreleaks (Offshore DB)
├occrp (Offshore DB)
├youcontrol (Ukraine)
├kartoteka (Belarus)
├legat (Belarus)
├contragento (Belarus)
└kompra (Kazakhstan)
З.Ы. О проверке и мониторинге российских контрагентов читайте в моих прошлых постах.
@tomhunter
├inttax (World Tax)
├opencorporates (Service)
├kompany (Service)
├bvdinfo (Service)
├dnb (Service)
├offshoreleaks (Offshore DB)
├occrp (Offshore DB)
├youcontrol (Ukraine)
├kartoteka (Belarus)
├legat (Belarus)
├contragento (Belarus)
└kompra (Kazakhstan)
З.Ы. О проверке и мониторинге российских контрагентов читайте в моих прошлых постах.
@tomhunter
❤2
#news Европол объявил об аресте 12 человек, которые, как считается, были связаны с атаками программ-вымогателей против 1800 жертв в 71 стране. Злоумышленники использовали штаммы вымогателей, такие как LockerGoga, MegaCortex и Dharma, а также вредоносные программы, такие как Trickbot, и инструменты для постэксплуатации, такие как Cobalt Strike. Аресты произошли в Украине и Швейцарии 26 октября 2021 года, и в результате одновременных рейдов полиция изъяла пять роскошных автомобилей, электронные устройства и 52 тысячи долларов наличными.
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
#news В маркетинговом WordPress-плагине OptinMonster, который используется для создания форм подписки, обнаружили критическую уязвимость. Плагин очень популярный — он установлен на более чем 1 миллионе сайтов.
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
#news На орехи перепало и великовозрастным детишкам в среде офисного планктона. Chaos Ransomware шифрует устройства Windows-игроков с помощью альтернативных Minecraft-ов, продвигаемых на игровых форумах.
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
#OSINT #Auto Всем счастливого Хеллоуина!!! Сегодня расскажу вам об источниках для проверки автомобилей. Акцент на российские авто и идентификацию их владельцев. Начинаем...
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter