#news А ещё вот снова о креативности. Зловредные Firefox-расширения Bypass и Bypass XM, имевшие в сумме полмиллиона установок, блокировали установку обновлений браузера, которые закрывали дыры в безопасности. Кроме того, пользователей отрезали от свежих блоклистов.
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.
Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.
Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.
@tomhunter
#news Правоохранительные органы арестовали 150 подозреваемых, предположительно причастных к продаже и покупке незаконных товаров на DarkMarket. Аресты стали результатом скоординированной международной операции под названием Dark HunTOR, которая длилась десять месяцев и в которой участвовали полицейские силы и следователи из девяти стран.
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
▶️ https://youtu.be/VUhzK2cY_PY
@tomhunter
#news В креативную копилочку! Кибератака в Иране ударила по бензоколонкам по всей стране: их массово отключали, пока хакеры выводили на видеоэкраны сообщение "cyberattack 64411". 64411 — это номер телефона, принадлежащий горячей линии лидера страны, Али Хаменеи.
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.
@tomhunter
#news Поговорим об интересных хобби. Тель-авивский исследователь Идо Хорвич, заскучав, выяснил, что 70% домашних Wi-Fi точек очень слабо защищены, и взломать их проще простого.
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.
Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.
Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.
@tomhunter
#news #decoder Выпущен инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.
@tomhunter
#news Месть за Пегасуса... Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года. Вредоносы маскируются под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие. Исследователи проанализировали образцы ПО и обнаружили, что злоумышленники используют для атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.
@tomhunter
@tomhunter
#news С начала октября в интернете было зарегистрировано 294 доменных имени, использующих наименование, схожее с официальным доменом портала Госуслуг (прим. уже больше). Для чего используются подобные домены?
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
1️⃣ Распространение фишинговых рассылок от лица портала Госуслуг. Пример одной из таких рассылок в ВирусТотале прилагаю. Оцените уровень вредоносности.
2️⃣ Подделка ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов, имитирующих официальные лаборатории Гемотест, Инвитро и Архимед.
Не исключается также, что при продаже фейковых сертификатов, на устройство покупателя может скачиваться вредоносное программное обеспечение.
@tomhunter
#news Прямо беда какая-то с npm в последнее время. У библиотеки noblox.js обнаружились два зловредных фейка: noblox.js-proxy и noblox.js-proxies. Сначала разработчик опубликовал «здоровый» пакет, а затем уже обновил его вирусом: добавил .bat-скрипт, который скачивает с Discord CDN малварь. Малварь отключает антивирусы, ворует данные из браузеров и даже догружает бинарники-вымогатели.
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
К счастью, библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.
Недавно я публиковал исследование о Discord CDN, рассказывающее, почему его так любят использовать для хостинга всякие зловреды.
@tomhunter
#news Немецкие следователи опознали члена банды вымогателей REvil. Вероятнее всего, речь идет об Unknown. Известно, что идентифицировать киберпреступника смогли при помощи анализа и сопоставления транзакций криптовалюты, полученной от деятельности вымогателя, а также контактным данным. Имя преступника, разумеется, не "Николай К." - этот псевдоним специально сообщался СМИ, чтобы не афишировать реальную личность злоумышленника. Профиль "Николая" в соцсетях закрыт, но можно прочитать его статус: In Crypto we trust. В ходе расследования также была подтверждена тесная связь между REvil и GandCrab, о которой неоднократно говорили частные расследователи и журналисты.
@tomhunter
@tomhunter
#news В августе корпорация Майкрософт выпустила обновление безопасности для CVE-2021-34484 - «уязвимости службы профилей пользователей Windows, связанной с повышением привилегий». Однако обновление оказалось недостаточным и легко обходилось исследователями.
Хорошая новость заключается в том, что эксплойт требует, чтобы злоумышленник знал имя и пароль другого пользователя, чтобы активировать уязвимость, поэтому он, скорее всего, не будет широко использоваться в атаках.
@tomhunter
Хорошая новость заключается в том, что эксплойт требует, чтобы злоумышленник знал имя и пароль другого пользователя, чтобы активировать уязвимость, поэтому он, скорее всего, не будет широко использоваться в атаках.
@tomhunter
#OSINT #Security Сегодня изучим общедоступные источники, предназначенные для анализа иностранных контрагентов. Полезно для служб безопасности, да и юристам пригодится. Поехали...
├inttax (World Tax)
├opencorporates (Service)
├kompany (Service)
├bvdinfo (Service)
├dnb (Service)
├offshoreleaks (Offshore DB)
├occrp (Offshore DB)
├youcontrol (Ukraine)
├kartoteka (Belarus)
├legat (Belarus)
├contragento (Belarus)
└kompra (Kazakhstan)
З.Ы. О проверке и мониторинге российских контрагентов читайте в моих прошлых постах.
@tomhunter
├inttax (World Tax)
├opencorporates (Service)
├kompany (Service)
├bvdinfo (Service)
├dnb (Service)
├offshoreleaks (Offshore DB)
├occrp (Offshore DB)
├youcontrol (Ukraine)
├kartoteka (Belarus)
├legat (Belarus)
├contragento (Belarus)
└kompra (Kazakhstan)
З.Ы. О проверке и мониторинге российских контрагентов читайте в моих прошлых постах.
@tomhunter
❤2
#news Европол объявил об аресте 12 человек, которые, как считается, были связаны с атаками программ-вымогателей против 1800 жертв в 71 стране. Злоумышленники использовали штаммы вымогателей, такие как LockerGoga, MegaCortex и Dharma, а также вредоносные программы, такие как Trickbot, и инструменты для постэксплуатации, такие как Cobalt Strike. Аресты произошли в Украине и Швейцарии 26 октября 2021 года, и в результате одновременных рейдов полиция изъяла пять роскошных автомобилей, электронные устройства и 52 тысячи долларов наличными.
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
#news В маркетинговом WordPress-плагине OptinMonster, который используется для создания форм подписки, обнаружили критическую уязвимость. Плагин очень популярный — он установлен на более чем 1 миллионе сайтов.
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
#news На орехи перепало и великовозрастным детишкам в среде офисного планктона. Chaos Ransomware шифрует устройства Windows-игроков с помощью альтернативных Minecraft-ов, продвигаемых на игровых форумах.
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
#OSINT #Auto Всем счастливого Хеллоуина!!! Сегодня расскажу вам об источниках для проверки автомобилей. Акцент на российские авто и идентификацию их владельцев. Начинаем...
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter
#news Практически все компиляторы - программы, преобразующие читаемый человеком исходный код в компьютерно-исполняемый машинный код - уязвимы для атаки, при которой злоумышленник может ввести целевые уязвимости в любое программное обеспечение, не будучи обнаруженным. Речь идет о компоненте стандарта кодирования цифрового текста Unicode , который позволяет компьютерам обмениваться информацией независимо от используемого языка.
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
#news Исследователи рассказали о крупнейшем ботнете за историю, в котором когда-то было более 1.6 миллиона устройств. Для сравнения, изрядно нашумевший в сентябре Meris, ответственный за рекордный в рунете ДДоС (на Яндекс), включает всего 250 тысяч девайсов. Гигантский ботнет давно ещё назвали Pink.
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
#news Российские силовики прошлись и по бывшим хакерам и по пробивщикам. Вероятно, это стало следствием "потепления" отношений между спецслужбами США и России. Известно, что ранее американская сторона передала России списки киберпреступников. Сотрудничество в области противодействия киберпреступности началось.
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
#news В GitLab есть критическая уязвимость, которую активно эксплойтят хакеры. Её уже пропатчили, но уязвимых инстансов остаётся немало.
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
А ещё я написал на Хабр краткий обзор новостей за октябрь. Заглядывайте, если вдруг решите освежить в памяти обвал околофейсбучных сервисов, на днях мутировавших в одну мегакорпорацию Meta, пламенную любовь Твитча к приплясыванию на граблях и взлом REvil.
@tomhunter
@tomhunter
#news Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 9000 поддельных тестов. Интересно, сможете вы его идентифицировать?
@tomhunter
@tomhunter