#news #decoder Новая фишинговая кампания, выдавая себя за списки рассылки, заражает пользователей программой-вымогателем MirCop, которая шифрует целевую систему менее чем за пятнадцать минут. В теле письма содержится гиперссылка на URL-адрес Google Диска, при нажатии на который загружается файл MHT (архив веб-страницы) на машину жертвы. Google Диск служит для придания легитимности электронной почте и очень хорошо согласуется с обычной повседневной деловой практикой. Когда открывается файл MHT i, он загружает архив RAR, содержащий загрузчик вредоносных программ .NET, из «hXXps: // a [.] Pomf [.] Cat / gectpe.rar».
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
#OSINT #Fake Сегодня предлагаю небольшую тему создания виртуальных личностей (аватаров), которые можно использовать для регистрации в различных социальных сервисах.
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
#news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
#news Оборонный подрядчик из США Electronic Warfare Associates (EWA) раскрыл утечку данных после того, как злоумышленники 2 августа взломали их почтовую систему и украли файлы, содержащие личную информацию. Фирма заметила проникновение, когда хакер предпринял попытку мошенничества с использованием электронных средств, что, по всей видимости, является основной целью исполнителя.
@tomhunter
@tomhunter
#news ФБР зафиксировало рост числа мошенников, побуждающих жертв использовать физические банкоматы с криптовалютой и цифровые QR-коды для совершения платежных транзакций.
@tomhunter
@tomhunter
#OSINT #Sources Подборки источников для OSINT-исследований от различных специалистов.
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
👍1💯1
#news В мире npm всё бушуют зловреды.
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter
#news Мы тут все недавно удивились, когда пчёлы воинственно выступили против мёда: Фейсбук пообещал, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов.
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
#news Пегасус долетел в Европу! Венгерское правительство сообщило, что Венгрия приобрела нашумевшую спайварь и периодически ею пользовалось.
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
#news За первые девять месяцев 2021 года было уже столько же сообщений о киберпреступности, сколько за весь 2020 год. Показатели киберпреступности снова сильно увеличились, в то время как киберпреступность уже сильно выросла в 2020 году из-за коронавирусных ограничений. Данная статистика Голландии, в достаточной мере, описывает общемировые тенденции.
@tomhunter
@tomhunter
#news В августе я вам рассказывал про уязвимости в Microsoft Exchange, названные ProxyShell. Потом их ещё начала использовать рансомварь LockFile, комбинируя с PetitPotam.
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
#OSINT #Board Начнем послеограничительную трудовую неделю с разговора о т.н. "детективных досках". Или "crime board" - если по-западному. Полезная вещь, поскольку помогает представить ход расследования в удобном графическом формате. В начале нашей подборки очень серьезные (и весьма дорогие) продукты, которые могут вполне поработать и за аналитика:
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
#news Продолжаем нашу регулярную рубрику о криптофейлах! На этот раз украли $55 миллионов у платформы bZx.
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter
#news Твич... нет, не стал героем очередной истории вида «безопасность как-нибудь сама собой обеспечится». И его даже не взломали в третий раз (напомню про первый и второй).
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil.
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
T.Hunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil. Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот…
#news Министерство финансов США объявило о санкциях против криптовалютной биржи Chatex за помощь бандам вымогателей в уклонении от санкций и содействие транзакциям с выкупом. Как и в случае с Suex, санкционируя Chatex, администрация США стремится перекрыть основной канал, используемый операциями вымогателей для сбора выкупа со своих жертв.
@tomhunter
@tomhunter
#news Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
#news Своим мнением о причинах использования иностранными киберпреступниками российских серверов поделился в беседе с газетой «Известия» главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров:
«Хакерские группы прекрасно осведомлены о том, что почти любая их противоправная деятельность вместо полноценного расследования будет вызывать очередную истерию под брендом «русские хакеры атакуют», которая очень выгодна западным подрядчикам, обеспечивающим информбезопасность компаний и госорганизаций. Дела «правительственных русских хакеров» забирает ЦРУ или ФБР, у которых сложности во взаимоотношениях с российскими коллегами. Подрядчика с пониманием слегка журят за «косяки» в обеспечении безопасности. Правительство выделяет еще больше денег на обеспечение кибербезопасности. Все довольны».@tomhunter
#news У Robinhood утечка, ставшая результатом успешной социнженерии на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имён. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; ещё на 10 человек получили некие «более детальные данные».
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
#news По поводу "горячей новости" о засвете пользователями Telegram своих телефонов, могу пояснить принцип его работы...
@tomhunter
https://api.telegram.org/bot{токен_бота}/sendContact?chat_id={ваш_id}&phone_number=919876543210&first_name={отображаемое_имя}
Создаёте бота. В описании оставляете данные своего фейкового аккаунта, как аккаунт техподдержки. Выполняете код. Бот вам присылает контакт. Это сообщение отправляете жертве с сообщением "Смотри, в этом боте слили твой номер телефона, чтобы его удалить, обратись к админам со скриншотом записи". Пользователь делает скриншот, где отображается его номер телефона и отправляет вам. Это социальная инженерия. Судя по всему, уязвимость работает только на официальных клиентах под Android.@tomhunter
❤1
#news Проект Tor выпустил Tor Browser 11.0 с новым дизайном пользовательского интерфейса и удалением поддержки луковых сервисов V2. Браузер представляет собой переделку Firefox ESR, которая позволяет пользователям анонимно просматривать веб-страницы и получать доступ к специальным доменам .onion, доступным только через Tor. Наиболее значительным изменением является, давно анонсированное, прекращение поддержки луковых служб V2, означающее, что URL-адреса TOR с короткими 16-символьными именами хостов больше не поддерживаются.
@tomhunter
@tomhunter