#news Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub. Напомню, что используя cookies, злоумышленники могут без логина и пароля зайти в сервисы, которые посещали их владельцы. Чтобы избежать подобных рисков, пользователям стоит регулярно очищать cookies и не сохранять пароли в сервисах.
@tomhunter
@tomhunter
#news Из-за влома GoDaddy произошла утечка данных, коснувшаяся 1.2 миллиона пользователей.
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
#news Исследователи продемонстрировали, что отпечатки пальцев можно клонировать для биометрической аутентификации всего за 5 долларов без использования каких-либо сложных или необычных инструментов. Полученный отпечаток пальца может обмануть современные датчики отпечатков пальцев, такие как тот, который используется в последнем MacBook Pro.
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
#news Национальный центр кибербезопасности Великобритании (NCSC) сообщает, что предупредил владельцев 4151 интернет-магазина о том, что их сайты были взломаны в результате атак Magecart (веб-скимминг) с целью кражи платежной информации клиентов.
@tomhunter
@tomhunter
#news Возвращаемся к яблочной компании! Но с неожиданной стороны — на сей раз речь не об уязвимостях.
Apple подала в суд на NSO Group, обвинив её в применении спайвари Pegasus против пользователей iOS. Компания говорит, что намерена положить атакам на её пользователей конец, потому что слежка подобного рода недопустима в свободном обществе.
Всех будущих потенциальных жертв Apple будет уведомлять о присутствии на их устройстве Пегасуса,как только если его распознает.
@tomhunter
Apple подала в суд на NSO Group, обвинив её в применении спайвари Pegasus против пользователей iOS. Компания говорит, что намерена положить атакам на её пользователей конец, потому что слежка подобного рода недопустима в свободном обществе.
Всех будущих потенциальных жертв Apple будет уведомлять о присутствии на их устройстве Пегасуса,
@tomhunter
#news В Windows Installer есть активно эксплуатируемый «нулевой день», позволяющий получить админские права в Windows 10, Windows 11 и Windows Server.
На выходных независимый исследователь обнаружил, что ноябрьский патч Microsoft не слишком удачно закрывает одну из уязвимостей. Речь о CVE-2021-41379: это уязвимость повышения привилегий в Windows Installer. Чуть позже он выложил на Гитхабе и PoC, названный InstallerFileTakeOver.
В лаборатории Cisco Talos подтвердили работоспособность PoC’a и рассказали о том, что уже находили в реальных условиях малварь, которая эту уязвимость эксплойтит.
@tomhunter
На выходных независимый исследователь обнаружил, что ноябрьский патч Microsoft не слишком удачно закрывает одну из уязвимостей. Речь о CVE-2021-41379: это уязвимость повышения привилегий в Windows Installer. Чуть позже он выложил на Гитхабе и PoC, названный InstallerFileTakeOver.
В лаборатории Cisco Talos подтвердили работоспособность PoC’a и рассказали о том, что уже находили в реальных условиях малварь, которая эту уязвимость эксплойтит.
@tomhunter
#news Служба безопасности Украины (СБУ) арестовала пятерых членов международной хакерской группы «Феникс», которая специализируются на удаленном взломе мобильных устройств. Для кражи мобильных учетных записей пользователей мобильных устройств злоумышленники использовали фишинговые сайты, являющиеся клонами порталов входа в систему Apple и Samsung.
▶️ https://youtu.be/o4WiC1ViUuI
@tomhunter
▶️ https://youtu.be/o4WiC1ViUuI
@tomhunter
YouTube
СБУ викрила міжнародну хакерську групу
Кіберфахівці Служби безпеки України припинили протиправну діяльність групи хакерів. Зловмисники позиціонували себе як учасники міжнародного хакерського угруповання «Phoenix». «Спеціалізувалися» на дистанційному зламуванні мобільних пристроїв та незаконному…
#news Новый скрытый загрузчик JavaScript под названием RATDispenser используется для заражения устройств различными троянами удаленного доступа (RAT) при фишинговых атаках.
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
#news Хакеры используют ошибку Microsoft MSHTML, чтобы украсть учетки Google и Instagram. Для этого используется стилер на основе PowerShell, получивший название PowerShortShell. Атаки нацелены на пользователей Windows с помощью вредоносных вложений Winword, которые используют ошибку удаленного выполнения кода (RCE) Microsoft MSHTML CVE-2021-40444.
▶️ https://vimeo.com/603308077
@tomhunter
▶️ https://vimeo.com/603308077
@tomhunter
#OSINT #Facebook Сегодня я разберу основные источники данных, которые я применяю при проведении OSINT-исследований в соцсети Facebook:
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
#anon #wipe И снова к вопросам анонимности. Допустим, вы паритесь за то, что ваш смартфон физически достанется "врагу". Значит нужно предусмотреть возможности для очистки информации, которая на нем содержится. Первое, что приходит в голову, это блокировка и очистка смартфона, предусмотренная Android и iOS...
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
#news Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах, запланированных для выполнения на несуществующий день, 31 февраля. Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter
#news Приближается Черная пятница, и киберпреступники оттачивают свои вредоносные программы, фишинговые приманки и поддельные сайты, в то время как покупатели готовятся открыть свои кошельки. Помните, что во время праздников вы увидите множество скидок на товары и рекламных акций. Однако шансы на то, что некоторые из них являются мошенническими, выше, чем обычно.
Есть две категории сайтов, которые используются преступниками. Первый - это фишинговые сайты, ворующие учетные данные, а второй - мошеннические сайты, ворующие деньги.
Для минимизации своих рисков проверяйте все гиперссылки, по которым вам предлагается перейти на предмет наличия вредоносного ПО. Проверяйте соответствие доменного имени сайта оригинальному. Российские онлайн-ритейлеры будут хоститься только в России и укажут свое официальное наименование. Не храните пароли в браузере, а используйте для этого внешние менеджеры паролей. Для онлайн-покупок заведите виртуальную кредитку или просто кредитную карту с лимитом средств.
@tomhunter
Есть две категории сайтов, которые используются преступниками. Первый - это фишинговые сайты, ворующие учетные данные, а второй - мошеннические сайты, ворующие деньги.
Для минимизации своих рисков проверяйте все гиперссылки, по которым вам предлагается перейти на предмет наличия вредоносного ПО. Проверяйте соответствие доменного имени сайта оригинальному. Российские онлайн-ритейлеры будут хоститься только в России и укажут свое официальное наименование. Не храните пароли в браузере, а используйте для этого внешние менеджеры паролей. Для онлайн-покупок заведите виртуальную кредитку или просто кредитную карту с лимитом средств.
@tomhunter
#news Сайт Министерства транспорта Великобритании (DfT) был уличен в размещении порнографии 🍓 Этот сайт предоставлял документы бизнес-плана и важную статистику по различным услугам DfT, такие как данные об использовании общественного транспорта, время доступности проезжей части и тесты по вождению.
«Была использована заброшенная, бездействующая страница веб-сайта Gov.uk Министерства транспорта», - прокомментировал новость представитель DfT. При исследовании было выяснено, что официальный веб- сайт dft.gov.uk ведет к защищенной паролем странице WordPress, расположенной по адресу: eu-hauliers.dft.gov.uk.
@tomhunter
«Была использована заброшенная, бездействующая страница веб-сайта Gov.uk Министерства транспорта», - прокомментировал новость представитель DfT. При исследовании было выяснено, что официальный веб- сайт dft.gov.uk ведет к защищенной паролем странице WordPress, расположенной по адресу: eu-hauliers.dft.gov.uk.
@tomhunter
#news Банк России опубликовал анализ финансовой стабильности за 2 и 3 кварталы 2021 года. В нем регулятор обозначил криптовалюты в качестве угрозы для российского финансового рынка. По мнению регулятора, криптовалюта... анонимна, используется для противоправной деятельности, а ее майнинг вредит климату.
@tomhunter
@tomhunter
#news Интерпол скоординировал арест 1003 человек, связанных с различными киберпреступлениями, такими как любовные аферы, инвестиционное мошенничество, отмывание денег и незаконные азартные игры в Интернете. Аресты стали результатом проведения в июне-сентябре операции HAEICHI-II. Власти также перехватили почти 27.000.000 $ и заморозили 2350 банковских счетов, связанных с различными онлайн-преступлениями.
@tomhunter
@tomhunter
#news Электронная почта IKEA подверглась постоянной кибератаке. Атака по электронной почте с цепочкой ответов - это когда злоумышленники сперва крадут корпоративную электронную почту, а затем делают с нее корпоративную рассылку, содержащую вредоносное ПО.
@tomhunter
@tomhunter
#news Тенденции фишинга продолжают опережать 2020 год. На сегодняшний день общее количество выявленных вредоносных сайтов опережает 2020 год почти на 32%. В частности, в третьем квартале 2021 года наблюдался наибольший рост: объем увеличился на 60% по сравнению с тем же периодом прошлого года. Наиболее значительный всплеск активности произошел в сентябре, когда объем фишинга увеличился более чем вдвое (118%). Это увеличение может быть связано с появлением ряда новых целей, таких как биржи криптовалюты, сайты онлайн-игр и ритейл.
@tomhunter
@tomhunter
#news Антимонопольная служба Италии оштрафовала Apple и Google на 10 миллионов евро.
Компании обвинили в том, что они крайне агрессивно собирают пользовательские данные, не рассказывая при создании аккаунта, как эти данные будут использоваться. На сладкий сироп про «улучшение пользовательского опыта» они, конечно, не скупятся, но про коммерческое использование данных тактично умалчивают.
У Google можно запретить сбор данных в настройках аккаунта, у Apple — не дать права на их коммерческое использование. Но регулятор счёл это полумерой: многие люди не знают о такой возможности или опасаются, что это ухудшит тот самый многострадальный пользовательский опыт.
@tomhunter
Компании обвинили в том, что они крайне агрессивно собирают пользовательские данные, не рассказывая при создании аккаунта, как эти данные будут использоваться. На сладкий сироп про «улучшение пользовательского опыта» они, конечно, не скупятся, но про коммерческое использование данных тактично умалчивают.
У Google можно запретить сбор данных в настройках аккаунта, у Apple — не дать права на их коммерческое использование. Но регулятор счёл это полумерой: многие люди не знают о такой возможности или опасаются, что это ухудшит тот самый многострадальный пользовательский опыт.
@tomhunter
#news На дискорд-серверах, связанных с криптой и NFT, распространяют новую малварь. Малварь использует криптер Babadeda, чтобы замаскироваться и незаметно размножить зловреды на заражённой машине.
Мошенники наплодили более 80 фишинговых сайтов, сделанных под сайты известных крипто-проектов и NFT-игр. Сайты предлагают пользователю скачать приложение; конечно, под видом безобидной софтины на устройстве селится зловред, подтягивающий товарищей: RAT’ы BitRAT и Remcos. Поскольку зловред замаскирован криптером, обнаружить его очень тяжело: по подписям ничего не определить.
Подробнее про кампанию — с примерами доменов — рассказали в своём отчете исследователи из Morphisec, которые всё это дело и заметили.
@tomhunter
Мошенники наплодили более 80 фишинговых сайтов, сделанных под сайты известных крипто-проектов и NFT-игр. Сайты предлагают пользователю скачать приложение; конечно, под видом безобидной софтины на устройстве селится зловред, подтягивающий товарищей: RAT’ы BitRAT и Remcos. Поскольку зловред замаскирован криптером, обнаружить его очень тяжело: по подписям ничего не определить.
Подробнее про кампанию — с примерами доменов — рассказали в своём отчете исследователи из Morphisec, которые всё это дело и заметили.
@tomhunter