#news Новый скрытый загрузчик JavaScript под названием RATDispenser используется для заражения устройств различными троянами удаленного доступа (RAT) при фишинговых атаках.
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
#news Хакеры используют ошибку Microsoft MSHTML, чтобы украсть учетки Google и Instagram. Для этого используется стилер на основе PowerShell, получивший название PowerShortShell. Атаки нацелены на пользователей Windows с помощью вредоносных вложений Winword, которые используют ошибку удаленного выполнения кода (RCE) Microsoft MSHTML CVE-2021-40444.
▶️ https://vimeo.com/603308077
@tomhunter
▶️ https://vimeo.com/603308077
@tomhunter
#OSINT #Facebook Сегодня я разберу основные источники данных, которые я применяю при проведении OSINT-исследований в соцсети Facebook:
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
#anon #wipe И снова к вопросам анонимности. Допустим, вы паритесь за то, что ваш смартфон физически достанется "врагу". Значит нужно предусмотреть возможности для очистки информации, которая на нем содержится. Первое, что приходит в голову, это блокировка и очистка смартфона, предусмотренная Android и iOS...
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
#news Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах, запланированных для выполнения на несуществующий день, 31 февраля. Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter
#news Приближается Черная пятница, и киберпреступники оттачивают свои вредоносные программы, фишинговые приманки и поддельные сайты, в то время как покупатели готовятся открыть свои кошельки. Помните, что во время праздников вы увидите множество скидок на товары и рекламных акций. Однако шансы на то, что некоторые из них являются мошенническими, выше, чем обычно.
Есть две категории сайтов, которые используются преступниками. Первый - это фишинговые сайты, ворующие учетные данные, а второй - мошеннические сайты, ворующие деньги.
Для минимизации своих рисков проверяйте все гиперссылки, по которым вам предлагается перейти на предмет наличия вредоносного ПО. Проверяйте соответствие доменного имени сайта оригинальному. Российские онлайн-ритейлеры будут хоститься только в России и укажут свое официальное наименование. Не храните пароли в браузере, а используйте для этого внешние менеджеры паролей. Для онлайн-покупок заведите виртуальную кредитку или просто кредитную карту с лимитом средств.
@tomhunter
Есть две категории сайтов, которые используются преступниками. Первый - это фишинговые сайты, ворующие учетные данные, а второй - мошеннические сайты, ворующие деньги.
Для минимизации своих рисков проверяйте все гиперссылки, по которым вам предлагается перейти на предмет наличия вредоносного ПО. Проверяйте соответствие доменного имени сайта оригинальному. Российские онлайн-ритейлеры будут хоститься только в России и укажут свое официальное наименование. Не храните пароли в браузере, а используйте для этого внешние менеджеры паролей. Для онлайн-покупок заведите виртуальную кредитку или просто кредитную карту с лимитом средств.
@tomhunter
#news Сайт Министерства транспорта Великобритании (DfT) был уличен в размещении порнографии 🍓 Этот сайт предоставлял документы бизнес-плана и важную статистику по различным услугам DfT, такие как данные об использовании общественного транспорта, время доступности проезжей части и тесты по вождению.
«Была использована заброшенная, бездействующая страница веб-сайта Gov.uk Министерства транспорта», - прокомментировал новость представитель DfT. При исследовании было выяснено, что официальный веб- сайт dft.gov.uk ведет к защищенной паролем странице WordPress, расположенной по адресу: eu-hauliers.dft.gov.uk.
@tomhunter
«Была использована заброшенная, бездействующая страница веб-сайта Gov.uk Министерства транспорта», - прокомментировал новость представитель DfT. При исследовании было выяснено, что официальный веб- сайт dft.gov.uk ведет к защищенной паролем странице WordPress, расположенной по адресу: eu-hauliers.dft.gov.uk.
@tomhunter
#news Банк России опубликовал анализ финансовой стабильности за 2 и 3 кварталы 2021 года. В нем регулятор обозначил криптовалюты в качестве угрозы для российского финансового рынка. По мнению регулятора, криптовалюта... анонимна, используется для противоправной деятельности, а ее майнинг вредит климату.
@tomhunter
@tomhunter
#news Интерпол скоординировал арест 1003 человек, связанных с различными киберпреступлениями, такими как любовные аферы, инвестиционное мошенничество, отмывание денег и незаконные азартные игры в Интернете. Аресты стали результатом проведения в июне-сентябре операции HAEICHI-II. Власти также перехватили почти 27.000.000 $ и заморозили 2350 банковских счетов, связанных с различными онлайн-преступлениями.
@tomhunter
@tomhunter
#news Электронная почта IKEA подверглась постоянной кибератаке. Атака по электронной почте с цепочкой ответов - это когда злоумышленники сперва крадут корпоративную электронную почту, а затем делают с нее корпоративную рассылку, содержащую вредоносное ПО.
@tomhunter
@tomhunter
#news Тенденции фишинга продолжают опережать 2020 год. На сегодняшний день общее количество выявленных вредоносных сайтов опережает 2020 год почти на 32%. В частности, в третьем квартале 2021 года наблюдался наибольший рост: объем увеличился на 60% по сравнению с тем же периодом прошлого года. Наиболее значительный всплеск активности произошел в сентябре, когда объем фишинга увеличился более чем вдвое (118%). Это увеличение может быть связано с появлением ряда новых целей, таких как биржи криптовалюты, сайты онлайн-игр и ритейл.
@tomhunter
@tomhunter
#news Антимонопольная служба Италии оштрафовала Apple и Google на 10 миллионов евро.
Компании обвинили в том, что они крайне агрессивно собирают пользовательские данные, не рассказывая при создании аккаунта, как эти данные будут использоваться. На сладкий сироп про «улучшение пользовательского опыта» они, конечно, не скупятся, но про коммерческое использование данных тактично умалчивают.
У Google можно запретить сбор данных в настройках аккаунта, у Apple — не дать права на их коммерческое использование. Но регулятор счёл это полумерой: многие люди не знают о такой возможности или опасаются, что это ухудшит тот самый многострадальный пользовательский опыт.
@tomhunter
Компании обвинили в том, что они крайне агрессивно собирают пользовательские данные, не рассказывая при создании аккаунта, как эти данные будут использоваться. На сладкий сироп про «улучшение пользовательского опыта» они, конечно, не скупятся, но про коммерческое использование данных тактично умалчивают.
У Google можно запретить сбор данных в настройках аккаунта, у Apple — не дать права на их коммерческое использование. Но регулятор счёл это полумерой: многие люди не знают о такой возможности или опасаются, что это ухудшит тот самый многострадальный пользовательский опыт.
@tomhunter
#news На дискорд-серверах, связанных с криптой и NFT, распространяют новую малварь. Малварь использует криптер Babadeda, чтобы замаскироваться и незаметно размножить зловреды на заражённой машине.
Мошенники наплодили более 80 фишинговых сайтов, сделанных под сайты известных крипто-проектов и NFT-игр. Сайты предлагают пользователю скачать приложение; конечно, под видом безобидной софтины на устройстве селится зловред, подтягивающий товарищей: RAT’ы BitRAT и Remcos. Поскольку зловред замаскирован криптером, обнаружить его очень тяжело: по подписям ничего не определить.
Подробнее про кампанию — с примерами доменов — рассказали в своём отчете исследователи из Morphisec, которые всё это дело и заметили.
@tomhunter
Мошенники наплодили более 80 фишинговых сайтов, сделанных под сайты известных крипто-проектов и NFT-игр. Сайты предлагают пользователю скачать приложение; конечно, под видом безобидной софтины на устройстве селится зловред, подтягивающий товарищей: RAT’ы BitRAT и Remcos. Поскольку зловред замаскирован криптером, обнаружить его очень тяжело: по подписям ничего не определить.
Подробнее про кампанию — с примерами доменов — рассказали в своём отчете исследователи из Morphisec, которые всё это дело и заметили.
@tomhunter
#news Ну и да, не забудем любимую тему. Минобороны Израиля — напомню, это родина Пегасуса от NSO Group — сильно подрезало список стран, в которые израильские инфосек-компании могут экспортировать свои продукты.
В новый список включили только демократические страны, в том числе страны, входящие в ЕС и Five Eyes. Теперь список выглядит так: Австралия, Австрия, Бельгия, Великобритания, Болгария, Германия, Греция, Дания, Исландия, Испания, Индия, Ирландия, Италия, Канада, Кипр, Латвия, Лихтенштейн, Литва, Люксембург, Мальта, Нидерланды, Новая Зеландия, Норвегия, Португалия, Румыния, Словакия, Словения, США, Финляндия, Франция, Хорватия, Чешская Республика, Швеция, Швейцария, Эстония, Южная Корея и Япония.
Конечно же, в списке нет Марокко, Бахрейна, Саудовской Аравии и ОАЭ, которые ранее были замечены среди клиентов NSO Group. А если вас вдруг смущает затесавшаяся среди развитых демократий Индия, то напрасно: это другое, понимать надо.
@tomhunter
В новый список включили только демократические страны, в том числе страны, входящие в ЕС и Five Eyes. Теперь список выглядит так: Австралия, Австрия, Бельгия, Великобритания, Болгария, Германия, Греция, Дания, Исландия, Испания, Индия, Ирландия, Италия, Канада, Кипр, Латвия, Лихтенштейн, Литва, Люксембург, Мальта, Нидерланды, Новая Зеландия, Норвегия, Португалия, Румыния, Словакия, Словения, США, Финляндия, Франция, Хорватия, Чешская Республика, Швеция, Швейцария, Эстония, Южная Корея и Япония.
Конечно же, в списке нет Марокко, Бахрейна, Саудовской Аравии и ОАЭ, которые ранее были замечены среди клиентов NSO Group. А если вас вдруг смущает затесавшаяся среди развитых демократий Индия, то напрасно: это другое, понимать надо.
@tomhunter
#news Исследователи из Doctor Web изучили AppGallery — стандартный каталог приложений в устройствах Huawei — и обнаружили десятки игр, в которые встроен троян Android.Cynos.7.origin. Заражённые игры установили как минимум 9,3 миллионов пользователей.
Всё довольно стандартно: какая-нибудь безобидная игрушка про милую кошечку с неожиданной хищностью запрашивает доступ к совершению телефонных звонков и геолокации. Ребёнок, не обращая на это внимания, поскорее прокликивает все разрешения, чтобы порадовать себя игрой. А милая игра про очередную кошечку тем временем передаёт на удалённый сервер:
⋅ номер телефона,
⋅ геолокацию,
⋅ код сети и код страны,
⋅ характеристики устройства,
⋅ параметры из метаданных приложений, в которые встроен троян.
Основная ЦА таких игр — дети, поэтому выглядит это всё особенно тревожно.
@tomhunter
Всё довольно стандартно: какая-нибудь безобидная игрушка про милую кошечку с неожиданной хищностью запрашивает доступ к совершению телефонных звонков и геолокации. Ребёнок, не обращая на это внимания, поскорее прокликивает все разрешения, чтобы порадовать себя игрой. А милая игра про очередную кошечку тем временем передаёт на удалённый сервер:
⋅ номер телефона,
⋅ геолокацию,
⋅ код сети и код страны,
⋅ характеристики устройства,
⋅ параметры из метаданных приложений, в которые встроен троян.
Основная ЦА таких игр — дети, поэтому выглядит это всё особенно тревожно.
@tomhunter
#news Apple, подавая в суд на NSO Group, пообещала впредь уведомлять пользователей, если обнаружит на их устройствах Пегасус. Об этом я уже писал.
Оказывается, первые уведомления уже нашли своих адресатов. Буквально через несколько часов после обращения в калифорнийский суд Apple разослала предупреждения о Пегасусе потенциальным жертвам в Таиланде, Эль Сальвадоре и Уганде. Среди них политические исследователи и преподаватели, активисты и журналисты.
Такое же получила прокурор из Польши, ранее призывавшая расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах. Полный текст уведомления есть по ссылке.
@tomhunter
Оказывается, первые уведомления уже нашли своих адресатов. Буквально через несколько часов после обращения в калифорнийский суд Apple разослала предупреждения о Пегасусе потенциальным жертвам в Таиланде, Эль Сальвадоре и Уганде. Среди них политические исследователи и преподаватели, активисты и журналисты.
Такое же получила прокурор из Польши, ранее призывавшая расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах. Полный текст уведомления есть по ссылке.
@tomhunter
T.Hunter
Сегодня СМИ обсуждают уязвимость на портале госуслуг, связанную с Covert Redirect (скрытой переадресацией). Отметим, что Covert Redirect не является особенно значимой уязвимостью, хотя и позволяет воровать пользовательские данные, а также закачивать им вредоносное…
#news Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей от сентябрьской, по мнению исследователя, является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.
@tomhunter
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com
☝️Представители портала Госуслуги частично признали уязвимость: "...только open redirect, а возможности угона, XSS и SSRF тем более – нет". А об этой истории написали на портале RUNET.@tomhunter
#news Северокорейские хакеры APT37 (Reaper) нацелились на журналистов с помощью мультиплатформенного вредоносного ПО Chinotto, способного заражать устройства Windows и Android. Chinotto позволяет хакерской группе контролировать скомпрометированные устройства, шпионить за своими пользователями с помощью снимков экрана, развертывать дополнительные полезные нагрузки, собирать интересующие данные и загружать их на серверы, контролируемые злоумышленниками.
@tomhunter
@tomhunter
#news Финансовая гвардия Италии арестовала несколько человек, подозреваемых в управлении Телеграм-каналами по продаже поддельных сертификатов о ковидной вакцинации.
У преступников было как минимум 35 каналов, которые суммарно собрали 100 тысяч пользователей. Предлагали «правдоподобные» сертификаты, аж оснащённые QR-кодами. Несмотря на серию арестов, каналы продолжают размножаться, пусть и не так активно. Оперативники следят за ситуацией.
Помогали всё это расследовать ребята из Group-IB.
@tomhunter
У преступников было как минимум 35 каналов, которые суммарно собрали 100 тысяч пользователей. Предлагали «правдоподобные» сертификаты, аж оснащённые QR-кодами. Несмотря на серию арестов, каналы продолжают размножаться, пусть и не так активно. Оперативники следят за ситуацией.
Помогали всё это расследовать ребята из Group-IB.
@tomhunter
#news Ловите мою новую статью на Хабре. Обобщил вопросы анонимности мобильника и, с удовольствием, читаю ваши комментарии...
@tomhunter
@tomhunter