#news Исследователи из Doctor Web изучили AppGallery — стандартный каталог приложений в устройствах Huawei — и обнаружили десятки игр, в которые встроен троян Android.Cynos.7.origin. Заражённые игры установили как минимум 9,3 миллионов пользователей.
Всё довольно стандартно: какая-нибудь безобидная игрушка про милую кошечку с неожиданной хищностью запрашивает доступ к совершению телефонных звонков и геолокации. Ребёнок, не обращая на это внимания, поскорее прокликивает все разрешения, чтобы порадовать себя игрой. А милая игра про очередную кошечку тем временем передаёт на удалённый сервер:
⋅ номер телефона,
⋅ геолокацию,
⋅ код сети и код страны,
⋅ характеристики устройства,
⋅ параметры из метаданных приложений, в которые встроен троян.
Основная ЦА таких игр — дети, поэтому выглядит это всё особенно тревожно.
@tomhunter
Всё довольно стандартно: какая-нибудь безобидная игрушка про милую кошечку с неожиданной хищностью запрашивает доступ к совершению телефонных звонков и геолокации. Ребёнок, не обращая на это внимания, поскорее прокликивает все разрешения, чтобы порадовать себя игрой. А милая игра про очередную кошечку тем временем передаёт на удалённый сервер:
⋅ номер телефона,
⋅ геолокацию,
⋅ код сети и код страны,
⋅ характеристики устройства,
⋅ параметры из метаданных приложений, в которые встроен троян.
Основная ЦА таких игр — дети, поэтому выглядит это всё особенно тревожно.
@tomhunter
#news Apple, подавая в суд на NSO Group, пообещала впредь уведомлять пользователей, если обнаружит на их устройствах Пегасус. Об этом я уже писал.
Оказывается, первые уведомления уже нашли своих адресатов. Буквально через несколько часов после обращения в калифорнийский суд Apple разослала предупреждения о Пегасусе потенциальным жертвам в Таиланде, Эль Сальвадоре и Уганде. Среди них политические исследователи и преподаватели, активисты и журналисты.
Такое же получила прокурор из Польши, ранее призывавшая расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах. Полный текст уведомления есть по ссылке.
@tomhunter
Оказывается, первые уведомления уже нашли своих адресатов. Буквально через несколько часов после обращения в калифорнийский суд Apple разослала предупреждения о Пегасусе потенциальным жертвам в Таиланде, Эль Сальвадоре и Уганде. Среди них политические исследователи и преподаватели, активисты и журналисты.
Такое же получила прокурор из Польши, ранее призывавшая расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах. Полный текст уведомления есть по ссылке.
@tomhunter
T.Hunter
Сегодня СМИ обсуждают уязвимость на портале госуслуг, связанную с Covert Redirect (скрытой переадресацией). Отметим, что Covert Redirect не является особенно значимой уязвимостью, хотя и позволяет воровать пользовательские данные, а также закачивать им вредоносное…
#news Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей от сентябрьской, по мнению исследователя, является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.
@tomhunter
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com
☝️Представители портала Госуслуги частично признали уязвимость: "...только open redirect, а возможности угона, XSS и SSRF тем более – нет". А об этой истории написали на портале RUNET.@tomhunter
#news Северокорейские хакеры APT37 (Reaper) нацелились на журналистов с помощью мультиплатформенного вредоносного ПО Chinotto, способного заражать устройства Windows и Android. Chinotto позволяет хакерской группе контролировать скомпрометированные устройства, шпионить за своими пользователями с помощью снимков экрана, развертывать дополнительные полезные нагрузки, собирать интересующие данные и загружать их на серверы, контролируемые злоумышленниками.
@tomhunter
@tomhunter
#news Финансовая гвардия Италии арестовала несколько человек, подозреваемых в управлении Телеграм-каналами по продаже поддельных сертификатов о ковидной вакцинации.
У преступников было как минимум 35 каналов, которые суммарно собрали 100 тысяч пользователей. Предлагали «правдоподобные» сертификаты, аж оснащённые QR-кодами. Несмотря на серию арестов, каналы продолжают размножаться, пусть и не так активно. Оперативники следят за ситуацией.
Помогали всё это расследовать ребята из Group-IB.
@tomhunter
У преступников было как минимум 35 каналов, которые суммарно собрали 100 тысяч пользователей. Предлагали «правдоподобные» сертификаты, аж оснащённые QR-кодами. Несмотря на серию арестов, каналы продолжают размножаться, пусть и не так активно. Оперативники следят за ситуацией.
Помогали всё это расследовать ребята из Group-IB.
@tomhunter
#news Ловите мою новую статью на Хабре. Обобщил вопросы анонимности мобильника и, с удовольствием, читаю ваши комментарии...
@tomhunter
@tomhunter
#news Cannazon, одна из крупнейших наркоторговых площадок Даркнета закрылась в результате длительной DDOS-атаки. После закрытия Cannazon существует вероятность появления клонов площадки, управляемых мошенниками.
@tomhunter
@tomhunter
#news В России (вот неожиданность) оказались взломаны тысячи частных камер видеонаблюдения, многие из которых располагались (вот тут интересно) в гостиничных номерах, массажных кабинетах, салонах, где делают интимные стрижки и депиляцию, и других приватных местах!!! Видео, записанные такими камерами, а также доступ к ним продаются в Сети. Специалисты утверждают, что в некоторых случаях такие кадры используют для шантажа героев видео или владельцев камер. Защитить устройство при этом очень просто — достаточно сменить заводские настройки. Однако, по словам экспертов, это базовое правило часто игнорируют.
К слову... поздравляю всех с днем защиты информации 😉
@tomhunter
К слову... поздравляю всех с днем защиты информации 😉
@tomhunter
#event Всё профессиональное ИБ-сообщество встретится в Москве на ежегодной аналитической конференции Код ИБ ИТОГИ уже 2 декабря. Места стремительно заканчиваются, поэтому успевайте забронировать свое и планируйте участие в самом знаковом событии года.
@tomhunter
@tomhunter
#news ФБР сегодня отожгло, засветив документ о своих возможностях по контролю пользователей мессенджеров WhatsApp, Facebook, Telegram, Viber, Signal, Threema, WeChat, Line и Wickr. В результате стало известно, что все мессенджеры могут делиться с американскими правоохранителями метаданными, временем, датами, IP-адресами, номерами привязанных телефонов и иной информацией. Позитивненько... Дуров, верни анонимность!
@tomhunter
@tomhunter
#news Филиал недавно обнаруженного вымогателя Yanluowang сосредотачивает свои атаки на американские организации в финансовом секторе, используя вредоносное ПО BazarLoader для разведки. Эксперты считают, что Yanluowang может быть связан с группой Fivehands.
Получив доступ к целевой сети, злоумышленник использует PowerShell для загрузки инструментов, таких как вредоносная программа BazarLoader. BazarLoader доставляется корпоративным целям с помощью ботнета TrickBot. Затем Yanluowang включает службу удаленного рабочего стола (RDP) из реестра и устанавливает инструмент ConnectWise для удаленного доступа.
@tomhunter
Получив доступ к целевой сети, злоумышленник использует PowerShell для загрузки инструментов, таких как вредоносная программа BazarLoader. BazarLoader доставляется корпоративным целям с помощью ботнета TrickBot. Затем Yanluowang включает службу удаленного рабочего стола (RDP) из реестра и устанавливает инструмент ConnectWise для удаленного доступа.
@tomhunter
#news Центр диагностики ДНК (DDC) подтвердил утечку данных, которая произошла в результате хакерской атаки в период с 24 мая 2021 года по 28 июля 2021 года. Тогда утекли данные участников национальной системы генетического тестирования:
DDC работает с внешними экспертами по кибербезопасности, чтобы вернуть себе украденные файлы и гарантировать, что злоумышленник не будет распространять их дальше. Пока сообщений о мошенничестве или ненадлежащем использовании украденных данных не поступало.
@tomhunter
Полные имена
Номер кредитной карты + CVV
Номер дебетовой карты + CVV
Номер финансового счета
Пароль учетной записи платформы
DDC работает с внешними экспертами по кибербезопасности, чтобы вернуть себе украденные файлы и гарантировать, что злоумышленник не будет распространять их дальше. Пока сообщений о мошенничестве или ненадлежащем использовании украденных данных не поступало.
@tomhunter
T.Hunter
#news У нас всё под контролем. Радионяни, видеоняни, умные часы с трекером - всё для того, чтобы наши дети были в безопасности. Благодаря современным гаджетам мы можем каждую минуту следить за ними. Но кроме нас за нашими детьми также может следить кто-то…
#news Исследователи проанализировали безопасность четырех популярных умных часов для детей (Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite и Smart Baby Watch Q19) и обнаружили предустановленные загрузчики, слабые пароли и незашифрованные передачи данных. Большинство этих устройств произвольно собирают и периодически передают конфиденциальные данные на удаленные серверы без ведома пользователя. Передаваемая информация включает информацию о SIM-карте, данные геолокации, информацию об устройстве, контакты телефонной книги, список установленных приложений, количество SMS и историю телефонных звонков. При этом, скрытый в этих часах Android.DownLoader.3894 может использоваться для кибершпионажа, показа рекламы и установки нежелательных или даже вредоносных приложений.
@tomhunter
@tomhunter
#news Три группы хакеров были замечены с использованием новой техники внедрения шаблона RTF в своих недавних фишинговых кампаниях. Этот метод представляет собой простой, но эффективный метод извлечения вредоносного содержимого с удаленного URL-адреса. Файлы в формате Rich Text Format (RTF) - это формат документов, созданный Microsoft, который можно открыть с помощью Microsoft Word, WordPad и других приложений, имеющихся почти во всех операционных системах.
Хотя шаблоны RTF предназначены для локального размещения, злоумышленники теперь злоупотребляют этой законной функцией для получения ресурса URL вместо локального файлового ресурса. Эта замена позволяет злоумышленникам загружать вредоносные полезные данные в приложение, такое как Microsoft Word, или выполнять проверку подлинности NTLM по удаленному URL-адресу для кражи учетных данных Windows.
@tomhunter
Хотя шаблоны RTF предназначены для локального размещения, злоумышленники теперь злоупотребляют этой законной функцией для получения ресурса URL вместо локального файлового ресурса. Эта замена позволяет злоумышленникам загружать вредоносные полезные данные в приложение, такое как Microsoft Word, или выполнять проверку подлинности NTLM по удаленному URL-адресу для кражи учетных данных Windows.
@tomhunter
#OSINT #Dorks Google Dorks или Hack — это техника создания запросов в поисковой системе Google для обнаружения скрытой информации и уязвимостей, которые можно обнаружить на общедоступных серверах. Dorking можно использовать в различных поисковых системах, не только в Google. В повседневном использовании поисковые системы, такие как Google, Bing, Yahoo и DuckDuckGo, принимают поисковый запрос или строку поисковых запросов и возвращают соответствующие результаты. Подборки дорков:
├intelx
├exploit-db
├IvanGlinkin
├Zarcolio
├osintcurio
├securitytrails
├Dorks-Resources
├googleguide
├ahrefs
├dorksearch (подсказки)
└postuf
З.Ы. Дорк для поиска выходных НОД сети TOR с дефолтной конфигурацией. Дорк для получения версии софта НОДы, например, для поиска старых уязвимостей. Дорк для поиска баз данных идентифицированных криптокошельков.
@tomhunter
├intelx
├exploit-db
├IvanGlinkin
├Zarcolio
├osintcurio
├securitytrails
├Dorks-Resources
├googleguide
├ahrefs
├dorksearch (подсказки)
└postuf
З.Ы. Дорк для поиска выходных НОД сети TOR с дефолтной конфигурацией. Дорк для получения версии софта НОДы, например, для поиска старых уязвимостей. Дорк для поиска баз данных идентифицированных криптокошельков.
@tomhunter
#news Европол, в ходе проведения седьмой по счету операции EMMA (European Money Mule Action), арестовал 1803 из 18351 выявленных денежных мулов (smurfer). Денежные мулы - это люди, которые получают и переводят деньги от имени мошенников и мошенников, помогая им отмывать украденные суммы в обмен на небольшую долю. В целом операция предотвратила предполагаемые убытки в 67,5 млн евро за счет остановки или отмены 7000 мошеннических транзакций в 400 финансовых учреждениях.
@tomhunter
@tomhunter
#news В начале года в США были протесты — разъяренные сторонники MAGA захватили Капитолий. Над многими суд ведётся до сих пор.
Журналисты из WIRED, внимательно изучившие эти дела, парой месяцев ранее рассказывали, что собранные Google геолокационные данные помогли арестовать 45 человек: по этим данным была очевидна их причастность к митингам.
К чему я это всё? А вот к чему. На днях опубликовали документы по одной из обвиняемых. На приложенной карте видно 57 (!) точек, которые фиксируют перемещения одного человека в рамках здания (!!).
Если когда-нибудь было интересно, насколько точные данные о вас могут собирать все эти приложения, запрашивающие доступ к геолокации, то вот и оно.
@tomhunter
Журналисты из WIRED, внимательно изучившие эти дела, парой месяцев ранее рассказывали, что собранные Google геолокационные данные помогли арестовать 45 человек: по этим данным была очевидна их причастность к митингам.
К чему я это всё? А вот к чему. На днях опубликовали документы по одной из обвиняемых. На приложенной карте видно 57 (!) точек, которые фиксируют перемещения одного человека в рамках здания (!!).
Если когда-нибудь было интересно, насколько точные данные о вас могут собирать все эти приложения, запрашивающие доступ к геолокации, то вот и оно.
@tomhunter
#news Серверы электронной коммерции подвергаются атакам вредоносного ПО для удаленного доступа, которое скрывается на серверах Nginx. Угроза получила название NginRAT - сочетание приложения, на которое она нацелена, и возможностей удаленного доступа, которые она предоставляет, и используется в атаках на стороне сервера для кражи данных платежных карт из интернет-магазинов. Новое вредоносное ПО доставляется CronRAT, хотя оба они выполняют одну и ту же функцию: обеспечивают удаленный доступ к скомпрометированной системе.
@tomhunter
NginRAT, по сути, захватывает хост-приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции хост-системы Linux. Когда законный веб-сервер Nginx использует такую функциональность (например, dlopen), NginRAT перехватывает его, чтобы внедрить себя...
@tomhunter
#news Поддельное приложение для Android маскируется под клининговую службу (APK, "Cleaning Service Malaysia") для кражи учетных данных онлайн-банкинга у клиентов восьми малазийских банков. После установки приложения пользователям предлагается подтвердить не менее 24 разрешений, включая рискованное «RECEIVE_SMS», которое позволяет приложению отслеживать и читать все SMS-сообщения, полученные на телефон. Это разрешение используется для отслеживания текстов SMS с целью кражи одноразовых паролей и кодов MFA, используемых в услугах электронного банкинга, которые затем отправляются на сервер злоумышленника.
@tomhunter
@tomhunter
#news Исследователи безопасности проанализировали девять популярных маршрутизаторов WiFi и обнаружили в них в общей сложности 226 потенциальных уязвимостей, даже при использовании последней прошивки. Лидерами по количеству уязвимостей являются TP-Link Archer AX6000 (32 уязвимости) и Synology RT-2600ac (30 уязвимостей).
Из интересного. Исследователи нашли способ получить локальные привилегии на D-Link DIR-X1560 и получить доступ к оболочке через физический интерфейс отладки UART. В результате у них получилось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
@tomhunter
Из интересного. Исследователи нашли способ получить локальные привилегии на D-Link DIR-X1560 и получить доступ к оболочке через физический интерфейс отладки UART. В результате у них получилось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
@tomhunter
#news Twitter объявил о безвозвратном удалении более 3400 учетных записей, связанных с правительствами шести стран (Мексика, КНР, Россия, Танзания, Уганда и Венесуэлла), которые проводят кампании по манипуляции или рассылке спама.
Хочется напомнить соцсети про ее собственные манипуляции в отношении президента США в этом году. Но... Вы не понимаете, это же - другое...
@tomhunter
Хочется напомнить соцсети про ее собственные манипуляции в отношении президента США в этом году. Но... Вы не понимаете, это же - другое...
@tomhunter