#news Поддельное приложение для Android маскируется под клининговую службу (APK, "Cleaning Service Malaysia") для кражи учетных данных онлайн-банкинга у клиентов восьми малазийских банков. После установки приложения пользователям предлагается подтвердить не менее 24 разрешений, включая рискованное «RECEIVE_SMS», которое позволяет приложению отслеживать и читать все SMS-сообщения, полученные на телефон. Это разрешение используется для отслеживания текстов SMS с целью кражи одноразовых паролей и кодов MFA, используемых в услугах электронного банкинга, которые затем отправляются на сервер злоумышленника.
@tomhunter
@tomhunter
#news Исследователи безопасности проанализировали девять популярных маршрутизаторов WiFi и обнаружили в них в общей сложности 226 потенциальных уязвимостей, даже при использовании последней прошивки. Лидерами по количеству уязвимостей являются TP-Link Archer AX6000 (32 уязвимости) и Synology RT-2600ac (30 уязвимостей).
Из интересного. Исследователи нашли способ получить локальные привилегии на D-Link DIR-X1560 и получить доступ к оболочке через физический интерфейс отладки UART. В результате у них получилось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
@tomhunter
Из интересного. Исследователи нашли способ получить локальные привилегии на D-Link DIR-X1560 и получить доступ к оболочке через физический интерфейс отладки UART. В результате у них получилось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.
@tomhunter
#news Twitter объявил о безвозвратном удалении более 3400 учетных записей, связанных с правительствами шести стран (Мексика, КНР, Россия, Танзания, Уганда и Венесуэлла), которые проводят кампании по манипуляции или рассылке спама.
Хочется напомнить соцсети про ее собственные манипуляции в отношении президента США в этом году. Но... Вы не понимаете, это же - другое...
@tomhunter
Хочется напомнить соцсети про ее собственные манипуляции в отношении президента США в этом году. Но... Вы не понимаете, это же - другое...
@tomhunter
#news Злоумышленники начали использовать появление Omicron COVID-19 для фишинговых компаний. Если получатель нажимает встроенную кнопку «Получить сейчас» или нажимает URL-адрес в теле письма, он попадает на поддельный веб-сайт NHS, утверждающий, что предлагает «тест Omicron PCR на COVID-19». На нем жертве предлагается ввести свои персональные данные и сведения о кредитке для оплаты теста.
@tomhunter
@tomhunter
#news APT-группы, которые ранее использовали уязвимость в программном обеспечении Zoho ManageEngine ADSelfService Plus, перешли на использование другой уязвимости Zoho. Было замечено, что киберпреступники используют уязвимость (CVE-2021-44077) с удаленным выполнением кода без аутентификации в Zoho ServiceDesk Plus версий 11305 и более ранних. Zoho устранила данную уязвимость еще 16 сентября 2021 года. Однако многие пользователи все еще не перешли на использование обновленного ПО и могут быть уязвимы. Отмечается также, что 5,7% всех уязвимых версий ПО используется в России.
@tomhunter
@tomhunter
#news Написал для вас на Хабре свежий обзор событий ноября. Там ох как есть что повспоминать: заходите почитать про весёлые приключения Пегасуса, громкий взлом ФБР и утечку данных у Robinhood.
@tomhunter
@tomhunter
#news В России началась блокировка Tor. Технология Tor позволяет обходить блокировку сайтов и пользоваться даркнетом — теневой частью интернета, недоступной в обычных браузерах. Tor блокируется в сетях большинства российских операторов связи и провайдеров интернета. Были заблокированы почти все IP-адреса, которые использует Tor и связанные с ним системы. Блокировке также подвергаются почти все VPN-сервисы, которые ранее позволяли посещать запрещённые в России сайты. Если вдруг Tor оказался вам недоступен - запросите МОСТ у них в настройках.
Знаете, что мне странно? А то, что Лига Безопасного Интернета петицию по блокировке Tor выкладывает на чендже - таки совсем неправославном и забитом ботами ресурсе.
@tomhunter
Знаете, что мне странно? А то, что Лига Безопасного Интернета петицию по блокировке Tor выкладывает на чендже - таки совсем неправославном и забитом ботами ресурсе.
@tomhunter
#news Приехали: Apple прислала как минимум 9 сотрудникам Госдепартамента США уведомление о том, что их телефоны прослушиваются Пегасусом. Атаки свежие.
Кажется, неизвестных взломщиков интересовала информация, связанная с Угандой. NSO Group заявила, что уже перекрыла этим клиентам доступ к Пегасусу и изучает атаки. Впрочем, источники Reuters сообщают, что компания не знает точно, какие именно из их инструментов использовали для взлома.
Если мне не изменяет память, NSO Group говорила летом, что не знает, за кем именно следят её клиенты — не хранит такой информации. Ещё в саму технологию вшита невозможность атак на американские номера (начинаются с +1).
Напрашиваются два очевидных вопроса. Как тогда эти клиенты умудрились провести такие атаки, если их невозможность вшита в Пегасус? И как NSO Group так быстро определила, кто именно из её клиентов стоит за этими атаками, если таких данных они не хранят? Всё чудесатее и чудесатее — или я в этом витиеватом лоре уже запутался, или кто-то заврался.
@tomhunter
Кажется, неизвестных взломщиков интересовала информация, связанная с Угандой. NSO Group заявила, что уже перекрыла этим клиентам доступ к Пегасусу и изучает атаки. Впрочем, источники Reuters сообщают, что компания не знает точно, какие именно из их инструментов использовали для взлома.
Если мне не изменяет память, NSO Group говорила летом, что не знает, за кем именно следят её клиенты — не хранит такой информации. Ещё в саму технологию вшита невозможность атак на американские номера (начинаются с +1).
Напрашиваются два очевидных вопроса. Как тогда эти клиенты умудрились провести такие атаки, если их невозможность вшита в Пегасус? И как NSO Group так быстро определила, кто именно из её клиентов стоит за этими атаками, если таких данных они не хранят? Всё чудесатее и чудесатее — или я в этом витиеватом лоре уже запутался, или кто-то заврался.
@tomhunter
T.Hunter
#news Лучший канал про Apple снова на связи. Если AirTag, отслеживающее устройство от Яблока, находится в режиме утери, то обнаруживший его человек сможет просканировать находку телефоном и увидеть номер телефона владельца, чтобы с ним связаться. Оказывается…
#news Метки Apple AirTags, которые позволяют владельцам техники Apple отслеживать свои вещи, все чаще используются для краж автомобилей в Канаде и США. Точнее, при угоне используются обычные методов, но AirTag позволяет точно отслеживать премиальный автомобиль до того момента, когда он остаётся на улице без присмотра и его легко угнать.
@tomhunter
@tomhunter
#news Троян удаленного доступа BRATA Android (RAT) продолжил распространяться при помощи SMS-рассылки. Атака начинается с незапрашиваемого SMS-сообщения, содержащего ссылку на вредоносный веб-сайт. Этот текст представляет собой сообщение из банка, призывающее получателя загрузить приложение для защиты от спама. Ссылка ведет на страницу, с которой жертва сама загружает вредоносное ПО BRATA или перенаправляет их на фишинговую страницу для ввода своих банковских учетных данных. На этом этапе злоумышленники звонят жертве по телефону и притворяются сотрудником банка, предлагая помощь с установкой приложения. Приложению требуется несколько разрешений, чтобы позволить субъекту получить полный контроль над взломанным устройством, включая службы специальных возможностей, просматривать и отправлять SMS, совершать телефонные звонки и выполнять запись экрана.
@tomhunter
@tomhunter
#news 72,5% организаций регистрируют у себя случаи нарушений в части управления доступом в информационные системы, а в 55% российских компаний такие инциденты приводят к утечке конфиденциальной информации. 40% компаний регистрируют случаи нарушений доступа более 3-х раз в год, а 32,5% - свыше 5-ти раз в год.
@tomhunter
@tomhunter
#news Крутой пример расследования... Банды киберпреступников, внедряющие программы-вымогатели, редко сами получают первоначальный доступ к цели. Чаще такой доступ приобретается у брокера, который специализируется на получении учетных данных для удаленного доступа. На форумах Exploit и Verified пользователем с никнеймом “Babam” было опубликовано более 27 сообщение о продаже учетных данные виртуальных частных сетей (VPN), украденные у различных компаний. В ходе проведенного расследования удалось установить вероятную личность киберпреступника, которым оказался 36-летний житель Литвы по имени Витаутас Моцкус.
@tomhunter
@tomhunter
#news KMSPico - популярный неофициальный активатор продуктов Microsoft Windows и Office, распространенный и в России, используется для кражи криптокошельков с Windows-ПК. Вредоносный установщик KMSPico имеет самораспаковывающийся исполняемый файл, такой как 7-Zip, и содержит как фактический эмулятор сервера KMS, так и Cryptbot. Поскольку работа Cryptbot не зависит от наличия незашифрованных двоичных файлов на диске, обнаружение его возможно только путем отслеживания выполнения команд PowerShell или внешнее сетевое взаимодействие.
@tomhunter
@tomhunter
#news Новая фишинговая кампания нацелилась на подтвержденные учетки в Twitter (это те, у кого есть синий значок с галочкой). Эти аккаунты обычно представляют известных влиятельных лиц, известных знаменитостей, политиков, журналистов, активистов, а также правительственные и частные организации. Фишинг побуждает пользователя Twitter «обновить» свои данные, чтобы не потерять подтвержденный статус. При этом, фишинг успешно проходит спам-фильтры Gmail.
@tomhunter
@tomhunter
#news И снова про фишинг. Продолжается серия атак с использованием поддельных уведомлений Office 365. Что делает эти фишинговые письма особенно убедительными, так это использование домена [at] messaging.microsoft.com для их отправки потенциальным целям и отображаемое имя, соответствующее доменам получателей. Кроме того, злоумышленники встроили официальный логотип Office 365 и включили ссылки на заявление о конфиденциальности и политику допустимого использования Microsoft в конце электронного письма.
@tomhunter
@tomhunter
#news Киберпреступники усиливают распространение файлов Excel XLL, которые загружают на компьютеры жертв троян RedLine. Вредонос предназначен для кражи файлов cookie, имен пользователей и их паролей, кредитных карт, а также иной информации.
@tomhunter
@tomhunter
#news Cisco Talos рассказали о malvertising-кампаниях (malware + advertising), проведённых в 2018-2020 годах неким magnat.
Схема такая. Пользователь хочет установить какое-нибудь популярное приложение или игру: Viber, WeChat, NoxPlayer, Battlefield и так далее. Прогуглив желаемое, он переходит по ссылке из выдачи или рекламы на зловредный сайт. Под видом установщика на устройство засаживают:
⋅ вора паролей RedLine Stealer;
⋅ бэкдор на AutoIt, устанавливающий постоянное соединение с удалённым сервером хакера;
⋅ зловредное Chrome-расширение MagnatExtension, которое может воровать данные из форм, вытягивать куки и выполнять произвольный JS-код.
@tomhunter
Схема такая. Пользователь хочет установить какое-нибудь популярное приложение или игру: Viber, WeChat, NoxPlayer, Battlefield и так далее. Прогуглив желаемое, он переходит по ссылке из выдачи или рекламы на зловредный сайт. Под видом установщика на устройство засаживают:
⋅ вора паролей RedLine Stealer;
⋅ бэкдор на AutoIt, устанавливающий постоянное соединение с удалённым сервером хакера;
⋅ зловредное Chrome-расширение MagnatExtension, которое может воровать данные из форм, вытягивать куки и выполнять произвольный JS-код.
@tomhunter
#news И вот опять. У криптоплатформы BitMart украли крипты на чуть менее $200 миллионов: ETH, BSC, а также самые разные токены на Ethereum и Binance Smart Chain.
С причинами и ходом атаки пока разбираются, но всё выглядит довольно банально — хакеры каким-то образом украли ключи от пары кошельков платформы, всё вывели и отмыли. Пока что платформа временно заблокировала возможность вывода средств с неё.
Очередная иллюстрация того, почему нельзя считать своими деньги, лежащие в горячих (то есть, имеющих доступ в интернет) кастодиальных (то есть, «безопасно» хранящих ваши ключи вместо вас) кошельках. Сегодня-то они ваши, а вот завтра платформа внезапно накосячит.
@tomhunter
С причинами и ходом атаки пока разбираются, но всё выглядит довольно банально — хакеры каким-то образом украли ключи от пары кошельков платформы, всё вывели и отмыли. Пока что платформа временно заблокировала возможность вывода средств с неё.
Очередная иллюстрация того, почему нельзя считать своими деньги, лежащие в горячих (то есть, имеющих доступ в интернет) кастодиальных (то есть, «безопасно» хранящих ваши ключи вместо вас) кошельках. Сегодня-то они ваши, а вот завтра платформа внезапно накосячит.
@tomhunter
#news У Gravatar утечка: в руках хакеров оказались данные около 114 миллионов пользователей. Слиты юзернеймы, имена и MD5-хэши почтовых адресов.
Граватар — это такой сервис-аддон для WordPress, показывающий аватарки. Один исследователь ещё год с хвостиком назад рассказывал, что скрейпить данные с Граватара проще простого, но… кто ж станет исследователей слушать?
Об этой утечке мы пока знаем по рассылке от Have I been pwned?. Аккаунт вашего покорного слуги, кстати, тоже попался.
@tomhunter
Граватар — это такой сервис-аддон для WordPress, показывающий аватарки. Один исследователь ещё год с хвостиком назад рассказывал, что скрейпить данные с Граватара проще простого, но… кто ж станет исследователей слушать?
Об этой утечке мы пока знаем по рассылке от Have I been pwned?. Аккаунт вашего покорного слуги, кстати, тоже попался.
@tomhunter
T.Hunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад. @tomhunter
#news С как минимум 2017 года некто загадочный KAX17 держал сотни зловредных Tor-ретрансляторов. Предполагается, что их цель — отслеживать и деанонимизировать пользователей Тора.
Сотни таких ретрансляторов Tor Project свернул в октябре и ноябре этого года. Какие-то, по всей видимости, действуют и сейчас.
На пике зловредов было 900. Для сравнения, в среднем в сети ежедневно активно от 9 до 10 тысяч серверов.
Исследователь говорит, что в определённый момент каждый пользователь Тора имел 16% вероятность подключиться к зловреду на входе, 35% шанс пройти через один из таких «защитных» (middle) ретрансляторов и 5% шанс поймать что-то на выходе.
@tomhunter
Сотни таких ретрансляторов Tor Project свернул в октябре и ноябре этого года. Какие-то, по всей видимости, действуют и сейчас.
На пике зловредов было 900. Для сравнения, в среднем в сети ежедневно активно от 9 до 10 тысяч серверов.
Исследователь говорит, что в определённый момент каждый пользователь Тора имел 16% вероятность подключиться к зловреду на входе, 35% шанс пройти через один из таких «защитных» (middle) ретрансляторов и 5% шанс поймать что-то на выходе.
@tomhunter
#news WhatsApp объявила сегодня, что расширила функции контроля конфиденциальности, добавив по умолчанию исчезающие сообщения для всех вновь инициированных чатов. Вы можете включить исчезновение сообщений по умолчанию для всех новых индивидуальных чатов на устройствах iOS и Android, перейдя в настройки WhatsApp, нажав «Учетная запись»> «Конфиденциальность»> «Таймер сообщений по умолчанию» и выбрав продолжительность.
А еще в октябре WhatsApp развернул сквозное зашифрованное резервное копирование чатов на iOS и Android, чтобы заблокировать доступ к чату для всех, независимо от того, где они хранятся.
Фейсбук? Конфиденциальность? Мыши против сыра... тем более, что включение исчезающих сообщений не защитит их от пересылки другим лицам, которым не доверяют, поскольку их все еще можно сохранить (сделать снимок экрана или скопировать) до того, как они будут удалены из чата.
@tomhunter
А еще в октябре WhatsApp развернул сквозное зашифрованное резервное копирование чатов на iOS и Android, чтобы заблокировать доступ к чату для всех, независимо от того, где они хранятся.
Фейсбук? Конфиденциальность? Мыши против сыра... тем более, что включение исчезающих сообщений не защитит их от пересылки другим лицам, которым не доверяют, поскольку их все еще можно сохранить (сделать снимок экрана или скопировать) до того, как они будут удалены из чата.
@tomhunter