#news Вредонос Purple Fox распространяется при помощи фейкового загрузчика мессенджера Telegram. Установщик представляет собой скомпилированный сценарий AutoIt с именем «Telegram Desktop.exe», который включает в себя два файла: фактический установщик Telegram и вредоносный загрузчик.
@tomhunter
@tomhunter
#news Учетная запись Twitter, ранее связанная с приложением ANOM, опубликовала сообщение "Мы не федеральные агенты". Напомню, что ANOM - это поддельная платформа для обмена зашифрованными сообщениями, созданная в рамках глобальной спецоперации, проводимой ФБР США, полицией Австралии (AFP) и другими правоохранительными органами. После просмотра 27 миллионов сообщений, в которых преступники обсуждали свою деятельность на платформе ANOM, правоохранительные органы смогли арестовать 800 человек.
@tomhunter
@tomhunter
#OSINT #PGP Учимся идентифицировать почту пользователя по его публичному PGP-ключу шифрования. А вы и не знали, поди, что так можно..?
Начнем с самого простого. Итак, в сети есть сервисы, на которых выкладываются публичные PGP-ключи. Мне лично показались наиболее приятными сервисы peegeepee и keybase. Данные там частично скрыты, но когда это нас пугало.
Для извлечение адреса электронной почты из ключа PGP мы воспользуемся двумя встроенными командами Linux curl и gpg, чтобы загрузить и извлечь интересующий ключ. Curl по умолчанию встроен в Linux и Mac OS. Для Windows же существует GPG4Win, который позволит вам загружать и импортировать ключи PGP
Извлекаем полный открытый ключ PGP:
Начнем с самого простого. Итак, в сети есть сервисы, на которых выкладываются публичные PGP-ключи. Мне лично показались наиболее приятными сервисы peegeepee и keybase. Данные там частично скрыты, но когда это нас пугало.
Для извлечение адреса электронной почты из ключа PGP мы воспользуемся двумя встроенными командами Linux curl и gpg, чтобы загрузить и извлечь интересующий ключ. Curl по умолчанию встроен в Linux и Mac OS. Для Windows же существует GPG4Win, который позволит вам загружать и импортировать ключи PGP
Извлекаем полный открытый ключ PGP:
$ curl https://peegeepee.com/******.ascСчитываем данные полного ключа PGP (включая имя пользователя и его email):
$ curl https://d.peegeepee.com/******.asc | gpg@tomhunter
#news Данные почти 7,5 миллионов пользователей DatPiff продаются в Интернете. DatPiff - популярный сервис хостинга микстейпов, которым пользуются более 15 миллионов человек. База данных DatPiff содержит 7 476 940 записей участников, включая адрес электронной почты пользователя, пароль, имя пользователя и секретный вопрос. Пароли в базе данных могли быть взломаны, потому что DatPiff хэшировал их с помощью алгоритма MD5, старой (1992) криптографической хеш-функции, которая считается устаревшей и небезопасной, особенно для защиты паролей. Проверить факт утечки можно на сервисе Have I Been Pwned.
@tomhunter
@tomhunter
#OSINT 28 ноября 2019 года началась одна из самых крупных волн виртуального минирования в России. Эксперты связывают ее с криптобиржей WEX. Именно на WEX были якобы украдены пресловутые 120 биткоинов, которые минёр требовал вернуть у олигарха Константина Малофеева.
Требуемые биткоины вымогатель рассчитывал получить на криптовалютный кошелек 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn. На данный кошелек было сделано 3 транзакции на общую сумму 0,11 биткоина. Через некоторое время, эти средства пришли в движение и, в конечном итоге, поступили на один из криптокошельков Binance, используемому одним из даркнет-обменников. Его адрес 1L8yxmvqGeaKGC64VzkBG9FJTP48RqeSct.
На него же приходили средства, полученные от деятельности вирусов-вымогателей, принимавших средства на криптокошельки: bc1qnvcyacydf4meym8lz2kyk09gk2qwn07jp6tqpd и bc1q2z37syfqs4rykfd7jn0tlnrgn48zcz93qsrw56. Эти криптокошельки были отнесены к деятельности хакерской группы Encrpt3d, а также 83 Центра ИПсО ССО Украины.
@tomhunter
Требуемые биткоины вымогатель рассчитывал получить на криптовалютный кошелек 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn. На данный кошелек было сделано 3 транзакции на общую сумму 0,11 биткоина. Через некоторое время, эти средства пришли в движение и, в конечном итоге, поступили на один из криптокошельков Binance, используемому одним из даркнет-обменников. Его адрес 1L8yxmvqGeaKGC64VzkBG9FJTP48RqeSct.
На него же приходили средства, полученные от деятельности вирусов-вымогателей, принимавших средства на криптокошельки: bc1qnvcyacydf4meym8lz2kyk09gk2qwn07jp6tqpd и bc1q2z37syfqs4rykfd7jn0tlnrgn48zcz93qsrw56. Эти криптокошельки были отнесены к деятельности хакерской группы Encrpt3d, а также 83 Центра ИПсО ССО Украины.
@tomhunter
😁1
#news Исследователи разработали новую технику, которая имитирует выключение или перезагрузку iPhone, предотвращая удаление вредоносных программ. Поскольку в этой атаке, которую исследователи называют «NoReboot», не используются какие-либо недостатки iOS, а вместо этого используется обман на уровне человека, Apple не может ее исправить.
▶️ https://youtu.be/g_8JVUVLxTk
@tomhunter
▶️ https://youtu.be/g_8JVUVLxTk
@tomhunter
#news В декабре 2021 года возникла новая тенденция в фишинговых атаках: злоумышленники стали злоупотреблять функцией комментирования Google Docs для рассылки электронных писем. Комментарий к подобному электронному письму может содержать вредоносные ссылки, ведущие к вредоносным программам.
@tomhunter
@tomhunter
#news Швейцарская армия запретила иностранные мессенджеры, такие как Signal, Telegram и WhatsApp, и требует от военнослужащих использовать вместо этого приложение для обмена сообщениями местной разработки Threema. Одно из основных отличий заключается в том, что Threema не требует от пользователей предоставления номера телефона или адреса электронной почты при регистрации, поэтому личность пользователя не может быть определена с помощью общедоступных данных.
Кстати... Если вы ищете приложения для обмена мгновенными сообщениями с открытым исходным кодом, которые полностью анонимны, имеют надежное сквозное шифрование и децентрализованы, рекомендую попробовать Session, Matrix или Briar.
@tomhunter
Кстати... Если вы ищете приложения для обмена мгновенными сообщениями с открытым исходным кодом, которые полностью анонимны, имеют надежное сквозное шифрование и децентрализованы, рекомендую попробовать Session, Matrix или Briar.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Night Sky — новейшая программа-вымогатель, нацеленная на корпоративные сети. Она заработала 27 декабря. Одна из жертв получила первоначальное требование о выкупе в размере 800 000 долларов за дешифратор и запрет на публикацию украденных данных. Образец программы-вымогателя Night Sky содержит персонализированную записку о выкупе и жестко закодированные учетные данные для доступа к странице переговоров жертвы.
@tomhunter
@tomhunter
#news Norton 360, один из самых популярных антивирусных продуктов на рынке сегодня, устанавливает на компьютеры своих клиентов программу майнинга криптовалюты. Материнская компания Norton говорит, что данный сервис позволяет клиентам получать прибыль от схемы, в которой компания сохраняет 15 процентов любой добытой валюты. Однако пользователи Norton жалуются, что программу майнинга трудно удалить, а реакции давних клиентов варьируются от беспокойства и недоверия до «Чувак, где моя криптовалюта?»
@tomhunter
@tomhunter
#news Федеральное бюро расследований (ФБР) предупредило американские компании в недавно обновленном экстренном предупреждении о том, что финансово мотивированная группа киберпреступников FIN7 нацелена на оборонную промышленность США с помощью пакетов, содержащих вредоносные USB-устройства («BadUSB» или «Bad Beetle USB» с логотипом LilyGO) для развертывания программ-вымогателей (включая BlackMatter и REvil).
@tomhunter
@tomhunter
#news На этой неделе хакеры атаковали исследователей и разработчиков кибербезопасности в рамках изощренной вредоносной кампании, распространяя вредоносную версию приложения dnSpy .NET для установки похитителей криптовалюты, троянов удаленного доступа и майнеров. Вредоносное приложение dnSpy при запуске выглядит как обычная программа. Он позволяет открывать приложения .NET, отлаживать их и выполнять все обычные функции программы. Однако когда вредоносное приложение dnSpy запускается, оно выполняет ряд команд, которые создают запланированные задачи, выполняемые с повышенными разрешениями.
@tomhunter
@tomhunter
#news Разработчик популярных библиотек NPM с открытым исходным кодом «colors.js» и «faker.js» намеренно ввел в них вредоносные коммиты, которые влияют на тысячи приложений, использующих эти библиотеки. Пользователи этих библиотек были ошеломлены, увидев свои приложения, печатающие тарабарщину.
@tomhunter
@tomhunter
#news На хакерских форумах продают 3.7 миллионов логов из FlexBooker, сервиса для записи к различным специалистам (в парикмахерские, например). Среди слитой информации почты, имена, телефонные номера и — для некоторых аккаунтов — частичные данные карточек.
В который раз убеждаюсь в том, что в такие вот виджеты записей куда уж лучше вводить виртуальный номер.
@tomhunter
В который раз убеждаюсь в том, что в такие вот виджеты записей куда уж лучше вводить виртуальный номер.
@tomhunter
#news С начала февраля Salesforce сделает MFA (мультифакторную авторизацию) обязательной для всех клиентов. Давно бы так!
К вопросу подошли основательно — простецкую 2FA через смски организовать не получится. Можно логиниться через одноразовый пароль из приложения Salesforce или всяких сторонних Google Authenticator, а также через аппаратные ключи или биометрию, например Touch ID.
Руководство по настройке и FAQ уже есть.
@tomhunter
К вопросу подошли основательно — простецкую 2FA через смски организовать не получится. Можно логиниться через одноразовый пароль из приложения Salesforce или всяких сторонних Google Authenticator, а также через аппаратные ключи или биометрию, например Touch ID.
Руководство по настройке и FAQ уже есть.
@tomhunter
#news Никого уже не удивишь хакерами, которые атакуют других хакеров. А вот как вам хакеры, которые атакуют сами себя?
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
#news Тут вот Microsoft рассказывает, что в macOS была уязвимость, позволявшая получить полный доступ к пользовательским данным — то есть, обойти защиту Transparency, Consent, and Control (TCC).
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
#news В конце 2021 года увеличилось количество распределенных отказов в обслуживании, связанных с требованием выкупа со стороны злоумышленников. В четвертом квартале прошлого года около четверти клиентов Cloudflare, подвергшихся DDoS-атаке, заявили, что получили от злоумышленника записку с требованием выкупа. DDoS-атаки с вымогательством или вымогательством (RDDoS) стали новой угрозой в августе 2020 года и с тех пор стали более масштабными и сложными. Судя по IP-адресам, большинство этих DDoS-инцидентов происходят из Китая, США, Бразилии и Индии и развернуты такими ботнетами, как Meris.
@tomhunter
@tomhunter
#news Заразившись собственным трояном (RAT) индийские кибершпионы PatchWork (они же Dropping Elephant, Chinastrats или Quilted Tiger) раскрыли данные о своих операциях... В результате самозаражения были захвачены нажатия клавиш и скриншоты их собственного компьютера и виртуальных машин. Известно, что злоумышленники использовали вредоносные RTF-документы, выдавая себя за пакистанские власти, для заражения целей новым вариантом BADNEWS RAT, известным как Ragnatela.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах Республики Беларусь. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
#news Петербургские суды снова минируют по электронной почте. Я уже разбирал то, как была организована работа "WEX-овского минёра", на деле имеющего отношение к иностранной спецслужбе. Вероятно, потребуется еще пара-тройка расследований, чтобы все поняли кто дразнит спящего медведя.
@tomhunter
@tomhunter