#news ФБР официально связало программу-вымогатель Diavol с группой TrickBot. TrickBot наиболее известна своим одноименным банковским трояном TrickBot, но также стоит за разработкой бэкдоров BazarBackdoor и Anchor. Другое название программы-вымогателя Diavol — программа-вымогатель Enigma, которую использовала команда TrickBot до ребрендинга Diavol. ФБР, вероятно, смогло официально связать Diavol с бандой TrickBot после ареста Аллы Витте, латвийки, участвовавшей в разработке программы-вымогателя для банды вредоносных программ.
@tomhunter
@tomhunter
#news Log4j все еще находится в активной эксплуатации. Уже 4 января злоумышленники начали использовать уязвимость CVE-2021-44228 в системах с выходом в Интернет, работающих под управлением VMware Horizon. Это привело к развертыванию программы-вымогателя NightSky. Ожидается, что злоумышленники продолжат искать Log4j-уязвимые системы и проводить целевые атаки в будущем.
@tomhunter
@tomhunter
#OSINT #Maltego Давно не обсуждали Maltego... Итак, у нас есть очередное бесплатное дополнение программного обеспечения от НЦБ Интерпола. Скачать можно по ссылке.
@tomhunter
@tomhunter
#news Киберпреступники подделывают QR-коды, чтобы перенаправить жертв на вредоносные сайты, которые крадут авторизацию и финансовую информацию - "открыли сегодня истину" в ФБР. ФБР заявило, что мошенники меняют законные QR-коды, используемые предприятиями для целей оплаты, чтобы перенаправить потенциальных жертв на вредоносные веб-сайты, предназначенные для кражи их личной и финансовой информации, установки вредоносных программ на их устройства или перенаправления их платежей на счета, находящиеся под их контролем.
@tomhunter
@tomhunter
#news Prepare to… get hacked. В мультиплеере Dark Souls 3 нашли RCE-уязвимость, с помощью которой любой игрок может превратить компьютер другого в кирпич, позапускать на фоне программы и вытянуть личные данные.
Единственное доступное (пока) решение — не играть в мультиплеер. Мод Blue Sentinel этот эксплойт распознавать не умеет.
Есть кусочек стрима с демонстрацией эксплойта, который можно посмотреть тут.
@tomhunter
Единственное доступное (пока) решение — не играть в мультиплеер. Мод Blue Sentinel этот эксплойт распознавать не умеет.
Есть кусочек стрима с демонстрацией эксплойта, который можно посмотреть тут.
@tomhunter
#news Забавный даркнетовский магазин Accountz Club продает пароли от аккаунтов на сервисах для киберпреступников — инструментах для спама, магазинов с украденными данными карт и так далее.
Можно купить аккаунт за половину доступного на нем баланса и потратить его на свои цели. Заодно получить доступ ко всем данным и услугам, которые незадачливый киберпреступник уже оплатил.
Accountz Club обещает скоро сильно расширить ассортимент. У них это наверняка получится: многие киберпреступники используют на разных сервисах одни и те же логины и пароли. Те пароли, что угодили в Accountz Club, ещё и очень простые — легко брутфорсятся при желании.
Такая вот занятная метапреступность.
@tomhunter
Можно купить аккаунт за половину доступного на нем баланса и потратить его на свои цели. Заодно получить доступ ко всем данным и услугам, которые незадачливый киберпреступник уже оплатил.
Accountz Club обещает скоро сильно расширить ассортимент. У них это наверняка получится: многие киберпреступники используют на разных сервисах одни и те же логины и пароли. Те пароли, что угодили в Accountz Club, ещё и очень простые — легко брутфорсятся при желании.
Такая вот занятная метапреступность.
@tomhunter
👍1
#news Роскомнадзор может создать систему блокировки звонков с подменных номеров. Соответствующее исследование за 8,2 млн рублей заказало подведомственное Роскомнадзору ФГУП «Главный радиочастотный центр» (ГРЧЦ). Тендер разыгрывался в закрытом режиме - интересненько))).
К слову... за 11 месяцев 2021 года телефонные мошенники с помощью подменных номеров украли у россиян около 45 млрд рублей.
@tomhunter
К слову... за 11 месяцев 2021 года телефонные мошенники с помощью подменных номеров украли у россиян около 45 млрд рублей.
@tomhunter
#news Снова о любимых яблоках. Исследователь рассказал про серию уязвимостей в Safari на macOS, позволявшую получить полный доступ ко всем открытым сайтам на компьютере жертвы.
Суть такая. Когда пользователь делится с кем-то файлом по iCloud, Apple за кулисами использует для этой передачи приложение ShareBear. Сначала хакер может передать совершенно безобидный файл. Но ShareBear, iCloud и macOS друг другу взаимно доверяют, и если потом заменить этот безобидный файл на вполне себе обидный, никаких уведомлений не будет. Более того, файл можно открыть условно-насильно.
Провернув всё это, хакер получает полный доступ к взломанному браузеру — может пользоваться открытыми у жертвы сайтами, получить доступ к камере и микрофону, видеть без ведома жертвы её экран и так далее.
Уязвимости, к счастью, устранили в конце 2021, выплатив неплохую баунти.
@tomhunter
Суть такая. Когда пользователь делится с кем-то файлом по iCloud, Apple за кулисами использует для этой передачи приложение ShareBear. Сначала хакер может передать совершенно безобидный файл. Но ShareBear, iCloud и macOS друг другу взаимно доверяют, и если потом заменить этот безобидный файл на вполне себе обидный, никаких уведомлений не будет. Более того, файл можно открыть условно-насильно.
Провернув всё это, хакер получает полный доступ к взломанному браузеру — может пользоваться открытыми у жертвы сайтами, получить доступ к камере и микрофону, видеть без ведома жертвы её экран и так далее.
Уязвимости, к счастью, устранили в конце 2021, выплатив неплохую баунти.
@tomhunter
#news Вечером в понедельник хакеры Belarusian Cyber-Partisans взломали и зашифровали часть серверов Белорусской железной дороги. Главная причина — передвижение российских войск по территории страны.
Хакеры утверждают, что у них есть все ключи для расшифровки. Он готовы их отдать, если правительство отпустит 50 политзаключенных, которым больше всего нужна медицинская помощь, и ограничит войскам России доступ на территорию.
Из-за взлома не работают электронная покупка билетов (окно показывается тут) и внутренние бизнес-системы — сотрудники говорят, что там какие-то специфические древние БД, с которыми никто не может вручную разобраться.
@tomhunter
Хакеры утверждают, что у них есть все ключи для расшифровки. Он готовы их отдать, если правительство отпустит 50 политзаключенных, которым больше всего нужна медицинская помощь, и ограничит войскам России доступ на территорию.
Из-за взлома не работают электронная покупка билетов (окно показывается тут) и внутренние бизнес-системы — сотрудники говорят, что там какие-то специфические древние БД, с которыми никто не может вручную разобраться.
@tomhunter
#news Роскомнадзор внёс Яндекс Go (это «Такси», «Лавка» и «Еда») в реестр ОРИ — организаторов распространения информации. Это означает, что теперь они обязаны предоставлять властям интересующие пользовательские данные по запросу.
Кажется, изменилось примерно ничего: Яндекс и раньше без вопросов делился данными. Просто теперь эта обязанность зафиксирована на бумаге, и параноидальные ИБшники могут просто перестать кормить Яндекс своими данными. Говорю как параноидальный ИБшник.
@tomhunter
Кажется, изменилось примерно ничего: Яндекс и раньше без вопросов делился данными. Просто теперь эта обязанность зафиксирована на бумаге, и параноидальные ИБшники могут просто перестать кормить Яндекс своими данными. Говорю как параноидальный ИБшник.
@tomhunter
#news Владельца площадки DeepDotWeb (DDW) Тала Прихара осудили на 97 месяцев тюрьмы за отмывание почти $8 с половиной миллионов.
DDW — это своеобразный сайт-агрегатор даркнетовских магазинов с оружием, украденными персональными данными, наркотиками и всеми прочими вещами, которыми в даркнете обычно торгуют. Сайт монетизировался партнёрками: заработал с покупок приведенных им клиентов 8155 биткоинов. Чтобы их отмыть, Прихар прогнал их через несколько биткоин-кошельков и вывел на банковские счета своих подставных компаний.
@tomhunter
DDW — это своеобразный сайт-агрегатор даркнетовских магазинов с оружием, украденными персональными данными, наркотиками и всеми прочими вещами, которыми в даркнете обычно торгуют. Сайт монетизировался партнёрками: заработал с покупок приведенных им клиентов 8155 биткоинов. Чтобы их отмыть, Прихар прогнал их через несколько биткоин-кошельков и вывел на банковские счета своих подставных компаний.
@tomhunter
#news Малварь Dark Herring, ворующая деньги с мобильного счета, заразила более 105 миллионов Android-устройств по всему миру. Распространяли её как минимум с марта по ноябрь через почти 500 зловредных приложений в Play Store, которые Гугл уже удалил.
Механика у малвари банальная: дописывает в счёт за мобильную связь «подписку на услугу» за $15 в месяц.
Впечатляют тут скорее стратегия и порождённые ею масштабы. Во-первых, несложная математика подсказывает, что за эти несколько месяцев наворовать успели не одну сотню миллионов долларов.
Во-вторых, спланировали кампанию ну очень тщательно. Вредоносные приложения покрывали множество категорий и действительно работали — это не просто клоны существующих проектов. Ещё их перевели на множество языков, которые включались по геолокации пользователя. По геолокации же фильтровали самых лёгких жертв — из стран, в которых подсунуть такую «услугу» в счёт проще.
@tomhunter
Механика у малвари банальная: дописывает в счёт за мобильную связь «подписку на услугу» за $15 в месяц.
Впечатляют тут скорее стратегия и порождённые ею масштабы. Во-первых, несложная математика подсказывает, что за эти несколько месяцев наворовать успели не одну сотню миллионов долларов.
Во-вторых, спланировали кампанию ну очень тщательно. Вредоносные приложения покрывали множество категорий и действительно работали — это не просто клоны существующих проектов. Ещё их перевели на множество языков, которые включались по геолокации пользователя. По геолокации же фильтровали самых лёгких жертв — из стран, в которых подсунуть такую «услугу» в счёт проще.
@tomhunter
#news 65 из 100 IT-руководителей и безопасников хоть раз пытались завербовать в качестве инсайдеров хакеры, ищущие цели для ransomware-атак. Это выяснил свежий опрос от Pulse и Hitachi ID.
Осенью 2021 об этом заявляли лишь 48 из 100 опрошенных — похоже, сказался успех Log4j.
В основном с потенциальными инсайдерами связываются по почте, реже по телефону или в соцсетях. Есть и те, кому предлагали за такое вот сотрудничество больше $1 млн.
@tomhunter
Осенью 2021 об этом заявляли лишь 48 из 100 опрошенных — похоже, сказался успех Log4j.
В основном с потенциальными инсайдерами связываются по почте, реже по телефону или в соцсетях. Есть и те, кому предлагали за такое вот сотрудничество больше $1 млн.
@tomhunter
#news REvil — это эдакий киберпанковый Змей Горыныч. Одну голову отрубишь, а на её месте ещё две выскочат, хвост попробуешь отсечь — он ещё два отрастит.
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
#news У криптоплатформы Qubit украли $80 миллионов.
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
#news Исследователи изучили возможность использования графических процессоров для создания уникальных фингерпринтов и их отслеживания в интернете. Исследователи рассмотрели возможность создания отличительных отпечатков пальцев на основе GPU (графического процессора) отслеживаемых систем с помощью WebGL (Web Graphics Library). WebGL — это кроссплатформенный API для рендеринга 3D-графики в браузере, который присутствует во всех современных веб-браузерах.
@tomhunter
@tomhunter
#OSINT #MAC Привет всем! Давно не писали про OSINT. Сегодня коснемся источников, предназначенных для исследования MAC-адреса.
├macaddress (Check MAC)
├macvendorlookup (Check MAC)
├samy (Check MAC)
├mac-find (Check MAC)
├networkcenter (Check MAC)
├wigle (Geolocation)
├mac-geo (Geolocation)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
@tomhunter
├macaddress (Check MAC)
├macvendorlookup (Check MAC)
├samy (Check MAC)
├mac-find (Check MAC)
├networkcenter (Check MAC)
├wigle (Geolocation)
├mac-geo (Geolocation)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
@tomhunter
#news Продавай краденое! Криминальный магазин Accountz Club предлагает к покупке взломанные логины к другим криминальным магазинам. Его ближайшим аналогом и конкурентом является Genesis Market. Пикантной подробностью является то, что Accountz в настоящее время продает четыре разных логина к Genesis))).
@tomhunter
@tomhunter
#news К концу подошел первый месяц 2022. Самое время оглянуться назад и посмотреть на новые и интересные CVE, появившейся в январе этого года. Внимание! Вся представленная ниже информация предназначена только для ознакомительного изучения. Автор не несет никакой ответственности за любой причиненный вред с использованием изложенной информации.
P.S. Не забудьте подписаться на мой блог!
@tomhunter
P.S. Не забудьте подписаться на мой блог!
@tomhunter
#news На NYT вышел хороший лонгрид о том, как Израиль последовательно использовал Пегасус для своей политической выгоды.
Например, один из покупателей шпионского софта — ФБР. Те, конечно, утверждают, что Пегасус не использовали, хоть и купили.
Среди прочих занятных моментов: принц Саудовской Аравии пытался договориться с премьер-министром Израиля о возобновлении для них лицензии на спайварь. В обмен предлагал Израилю доступ к воздушному пространству над своей страной. Лицензию, напоминаю, предположительно забрали из-за того, что Саудовская Аравия выслеживала с помощью Пегасуса журналиста Джамаля Хашогги, убитого позднее в 2018 году.
@tomhunter
Например, один из покупателей шпионского софта — ФБР. Те, конечно, утверждают, что Пегасус не использовали, хоть и купили.
Среди прочих занятных моментов: принц Саудовской Аравии пытался договориться с премьер-министром Израиля о возобновлении для них лицензии на спайварь. В обмен предлагал Израилю доступ к воздушному пространству над своей страной. Лицензию, напоминаю, предположительно забрали из-за того, что Саудовская Аравия выслеживала с помощью Пегасуса журналиста Джамаля Хашогги, убитого позднее в 2018 году.
@tomhunter
#news Очередная беда с WordPress: около 600 тысяч сайтов затронуты критической RCE-уязвимостью в популярном плагине.
Касается проблема WordPress-сайтов, построенных на Elementor и использующих библиотеку Essential Addons версий 5.0.4 и старше. Из условий — использование модулей dynamic gallery и product gallery. На уязвимом сайте неавторизованный пользователь может выполнить любой код.
Чтобы закрыть уязвимость, нужно обновиться до 5.0.5. Из 1+ миллиона сайтов, использующих плагин, пока обновилось только 380 тысяч.
@tomhunter
Касается проблема WordPress-сайтов, построенных на Elementor и использующих библиотеку Essential Addons версий 5.0.4 и старше. Из условий — использование модулей dynamic gallery и product gallery. На уязвимом сайте неавторизованный пользователь может выполнить любой код.
Чтобы закрыть уязвимость, нужно обновиться до 5.0.5. Из 1+ миллиона сайтов, использующих плагин, пока обновилось только 380 тысяч.
@tomhunter