if name == "main":
main()
FLASHBOTS_KEY — это приватный ключ, который используется для подписания бандла. Он не обязан соответствовать какому-то реальному кошельку. Flashbots использует этот механизм в своей системе репутации пользователей.
Результат работы:
Что ж, проверим на практике.
Подождав некоторое время, бандл был включен в блок 19924093.
Транзакция с кошелька-донора (11-е место в блоке) - link.
Транзакция со скомпрометированного кошелька (12-е место в блоке) - link.
Как мы видим, транзакции были включены друг за другом, как мы и хотели. А кроме того, прошли в обход публичного пула транзакций, следовательно хакер бы их не увидел.
#Антидрейнер
• Канал CryptoHooligans • Чат
main()
FLASHBOTS_KEY — это приватный ключ, который используется для подписания бандла. Он не обязан соответствовать какому-то реальному кошельку. Flashbots использует этот механизм в своей системе репутации пользователей.
Результат работы:
Что ж, проверим на практике.
Подождав некоторое время, бандл был включен в блок 19924093.
Транзакция с кошелька-донора (11-е место в блоке) - link.
Транзакция со скомпрометированного кошелька (12-е место в блоке) - link.
Как мы видим, транзакции были включены друг за другом, как мы и хотели. А кроме того, прошли в обход публичного пула транзакций, следовательно хакер бы их не увидел.
#Антидрейнер
• Канал CryptoHooligans • Чат
Forwarded from Новости Кошелька
Мы запускаем рубрику #безопасность, где будем разбирать популярные схемы мошенничества. Цель рубрики — помочь вам защитить свои данные и избежать неприятностей
Начнём с простого: представьте, что вам написал знакомый с просьбой проголосовать за него в каком-нибудь конкурсе. К сообщению заботливо прикреплена ссылка, перейдя по которой можно оставить свой голос. Нажав на неё, вас перебросит на экран авторизации Telegram, где предложат ввести свои данные: номер телефона, код авторизации и ваш облачный пароль (вы же его установили, верно?). Кажется, что всё в порядке?
Не совсем. Сделав это, вы предоставите доступ к своему Telegram аккаунту мошенникам. Проголосовать, разумеется, не выйдет — скорее всего, вас просто перебросит обратно в диалог с жуликом
Как это работает? Мошенники создают поддельный интерфейс мессенджера, который выглядит как настоящий. Как только вы введёте в нём свои данные, они сразу окажутся в руках мошенника.
Что происходит дальше?
Мошенники не всегда действуют сразу. Они незаметно просматривают ваши чаты в поисках конфиденциальной информации — паролей (которые вы, возможно, храните в «Избранном»), личных сообщений и других чувствительных данных. Эти сведения могут быть использованы для доступа к вашим аккаунтам в социальных сетях или финансовых приложениях. Найдя необходимое, мошенник просто «выбросит» вас из аккаунта и начнёт отправлять вашим контактам те же сообщения, которые получили вы. Именно так и попался ваш знакомый и именно так мошенники распространяют эту схему
Как от этого защититься?
● Никогда не вводите данные от своего Telegram нигде, кроме официальных приложений.
● Если вам предлагают ввести ваши данные на каком-то сайте — стоит немедленно его покинуть (особенно, если вы уже залогинены в Telegram).
● Не храните пароли в «Избранном». Это небезопасно.
Следуя этим правилам вы значительно снизите риск попасть в ловушку. Берегите себя
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
В одной из групп был замечен пост про запуск проекта NEKO on BASE и раздачу токена $NEKO.
Требовалось выполнить несколько простых заданий в ТГ боте:
подписаться на 3 группы, написать NEKO TO MOON и указать адрес своего кошелька. Что может быть проще ? За эти действия вам начислялось 1000 $NEKO и за каждого приглашенного реферала добавляли по 1000 $NEKO.
Таким образом люди приглашая своих друзей и знакомых получали по 10000-50000 $NEKO.
Свой токен "команда"
Далее вы в ТГ боте нужно было нажать вывод на кошелек, указать свой адрес и вам отправляли ваши заветные токены прямо к вам на кошелек, красиво и просто, хомячек видит их на своем кошельке и думает о легких деньгах.
Проект обещал сделать свой DEX для обмена токена на сайте, указав, что такого то числа в 10 ч ожидайте, все будет! И ведь люди ждали...
В назначенный час X на сайте ничего не произошло, в Тг чате заблокировали возможность отправлять сообщения - еще один 🏴☠️ ред флаг! (Бывает так делают, чтобы люди не спамили в группу одними и теми же вопросами, когда же вы уже запустите DEX? Но это не наш случай.) После 20-30 минут ожидания в ТГ группе админ написал что приносим свои извинения, и все будет, но через час, подождите... Прошел час, ничего не поменялось, кроме измененного сообщения уже на 2ч :) Примерно через 2,5-3ч томления хомячков админ выкладывает пост, что якобы поступило много запросов о том, что люди не успели в отведенный ранее срок запросить вывод своих драгоценных токенов на кошельки (интересно каким образом они писали в группу, где заблокировали возможность это делать? Дискорда у них нет и в X сообщений тоже не было) - 🏴☠️ред флаг! И они такие хорошие дают возможность сделать вывод всем, кто не успел это сделать ранее, подогревая интерес, что все будет, просто ждите анонсов.
Затем спустя 7-8ч томления админ пишет в группе что все практически готово, вывод на кошельки снова закрыт, ожидайте запуска DEX. Проходит еще 2 ч, хомячки начинают терять терпение и вуаля админ резко переобувается и выкладывает пост как произвести обмен через ТГ бота!
и после того как вы нам все отправите мы отправим вам USDT в течении 72ч на ваш кошелек
Кошелек предприимчивого мошонника - и ведь люди отсылали свои деньги (300$ уже им удалось получить в свой карман), надеясь до последнего, что им удастся получить свой профит, да, жажда наживы часто затмевает светлый взор и растворяет трезвость ума...
Подведем итоги:
часто пишут о помойных постах и проектах в ТГ, убедились еще раз, что из них 99% - это развод. Всегда нужно смотреть трезвым взглядом, без розовых очков, не терять бдительность и не игнорировать ред флаги. Похожие случаи есть, когда на сайте зашивают дрейнер и при подключении вашего кошелька все средства улетают на адрес фокусника, тут даже не удосужились напрячься созданием такового, а просто написали ТГ бота... Затраты копеечные, профит хоть и небольшой, но уже есть, если бы не жадничали и например запросили 0,6 $ за комиссии - то людей было бы гораздо больше кто отправил бы им на покушать. (пример 50000 по 0,6$ - профит 30000$).
#Безопасность #РазводНаДеньги
• Канал CryptoHooligans • Чат
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2💯1
HackCable — устройство с Kickstarter, которое выглядит как обычный провод, но скрывает целый арсенал для этичного хакинга: инъекции нажатий клавиш, Wi-Fi-управление через смартфон и полный контроль над целевым устройством. Все это в формате привычного зарядного кабеля, который не привлечет внимания даже самого параноидального админа.
Переходник с USB-A на USB-C — самая обычная вещь в наше время. Но что, если этот кабель умеет не только заряжать смартфон или передавать данные, но и перехватывать нажатия клавиш, а еще сам иногда становится клавиатурой и что‑то печатает? Встречай HackCable — проект, который уже набрал на Kickstarter необходимую для производства сумму и готовится к выпуску. Сбор средств официально закроется в субботу, 16 февраля.
Кабель выйдет в двух версиях: с модулем Wi-Fi на базе ESP32 для удаленного перехвата и в варианте с чипом RP2040 для локальных задач. Обе модификации поддерживают Python и работают с устройствами на Windows, macOS, Linux, Android и iOS.
Обе версии используют один принцип — представление себя как HID-устройство. Это позволяет вводить команды напрямую, обходя антивирусы и системы обнаружения.
Предполагается, что HackCable будет неотличим от обычного переходника с USB-A на USB-C.
Обычная версия (RP2040)
Процессор: двухъядерный ARM Cortex-M0+ с тактовой частотой до 133 МГц
Память: 2 Мбайт встроенной QSPI Flash и 264 Кбайт SRAM
Порты ввода‑вывода: полноскоростная поддержка USB 1.1 в режиме хоста и устройства, 26 многофункциональных GPIO-пинов
Цифровые интерфейсы: один интерфейс I2C, два интерфейса SPI, два интерфейса UART и поддержка PWM на большинстве GPIO-пинов
HackCable на базе RP2040 работает автономно и не зависит от внешних подключений. Сначала пользователь загружает на кабель подготовленные скрипты через компьютер. Скрипты могут быть на Python или на другом подходящем языке. Эти скрипты описывают последовательность команд, которые кабель будет вводить при подключении к целевому устройству.
Когда кабель вставляют в порт USB-C, устройство распознаёт его как клавиатуру и позволяет скриптам «нажимать» кнопки напрямую, не вызывая подозрений у системы или антивирусов. HackCable последовательно выполняет заданные действия: например, открывает терминал, вводит команды для проверки сетевых настроек или демонстрирует потенциальные уязвимости системы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤯1
Благодаря встроенному чипу RP2040 кабель действует как автономный пентест‑агент: он не требует Wi-Fi, не зависит от сторонних приложений и всегда выполняет ровно тот сценарий, который был загружен заранее. Такой подход делает устройство надежным и предсказуемым — оно просто выполняет свою программу сразу после подключения, без необходимости какого‑либо вмешательства.
Версия с Wi-Fi на ESP32
Процессор: двухъядерный микроконтроллер Xtensa LX7
Тактовая частота: до 240 МГц
Wi-Fi: встроенный модуль Wi-Fi 2,4 ГГц (802.11b/g/n)
Bluetooth: встроенный Bluetooth 5 (LE) с поддержкой энергоэффективной и надежной передачи данных
Здесь все аналогично версии на RP2040 с той разницей, что есть поддержка Wi-Fi. Модуль ESP32 создает свою точку доступа, можно подключиться к ней с любого устройства — смартфона, планшета или ноутбука — и управлять удаленно через веб‑интерфейс. В интерфейсе достаточно ввести команды или загрузить скрипт, после чего HackCable начнет передавать команды в целевую систему.
Это дает возможность работать на расстоянии. Единожды вставив кабель в устройство, можно подключаться к нему по Wi-Fi в любое время, пока устройство остается включенным. При необходимости можно задействовать несколько таких кабелей, синхронизировав их для одновременной работы через режим мастер — слейв.
То есть если в рамках редтиминга или физического пентеста нам удалось проникнуть на объект, то достаточно воткнуть пару таких проводов тут и там, и всё — считай, закрепились на периметре. Можем сидеть напротив окон офиса на лавочке, попивать из термоса кофеек и шариться по внутренней сети.
Альтернативы
HackCable — не первый проект такого рода. На рынке уже есть несколько проектов и устройств, которые выполняют схожие задачи. Вот некоторые из них.
USB Rubber Ducky (Hak5). Это, пожалуй, самый известный инструмент в области тестирования безопасности. Rubber Ducky маскируется под обычную USB-клавиатуру, но может запускать запрограммированные сценарии атак, например для тестирования уязвимостей в системах.
O.MG Cable (Hak5). Кабель, внешне неотличимый от стандартного USB, но способный перехватывать данные, запускать полезные нагрузки и даже управляться удаленно через Wi-Fi. O.MG Cable стал своего рода эталоном в области аппаратного пентестинга.
ESPKey. Это устройство использует чип ESP8266 для перехвата сигналов от систем контроля доступа. Оно популярно среди исследователей безопасности, работающих с RFID-системами.
WHID Injector (Wi-Fi HID Injector). Гаджет, способный эмулировать клавиатуру и мышь через Wi-Fi. Применяется в аудите безопасности, чтобы проверить устойчивость системы к атакам, когда злоумышленник не имеет физического доступа.
P4wnP1 — альтернативный проект на базе Raspberry Pi Zero, умеющий многие вещи, включая эмуляцию HID-устройств, MITM-атаки и многое другое.
Также атаки BadUSB можно проводить напрямую со смартфона. Как именно — читай в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Продвинутый киберфон. Заряжаем телефон хакерской силой».
Цены
Версию HackCable с Wi-Fi на Kickstarter можно предзаказать за 59 долларов. Два Wi-Fi-кабеля обойдутся в 115 долларов, а комплект из четырех — в 225 долларов.
Версия на RP2040 стоит 49 долларов по спецпредложению. Два таких кабеля стоят 95 долларов, а четыре — 185 долларов.
Также есть комбинированный набор, который включает один Wi-Fi-кабель и один RP2040, за 90 долларов.
Версия с Wi-Fi на ESP32
Процессор: двухъядерный микроконтроллер Xtensa LX7
Тактовая частота: до 240 МГц
Wi-Fi: встроенный модуль Wi-Fi 2,4 ГГц (802.11b/g/n)
Bluetooth: встроенный Bluetooth 5 (LE) с поддержкой энергоэффективной и надежной передачи данных
Здесь все аналогично версии на RP2040 с той разницей, что есть поддержка Wi-Fi. Модуль ESP32 создает свою точку доступа, можно подключиться к ней с любого устройства — смартфона, планшета или ноутбука — и управлять удаленно через веб‑интерфейс. В интерфейсе достаточно ввести команды или загрузить скрипт, после чего HackCable начнет передавать команды в целевую систему.
Это дает возможность работать на расстоянии. Единожды вставив кабель в устройство, можно подключаться к нему по Wi-Fi в любое время, пока устройство остается включенным. При необходимости можно задействовать несколько таких кабелей, синхронизировав их для одновременной работы через режим мастер — слейв.
То есть если в рамках редтиминга или физического пентеста нам удалось проникнуть на объект, то достаточно воткнуть пару таких проводов тут и там, и всё — считай, закрепились на периметре. Можем сидеть напротив окон офиса на лавочке, попивать из термоса кофеек и шариться по внутренней сети.
Альтернативы
HackCable — не первый проект такого рода. На рынке уже есть несколько проектов и устройств, которые выполняют схожие задачи. Вот некоторые из них.
USB Rubber Ducky (Hak5). Это, пожалуй, самый известный инструмент в области тестирования безопасности. Rubber Ducky маскируется под обычную USB-клавиатуру, но может запускать запрограммированные сценарии атак, например для тестирования уязвимостей в системах.
O.MG Cable (Hak5). Кабель, внешне неотличимый от стандартного USB, но способный перехватывать данные, запускать полезные нагрузки и даже управляться удаленно через Wi-Fi. O.MG Cable стал своего рода эталоном в области аппаратного пентестинга.
ESPKey. Это устройство использует чип ESP8266 для перехвата сигналов от систем контроля доступа. Оно популярно среди исследователей безопасности, работающих с RFID-системами.
WHID Injector (Wi-Fi HID Injector). Гаджет, способный эмулировать клавиатуру и мышь через Wi-Fi. Применяется в аудите безопасности, чтобы проверить устойчивость системы к атакам, когда злоумышленник не имеет физического доступа.
P4wnP1 — альтернативный проект на базе Raspberry Pi Zero, умеющий многие вещи, включая эмуляцию HID-устройств, MITM-атаки и многое другое.
Также атаки BadUSB можно проводить напрямую со смартфона. Как именно — читай в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Продвинутый киберфон. Заряжаем телефон хакерской силой».
Цены
Версию HackCable с Wi-Fi на Kickstarter можно предзаказать за 59 долларов. Два Wi-Fi-кабеля обойдутся в 115 долларов, а комплект из четырех — в 225 долларов.
Версия на RP2040 стоит 49 долларов по спецпредложению. Два таких кабеля стоят 95 долларов, а четыре — 185 долларов.
Также есть комбинированный набор, который включает один Wi-Fi-кабель и один RP2040, за 90 долларов.
Помни, что Kickstarter — не интернет‑магазин. Даже если проект набрал нужное количество денег и ты успел заказать устройство, это не значит, что оно придет вовремя или вообще придет. Ты всего лишь участвуешь в краудфандинге, и возможны как задержки, так и полный провал проекта, после чего деньги могут и не вернуть.
Доступность
HackCable планируют запустить в шесть этапов с января по май 2025 года. Первый этап — сбор средств, он завершится в середине февраля. После этого, с февраля по март 2025 года, команда займется закупкой комплектующих для производства.
Массовое производство запланировано на период с марта до начала апреля 2025 года. В апреле будет проходить тестирование и упаковка готовой продукции. Наконец, доставка устройств начнется в мае 2025 года, и на этом проект достигнет своей цели. Скорее всего, HackCable можно будет купить и потом — без рисков, но по большей цене.
Разработчики обещают открыть исходники, однако что именно будет открыто (схемы, прошивка или только софт), пока что не уточняется.
Статья с журнала Хакер
#Безопасность #Взлом
• Канал CryptoHooligans • Чат
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
#Новости #Безопасность #Вымогательство
• Канал CryptoHooligans • Чат
Please open Telegram to view this post
VIEW IN TELEGRAM
Google Chrome переходит на автопилот: браузер теперь самостоятельно будет менять скомпрометированные пароли
Google Chrome делает смелый шаг к автономной защите пользователей. В тестовых сборках браузера (Canary) обнаружена новая функция: искусственный интеллект теперь не только предупреждает о взломанных паролях, но и мгновенно заменяет их, сводя участие человека к минимуму.
При попытке входа на сайт с паролем, который фигурирует в базах утекших данных, Chrome активирует «режим цифрового телохранителя». Пользователь видит предупреждение, после чего ИИ берет управление на себя: генерирует криптостойкую комбинацию, обновляет ее на платформе и сохраняет в менеджере паролей. Весь процесс занимает секунды, а алгоритмы машинного обучения имитируют действия человека, заполняя формы и нажимая кнопки.
Инновация исключает передачу данных на сторонние серверы — проверка хэш-префиксов происходит локально. Это означает, что ни исходные пароли, ни их полные хэши не покидают устройство. Если раньше браузер лишь сигнализировал об угрозе, сегодня он ее устраняет. Оценить новинку могут пока только пользователи Canary, активировав опцию в разделе «Экспериментальные ИИ-функции» (chrome://settings/ai).
С внедрением ИИ-ассистента Chrome трансформирует подход к цифровой гигиене. Пользователям больше не нужно запоминать сложные комбинации или отслеживать утечки — алгоритмы делают это за них. Вопрос лишь в том, станет ли подобная автоматизация новым золотым стандартом или вызовет споры о чрезмерной зависимости от ИИ.
#Новости #Безопасность #ИИ
💍 CryptoHooligans 💍 Призма ИИ
Источник.
Google Chrome делает смелый шаг к автономной защите пользователей. В тестовых сборках браузера (Canary) обнаружена новая функция: искусственный интеллект теперь не только предупреждает о взломанных паролях, но и мгновенно заменяет их, сводя участие человека к минимуму.
При попытке входа на сайт с паролем, который фигурирует в базах утекших данных, Chrome активирует «режим цифрового телохранителя». Пользователь видит предупреждение, после чего ИИ берет управление на себя: генерирует криптостойкую комбинацию, обновляет ее на платформе и сохраняет в менеджере паролей. Весь процесс занимает секунды, а алгоритмы машинного обучения имитируют действия человека, заполняя формы и нажимая кнопки.
Инновация исключает передачу данных на сторонние серверы — проверка хэш-префиксов происходит локально. Это означает, что ни исходные пароли, ни их полные хэши не покидают устройство. Если раньше браузер лишь сигнализировал об угрозе, сегодня он ее устраняет. Оценить новинку могут пока только пользователи Canary, активировав опцию в разделе «Экспериментальные ИИ-функции» (chrome://settings/ai).
С внедрением ИИ-ассистента Chrome трансформирует подход к цифровой гигиене. Пользователям больше не нужно запоминать сложные комбинации или отслеживать утечки — алгоритмы делают это за них. Вопрос лишь в том, станет ли подобная автоматизация новым золотым стандартом или вызовет споры о чрезмерной зависимости от ИИ.
#Новости #Безопасность #ИИ
Источник.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔1
Forwarded from COINNEWS
Жертва скопировала адрес из своей истории транзакций, при этом лишь первые четыре и последние шесть символов совпадали с подлинным адресом.
Мошенничество с «отравлением» заключается в том, что злоумышленник отправляет небольшую сумму цифровых активов с кошелька, адрес которого похож на настоящий, чтобы запутать жертву и заставить её использовать неверные данные.
Оставайтесь в курсе последних новостей вместе с @coinnewsru
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from COINNEWS
Оставайтесь в курсе последних новостей вместе с @coinnewsru
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Новости Кошелька
Продолжаем рассказывать про мошеннические схемы в рубрике #безопасность.
Представим, что вы хотите продать немного TON. Открыв P2P Маркет, вы сразу замечаете выгодное предложение: цена в нём на 20% выше среднерыночной
Стоимость практически любой монеты можно узнать на CoinMarketCap или CoinGecko.
«Бинго»: думаете вы и откликаетесь на объявление. Вас не смущает, что у покупателя низкий рейтинг и всего пара сделок, ведь он готов заплатить вам на 20% выше рынка!
У каждого пользователя на P2P Маркете есть статистика: кол-во сделок и рейтинг. Важно обращать на это внимание.
Покупатель мгновенно принимает сделку и пишет вам в чат: «Привет, я перевёл деньги». Вы проверяете банковское приложение, но перевода не видите. После этого в чат приходит сообщение, что по сделке была открыта апелляция
Прежде чем вы поймёте, что происходит, вам приходит сообщение от «Поддержки Кошелька» с просьбой авторизоваться. Вас убеждают, что это нужно, чтобы получить перевод и запрашивают код авторизации в Telegram, облачный пароль, код-пароль от Кошелька и т.д.
Помните, что поддержка Кошелька никогда не напишет вам первой.
Что происходит дальше?
Поразмыслив, вы решаете сообщить свои данные
Как это работает? Ваш Telegram аккаунт можно найти по номеру телефона. Если он указан в способах получения оплаты, вам могут написать мошенники.
Как от этого защититься?
● Блокируйте тех, кто пишет вам первым и представляется Поддержкой Кошелька. Мы никогда не напишем первыми, а связаться с нами можно только здесь: @wallet_supportbot
● Никому не сообщайте ваши коды и пароли. Наша поддержка никогда их у вас не попросит.
● Вы можете отключить поиск аккаунта в настройках Telegram → Конфиденциальность → Номер телефона → Кто видит мой номер телефона (выберите Никто) → Кто может найти меня по номеру.
Инвестиции в криптовалюту могут нести риски.
Please open Telegram to view this post
VIEW IN TELEGRAM
Новый вариант малвари Vo1d заразил 1 590 299 устройств под управлением Android TV в 226 странах и регионах.
В основном пострадавшие гаджеты используются в качестве анонимных прокси.
По информации компании Xlab, которая отслеживает новую вредоносную кампанию с ноября 2024 года, пик активности ботнета пришелся на 14 января 2025 года, а в настоящее время Vo1d насчитывает около 800 000 активных ботов.
Напомним, что первыми о Vo1d осенью прошлого года рассказали специалисты компании «Доктор Веб». Они сообщали, что бэкдор заразил почти 1,3 млн ТВ-приставок на базе Android и, по команде злоумышленников, способен скрытно загружать и устанавливать на устройства стороннее ПО.
Тогда исследователи предположили, что злоумышленники могли выбрать своей целью именно ТВ-приставки, потому что такие устройства часто работают на базе устаревших версий Android, в которых не исправлены уязвимости и уже не выходят обновления.
При этом источник заражения приставок бэкдором Vo1d остался неизвестным. Предполагалось, что одним из возможных векторов заражения могла быть атака промежуточной малвари, которая эксплуатировала уязвимости ОС для получения root-прав. Другая теория гласит, что дело могло быть в использовании неофициальных версий прошивок с root-доступом.
Теперь аналитики из XLab предупреждают о новой версии ботнета Vo1d, масштабы которого стали еще больше. Исследователи подчеркивают, что ботнет получил усовершенствованное шифрование (RSA + кастомный XXTEA), более устойчивую инфраструктуру с применением DGA и расширенные возможности для маскировки.
Vo1d — один из крупнейших ботнетов, обнаруженных в последние годы. Его размеры намного превосходят Bigpanzi, оригинальную активность Mirai и неизвестный ботнет, ответственный за рекордную DDoS-атаку мощностью 5,6 Тбит/с, от которой пострадала Cloudflare в прошлом году.
По данным на февраль 2025 года, почти 25% заражений Vo1d приходится на бразильских пользователей, за которыми следуют устройства пользователей из Южной Африки (13,6%), Индонезии (10,5%), Аргентины (5,3%), Таиланда (3,4%) и Китая (3,1%).
При этом наблюдаются заметные всплески заражений. Например, всего за три дня количество ботов в Индии увеличилось с 3 900 до 217 000. Из-за таких колебаний специалисты предполагают, что операторы ботнета могут сдавать зараженные устройства в аренду в качестве прокси, которые обычно применяются для незаконной деятельности или боттинга. То есть резкие всплески и спады соответствуют циклу аренды и возврата ботов.
Так, в начале аренды боты перенаправляются из основной сети Vo1d для выполнения операций арендатора. Это перенаправление вызывает резкое снижение количества зараженных устройств в Vo1d, так как боты временно исключаются из активного пула. После окончания аренды боты вновь присоединяются к ботнету Vo1d. Эта реинтеграция приводит к резкому росту количества зараженных устройств, поскольку боты снова возвращаются под контроль Vo1d.
По оценкам XLab, управляющая инфраструктура ботнета создана с помощью 32 seed'ов DGA, которые в итоге позволили создать более 21 000 доменов. C&C-коммуникации защищены 2048-битным ключом RSA, поэтому даже если исследователи смогут идентифицировать и зарегистрировать нужный домен, они не смогут отдавать команды ботам.
Исследователи называют Vo1d многоцелевым инструментом. Как уже было сказано выше, чаще всего он превращает зараженные устройства в прокси, которые ретранслируют вредоносный трафик для злоумышленников. Это также помогает обходить региональные ограничения, защитные фильтры и так далее.
Еще одна функция Vo1d — рекламное мошенничество, то есть имитация пользовательских действий, кликов по рекламным объявлениям и просмотра видео ради получения прибыли недобросовестными рекламодателями. Так, малварь имеет специальные плагины, автоматизирующие взаимодействие с рекламой и имитирующие поведение человека в браузере, а также использует Mzmess SDK, который распределяет мошеннические задачи между ботами.
При этом цепочка заражений, при помощи которых Vo1d проникает на устройства под управлением Android TV, по-прежнему остается неизвестной.
Источник: xakep.ru
В основном пострадавшие гаджеты используются в качестве анонимных прокси.
По информации компании Xlab, которая отслеживает новую вредоносную кампанию с ноября 2024 года, пик активности ботнета пришелся на 14 января 2025 года, а в настоящее время Vo1d насчитывает около 800 000 активных ботов.
Напомним, что первыми о Vo1d осенью прошлого года рассказали специалисты компании «Доктор Веб». Они сообщали, что бэкдор заразил почти 1,3 млн ТВ-приставок на базе Android и, по команде злоумышленников, способен скрытно загружать и устанавливать на устройства стороннее ПО.
Тогда исследователи предположили, что злоумышленники могли выбрать своей целью именно ТВ-приставки, потому что такие устройства часто работают на базе устаревших версий Android, в которых не исправлены уязвимости и уже не выходят обновления.
При этом источник заражения приставок бэкдором Vo1d остался неизвестным. Предполагалось, что одним из возможных векторов заражения могла быть атака промежуточной малвари, которая эксплуатировала уязвимости ОС для получения root-прав. Другая теория гласит, что дело могло быть в использовании неофициальных версий прошивок с root-доступом.
Теперь аналитики из XLab предупреждают о новой версии ботнета Vo1d, масштабы которого стали еще больше. Исследователи подчеркивают, что ботнет получил усовершенствованное шифрование (RSA + кастомный XXTEA), более устойчивую инфраструктуру с применением DGA и расширенные возможности для маскировки.
Vo1d — один из крупнейших ботнетов, обнаруженных в последние годы. Его размеры намного превосходят Bigpanzi, оригинальную активность Mirai и неизвестный ботнет, ответственный за рекордную DDoS-атаку мощностью 5,6 Тбит/с, от которой пострадала Cloudflare в прошлом году.
По данным на февраль 2025 года, почти 25% заражений Vo1d приходится на бразильских пользователей, за которыми следуют устройства пользователей из Южной Африки (13,6%), Индонезии (10,5%), Аргентины (5,3%), Таиланда (3,4%) и Китая (3,1%).
При этом наблюдаются заметные всплески заражений. Например, всего за три дня количество ботов в Индии увеличилось с 3 900 до 217 000. Из-за таких колебаний специалисты предполагают, что операторы ботнета могут сдавать зараженные устройства в аренду в качестве прокси, которые обычно применяются для незаконной деятельности или боттинга. То есть резкие всплески и спады соответствуют циклу аренды и возврата ботов.
Так, в начале аренды боты перенаправляются из основной сети Vo1d для выполнения операций арендатора. Это перенаправление вызывает резкое снижение количества зараженных устройств в Vo1d, так как боты временно исключаются из активного пула. После окончания аренды боты вновь присоединяются к ботнету Vo1d. Эта реинтеграция приводит к резкому росту количества зараженных устройств, поскольку боты снова возвращаются под контроль Vo1d.
По оценкам XLab, управляющая инфраструктура ботнета создана с помощью 32 seed'ов DGA, которые в итоге позволили создать более 21 000 доменов. C&C-коммуникации защищены 2048-битным ключом RSA, поэтому даже если исследователи смогут идентифицировать и зарегистрировать нужный домен, они не смогут отдавать команды ботам.
Исследователи называют Vo1d многоцелевым инструментом. Как уже было сказано выше, чаще всего он превращает зараженные устройства в прокси, которые ретранслируют вредоносный трафик для злоумышленников. Это также помогает обходить региональные ограничения, защитные фильтры и так далее.
Еще одна функция Vo1d — рекламное мошенничество, то есть имитация пользовательских действий, кликов по рекламным объявлениям и просмотра видео ради получения прибыли недобросовестными рекламодателями. Так, малварь имеет специальные плагины, автоматизирующие взаимодействие с рекламой и имитирующие поведение человека в браузере, а также использует Mzmess SDK, который распределяет мошеннические задачи между ботами.
При этом цепочка заражений, при помощи которых Vo1d проникает на устройства под управлением Android TV, по-прежнему остается неизвестной.
Источник: xakep.ru
👍1
Как отмечают исследователи, атака применима даже к последним версиям Chrome. Они уже сообщили об уязвимости разработчикам Google.
Процесс начинается с публикации вредоносного полиморфного расширения в Chrome Web Store. В качестве демонстрации исследователи использовали инструмент с функциями маркетингового ИИ: он действительно выполнял заявленные задачи, но одновременно обманным путем убеждал пользователя установить и закрепить расширение в браузере.
# Новости #Атака
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
CryptoHooligans 🐵
🖐CryptoHooligans - All crypto world for Peoples
Обнаружен вирус EvilLoader, который может украсть ваш Telegram-аккаунт и все данные с устройства.
Злоумышленники маскируют этот эксплойт под видеофайл. После его открытия возникает ошибка и появляется запрос на обновление приложения или установку плеера. В результате вирус устанавливается, и ваши данные становятся доступными злоумышленникам.
Чаще всего хакеры распространяют вредоносное ПО через фальшивые боты, такие как «Free Telegram Premium».
Будьте осторожны и не открывайте подозрительные файлы!
#Новости #Мошенники
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
CryptoHooligans 🐵
🖐CryptoHooligans - All crypto world for Peoples
МВД настоятельно рекомендует россиянам не возвращать средства, так как злоумышленники могут начать шантажировать, утверждая, что вы якобы перевели деньги террористам. Будьте бдительны!
#Новости #Мошенники
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from MarketTwits
🇺🇸#маск
Маск: X подвергся масштабной кибератаке.
Маск: X подвергся масштабной кибератаке.