This media is not supported in your browser
VIEW IN TELEGRAM
Андрей Лошак снял документальный сериал про русских хакеров. Проект рассказывает о том, как появился феномен в начале 90-х и во что сформировался к 2010-м. В сериале много историй о громких взломах, делах против киберпреступников, сотрудничестве российских спецслужб с ФБР. Сериал «Русские хакеры: Начало» вышел на Кинопоиске. Похоже, придётся потратить все выходные на просмотр.
@NeKaspersky
@NeKaspersky
🔥11👍4
Кибермошенники используют MetaMask для кражи криптовалюты
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
👍5
Хакеры нацелились на украинскую скрипт-кидди- IT-армию.
Как многие помнят, в прошлом месяце украинское правительство объявило о создании IT-армии из добровольцев по всему миру. На них возложили проведение DDoS-атак против различных российских организаций. Инициатива, ожидаемо, нашла достаточно широкую поддержку, и на различных сайтах, в т.ч. и в телеграме, начали распространять заточенный под это дело софт.
Однако кто бы мог подумать, люди с активной гражданской позицией, но без знаний банальной цифровой гигиены достаточно быстро заинтересовали другую группу населения — людей, не упускающих возможности добыть и монетизировать чужие креденшлы. Соответственно, под видом инструмента для DDoS-атак в Telegram стали распространять инфостиллеры.
Например, в недавнем отчете Cisco Talos фигурирует DoS-ер под названием «Liberator» (Освободитель). В Telegram утверждается, что тулза получает список целевых ip с сервера, следовательно пользователю достаточно запустить ее на своем ПК и радоваться внесенному в общее дело вкладу. Однако, в то время как версия, полученная из веба является условно чистой (но от этого не менее нелегальной), то, что ходит по рукам в тг под ее видом, на поверку имеет двойное дно. Что еще веселее, «оригинальность» тулзы проверить слегка проблематично, поскольку ни одна из версий, ожидаемо, не имеет цифровой подписи.
Тг-шная версия освободителя выполняет проверку на дебаг, а затем запускает в раме Phoenix information stealer, вредонос, распространяемый по стратегии MaaS (malware as a service) за $15/мес или $80 за пожизненную подписку. Восставший из пепла, к великому сожалению скачавших, не спешит узнавать список целей, зато быстро собирает и аплодит на сервер токены/кукисы/креденшлы из браузеров, клиентов VPN, Discord, Telegram, FileZilla и ряда криптокошельков.
@NeKaspersky
Как многие помнят, в прошлом месяце украинское правительство объявило о создании IT-армии из добровольцев по всему миру. На них возложили проведение DDoS-атак против различных российских организаций. Инициатива, ожидаемо, нашла достаточно широкую поддержку, и на различных сайтах, в т.ч. и в телеграме, начали распространять заточенный под это дело софт.
Однако кто бы мог подумать, люди с активной гражданской позицией, но без знаний банальной цифровой гигиены достаточно быстро заинтересовали другую группу населения — людей, не упускающих возможности добыть и монетизировать чужие креденшлы. Соответственно, под видом инструмента для DDoS-атак в Telegram стали распространять инфостиллеры.
Например, в недавнем отчете Cisco Talos фигурирует DoS-ер под названием «Liberator» (Освободитель). В Telegram утверждается, что тулза получает список целевых ip с сервера, следовательно пользователю достаточно запустить ее на своем ПК и радоваться внесенному в общее дело вкладу. Однако, в то время как версия, полученная из веба является условно чистой (но от этого не менее нелегальной), то, что ходит по рукам в тг под ее видом, на поверку имеет двойное дно. Что еще веселее, «оригинальность» тулзы проверить слегка проблематично, поскольку ни одна из версий, ожидаемо, не имеет цифровой подписи.
Тг-шная версия освободителя выполняет проверку на дебаг, а затем запускает в раме Phoenix information stealer, вредонос, распространяемый по стратегии MaaS (malware as a service) за $15/мес или $80 за пожизненную подписку. Восставший из пепла, к великому сожалению скачавших, не спешит узнавать список целей, зато быстро собирает и аплодит на сервер токены/кукисы/креденшлы из браузеров, клиентов VPN, Discord, Telegram, FileZilla и ряда криптокошельков.
@NeKaspersky
👍25😁6🤮1
Тем временем техдиректор IOAcvice Labs предлагает Microsoft выпустить вредоносные патчи для русских машин
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
👍16🤮10💩5😁3👎2
Можно долго и упорно работать, помогать компаниям находить уязвимости, которые могли бы нанести им многомиллионный ущерб, но вознаграждение у тебя все равно заберут, потому что ты белорус или россиянин.
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
💩47👎6🤮2
С Российского рынка ушли зарубежные ИБ-компании, но это не проблема, когда есть наши компании со своими ИБ-решениями.
@NeKaspersky
@NeKaspersky
👍16👎8💩4🔥1
Крупный производитель автозапчастей пострадал от шифровальщика
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky
Вредонос RedLine начал распространяться через YouTube.
Читы на Valorant без смс и регистрации, для всех любителей нечестной игры — примерно так на сегодняшний день продолжает своё существование вредонос RedLine. Корейские аналитики безопасности обнаружили кампанию по распространению вредоносных программ, которая под видом всем известного аимбота (чит-программа, наводящая прицел на голову или тело противника), оставляла ссылку в описании или в закрепленном комментарии на чудесный стиллер.
Давайте вспомним, что вообще представляет из себя RedLine. Впервые он получил известность в марте 2020 года и уже был способен извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. Не плохой такой наборчик, при том, что после получения большого количества положительных отзывов на форумах, где он продавался, появилась еще и бесплатная пиратская версия.
Буквально месяц назад Стиллер RedLine распространялся через фейковые обновления Windows. А теперь он передается через YouTube в виде читов, что значительно упростило задачу злоумышленникам. Как-никак и раньше в читы закидывали всевозможные майнеры, баннер-вымогатели, стиллеры. Ведь любителям нечестной игры для установки “помогающего” ПО требуется отключить всевозможные антивирусы, поскольку читы считаются вредоносными программами.
Ссылка, оставленная ютуберами в описании на необходимые файлы, перенаправляет свою жертву на файлообменник AnonFiles с архивным файлом. После скачивания, распаковки и запуска программы вредонос начинает действовать. Собирая всю необходимую информацию, включая данные аккаунтов, и отправляя её на сервер, злоумышленник получает учетные данные и куки из браузеров (Chrome, Edge, Firefox), пароли из клиентов FTP (FileZilla) и VPN, токены Discord, ключи от криптокошельков, данные о сессиях Steam и Telegram. Не будем также забывать и про данные самого аккаунта Valorant, которые в будущем будут перепроданы.
Играйте честно.
@NeKaspersky
Читы на Valorant без смс и регистрации, для всех любителей нечестной игры — примерно так на сегодняшний день продолжает своё существование вредонос RedLine. Корейские аналитики безопасности обнаружили кампанию по распространению вредоносных программ, которая под видом всем известного аимбота (чит-программа, наводящая прицел на голову или тело противника), оставляла ссылку в описании или в закрепленном комментарии на чудесный стиллер.
Давайте вспомним, что вообще представляет из себя RedLine. Впервые он получил известность в марте 2020 года и уже был способен извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. Не плохой такой наборчик, при том, что после получения большого количества положительных отзывов на форумах, где он продавался, появилась еще и бесплатная пиратская версия.
Буквально месяц назад Стиллер RedLine распространялся через фейковые обновления Windows. А теперь он передается через YouTube в виде читов, что значительно упростило задачу злоумышленникам. Как-никак и раньше в читы закидывали всевозможные майнеры, баннер-вымогатели, стиллеры. Ведь любителям нечестной игры для установки “помогающего” ПО требуется отключить всевозможные антивирусы, поскольку читы считаются вредоносными программами.
Ссылка, оставленная ютуберами в описании на необходимые файлы, перенаправляет свою жертву на файлообменник AnonFiles с архивным файлом. После скачивания, распаковки и запуска программы вредонос начинает действовать. Собирая всю необходимую информацию, включая данные аккаунтов, и отправляя её на сервер, злоумышленник получает учетные данные и куки из браузеров (Chrome, Edge, Firefox), пароли из клиентов FTP (FileZilla) и VPN, токены Discord, ключи от криптокошельков, данные о сессиях Steam и Telegram. Не будем также забывать и про данные самого аккаунта Valorant, которые в будущем будут перепроданы.
Играйте честно.
@NeKaspersky
😱6👍4💩1
VPN продолжают блокировать, а ответсвенности за посты в Instagram для россиян не будет.
Вчера мы дали фальстарт, опубликовав скриншот из декабрьской новости РБК, где говорилось о блокировке VPN Роскомнадзором. Как оказалось, фальстарт не был фальстартом. Вероятно, скриншот из старой новости намеренно распространили в тг-каналах, чтобы подготовить к словам депутата Хинштейна, который сегодня заявил, что Роскомнадзор продолжит блокировать VPN-сервисы. На данный момент заблокировано уже 20 VPN-сервисов.
Кстати, Хинштейн сказал, что отвественности за обход блокировок и посты в Instagram не будет, если содержание постов не противоречит российским законам.
@NeKaspersky
Вчера мы дали фальстарт, опубликовав скриншот из декабрьской новости РБК, где говорилось о блокировке VPN Роскомнадзором. Как оказалось, фальстарт не был фальстартом. Вероятно, скриншот из старой новости намеренно распространили в тг-каналах, чтобы подготовить к словам депутата Хинштейна, который сегодня заявил, что Роскомнадзор продолжит блокировать VPN-сервисы. На данный момент заблокировано уже 20 VPN-сервисов.
Кстати, Хинштейн сказал, что отвественности за обход блокировок и посты в Instagram не будет, если содержание постов не противоречит российским законам.
@NeKaspersky
🤮8👍3💩3👎1
Wildberries не работает уже несколько дней. У пользователей не отображаются оплаченные заказы и даты доставки.
Второй день подряд появляются инсайды от анонимных источников, в которых говорится о взломе компании Бакальчук. Взломали и уничтожили всю инфраструктуру, бэкапы. Данные зашифрованы. Работает только фронтэнд.
Вероятно, Wildberries была взломана иностранной хакерской группировкой OldGremlin.
@NeKaspersky
Второй день подряд появляются инсайды от анонимных источников, в которых говорится о взломе компании Бакальчук. Взломали и уничтожили всю инфраструктуру, бэкапы. Данные зашифрованы. Работает только фронтэнд.
Вероятно, Wildberries была взломана иностранной хакерской группировкой OldGremlin.
@NeKaspersky
😱11
Ну и на десерт. Американцы решили окончательно лишить трафик россиян защиты. У российских предприятий, связанных с оборонкой, отзывают сертификаты ISRG/LetsEncrypt. Они предназначены для TLS шифрования(протокол защиты транспортного уровня, для тех, кто не знает).
Этот протокол шифрования обеспечивает защищённую передачу данных между узлами в интернете. Теперь любой узел в соединении сможет увидеть проходящий через него трафик.
Минцифры уже объявили о том, что готовятся к выдаче бесплатных российских TLS-сертификатов, которые можно будет получить через Госуслуги.
@NeKaspersky
Этот протокол шифрования обеспечивает защищённую передачу данных между узлами в интернете. Теперь любой узел в соединении сможет увидеть проходящий через него трафик.
Минцифры уже объявили о том, что готовятся к выдаче бесплатных российских TLS-сертификатов, которые можно будет получить через Госуслуги.
@NeKaspersky
💩22🔥5😱4🤮4😁3👍2
Появилась новость, что Apple добавили карты МИР как способ оплаты. Проверили. У нас пока не работает. Но на сайте Apple есть заметка о том, что МИР действительно добавили в способы оплаты. Возможно, пока что есть технические проблемы. У вас работает?
@NeKaspersky
@NeKaspersky
🤮13👍5🔥4
Замечена крупномасштабная фишинговая кампания, в которую вовлечены более 500 доменов
На этот раз злоумышленники нацелились на креденшлы для Naver, южнокорейской гуглоподобной онлайн-платформы. Среди предоставляемых ей услуг есть веб-поиск, электронная почта, агрегация новостей и т.п.
Исследователи из Prevailion, обнаружившие кампанию, начинали расследование с одного доменного имени (mailmangecorp[.]us), но в итоге обнаружили целую сеть, включающую 542 уникальных домена, 532 из которых использовались для фишинга на тему Naver. Некоторые домены зарегистрированы совсем недавно, в феврале, в то время как самые старые датируются августом 2021 года.
Также по первоначальному адресу Prevailion смогли найти еще 58 фишинговых доменов, редиректящих на 23.81.246[.]131. Этот IP также использовался несколькими загруженными на VirusTotal сэмплами Cobalt Strike. Сэмплы в свою очередь связали с кампанией по доставки рансомвари Conti, которая стала уже классическим пейлодом для TrickBot.
Возникает резонный вопрос: нафига, а главное — зачем? Чисто теоретически, учетки Naver также могут использоваться для начального доступа в корпоративные сети, поскольку пользователи частенько используют одни и те же креденшлы для разных аккаунтов. С другой стороны, связь фишинговой активности и Conti/TrickBot строится только на совпадении одного IP, которое на деле может быть обусловлено множеством различных причин, так что фишинговая активность, вполне может не являться прямой работой рансомварщиков.
@NeKaspersky
На этот раз злоумышленники нацелились на креденшлы для Naver, южнокорейской гуглоподобной онлайн-платформы. Среди предоставляемых ей услуг есть веб-поиск, электронная почта, агрегация новостей и т.п.
Исследователи из Prevailion, обнаружившие кампанию, начинали расследование с одного доменного имени (mailmangecorp[.]us), но в итоге обнаружили целую сеть, включающую 542 уникальных домена, 532 из которых использовались для фишинга на тему Naver. Некоторые домены зарегистрированы совсем недавно, в феврале, в то время как самые старые датируются августом 2021 года.
Также по первоначальному адресу Prevailion смогли найти еще 58 фишинговых доменов, редиректящих на 23.81.246[.]131. Этот IP также использовался несколькими загруженными на VirusTotal сэмплами Cobalt Strike. Сэмплы в свою очередь связали с кампанией по доставки рансомвари Conti, которая стала уже классическим пейлодом для TrickBot.
Возникает резонный вопрос: нафига, а главное — зачем? Чисто теоретически, учетки Naver также могут использоваться для начального доступа в корпоративные сети, поскольку пользователи частенько используют одни и те же креденшлы для разных аккаунтов. С другой стороны, связь фишинговой активности и Conti/TrickBot строится только на совпадении одного IP, которое на деле может быть обусловлено множеством различных причин, так что фишинговая активность, вполне может не являться прямой работой рансомварщиков.
@NeKaspersky
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
Хакеры взломали канал «Украина 24» и пустили бегущую строку с обращением к военным от имени Зеленского с требованием сложить оружие и возвращаться к семьям.
😁17🔥3👍2👎1🤮1
В Google Play Store снова нашли трояны, есть даже долгожитель, с января скрывавшийся от глаз безопасников
Аналитики компании Dr. Web в недавнем докладе отметили всплеск проникновения вредоносных приложений в Google Play Store. Вредоносы, обнаруженные во время исследования, маскируются под самый разный софт: криптовалютные кошельки, газпромовский инвестиционный софт, фоторедакторы и даже лаунчер в стиле iOS 15. Как обычно, большинство обсуждаемых приложений уже удалены из Play Store, но журналистам BleepingComputer удалось найти фигурировавший в докладе Top Navigation, который был установлен более 500,000 раз.
Отзывы на подобный мусор проливают свет на некоторые используемые способы мошенничества: например, приложение Advice Photo Power за авторством некой Tsaregorotseva, загруженное более 100,000 раз, взимает $2 в неделю за отключение рекламных баннеров, но на деле меняется примерно ничего. Другие рассмотренные приложения ходят на сайты партнерских сервисов и подписывают жертву на платные услуги.
Однако наиболее серьезной угрозой были троянизированные версии неофициальных модов WhatsApp — GBWhatsApp, OBWhatsApp и WhatsApp Plus. Из обещанного дополнительного функционала в них есть поддержка арабского языка, виджеты, кастомизируемая нижняя панель, возможность скрыть статус онлайна, блокировка вызовов и автосохранение медиафайлов.
Есть и другой доп. функционал, о котором почему-то предпочитают умалчивать: например, эти моды пытаются перехватить уведомления от приложений, полученных из Google Play и Samsung Galaxy Store, используя библиотеку для сбора статистики «Flurry». OBWhatsApp также качает из сети сторонние apk, замаскированные под обновления мода и настойчиво просит пользователя установить их. Установленное таким образом приложение используется для отображения диалоговых окон с произвольным содержимым и перенаправления пользователей на вредоносные сайты.
@NeKaspersky
Аналитики компании Dr. Web в недавнем докладе отметили всплеск проникновения вредоносных приложений в Google Play Store. Вредоносы, обнаруженные во время исследования, маскируются под самый разный софт: криптовалютные кошельки, газпромовский инвестиционный софт, фоторедакторы и даже лаунчер в стиле iOS 15. Как обычно, большинство обсуждаемых приложений уже удалены из Play Store, но журналистам BleepingComputer удалось найти фигурировавший в докладе Top Navigation, который был установлен более 500,000 раз.
Отзывы на подобный мусор проливают свет на некоторые используемые способы мошенничества: например, приложение Advice Photo Power за авторством некой Tsaregorotseva, загруженное более 100,000 раз, взимает $2 в неделю за отключение рекламных баннеров, но на деле меняется примерно ничего. Другие рассмотренные приложения ходят на сайты партнерских сервисов и подписывают жертву на платные услуги.
Однако наиболее серьезной угрозой были троянизированные версии неофициальных модов WhatsApp — GBWhatsApp, OBWhatsApp и WhatsApp Plus. Из обещанного дополнительного функционала в них есть поддержка арабского языка, виджеты, кастомизируемая нижняя панель, возможность скрыть статус онлайна, блокировка вызовов и автосохранение медиафайлов.
Есть и другой доп. функционал, о котором почему-то предпочитают умалчивать: например, эти моды пытаются перехватить уведомления от приложений, полученных из Google Play и Samsung Galaxy Store, используя библиотеку для сбора статистики «Flurry». OBWhatsApp также качает из сети сторонние apk, замаскированные под обновления мода и настойчиво просит пользователя установить их. Установленное таким образом приложение используется для отображения диалоговых окон с произвольным содержимым и перенаправления пользователей на вредоносные сайты.
@NeKaspersky
👍10
Новая фишинговая стратегия от mr.d0x позволяет обмануть даже опытных пользователей
Атака, получившая название BITB (браузер в браузере), осуществима за счет достаточно широких возможностей js и того, что на огромном количестве сайтов используется авторизация через Google/Apple/Facebook и т.п.
Алгоритм реализации такой:
1. Злоумышленник воспроизводит страницу логина на интересующие его сервисы, так же силами HTML/CSS рисуется и фейковый url-бар;
2. Полученная страница хостится на подконтрольном ему сервере и через iframe подгружается на сайт, где будет происходить авторизация;
3. js используется для показа упомянутого iframe при клике на соответствующие кнопки;
4. Также через js можно реализовать перемещение «окна» (т.е. нашего iframe-а) с помощью курсора мышки;
5. Для того чтобы сделать страницу еще менее подозрительной, нужно определить, какую темную или светлую тему использует жертва и отображать соответствующие страницы при запросе креденшлов.
Главный плюс этой атаки по сравнению с классическим фишингом очевиден и заключается в том, что пользователь больше не может посмотреть на url-бар, увидеть там нелегитимную ссылку и «сорваться с крючка».
Кстати, PoC лежит в его GitHub-репозитории.
@NeKaspersky
Атака, получившая название BITB (браузер в браузере), осуществима за счет достаточно широких возможностей js и того, что на огромном количестве сайтов используется авторизация через Google/Apple/Facebook и т.п.
Алгоритм реализации такой:
1. Злоумышленник воспроизводит страницу логина на интересующие его сервисы, так же силами HTML/CSS рисуется и фейковый url-бар;
2. Полученная страница хостится на подконтрольном ему сервере и через iframe подгружается на сайт, где будет происходить авторизация;
3. js используется для показа упомянутого iframe при клике на соответствующие кнопки;
4. Также через js можно реализовать перемещение «окна» (т.е. нашего iframe-а) с помощью курсора мышки;
5. Для того чтобы сделать страницу еще менее подозрительной, нужно определить, какую темную или светлую тему использует жертва и отображать соответствующие страницы при запросе креденшлов.
Главный плюс этой атаки по сравнению с классическим фишингом очевиден и заключается в том, что пользователь больше не может посмотреть на url-бар, увидеть там нелегитимную ссылку и «сорваться с крючка».
Кстати, PoC лежит в его GitHub-репозитории.
@NeKaspersky
😱10💩6👍4👎1