🎮💰 РАЗБОР ИНЦИДЕНТА: Геймеры украли $263 миллиона в Bitcoin через один телефонный звонок

ЧТО ПРОИЗОШЛО:
18 августа 2024 года банда из 15 человек (большинство — 18-20 лет) украла 4,100 BTC у частного инвестора из Вашингтона. Сумма на момент кражи — $263 млн, сейчас стоит $368+ миллионов.
Главари: Malone Lam (20 лет, псевдоним "Anne Hathaway"), Jeandiel Serrano (21 год, "VersaceGod"), Veer Chetal (19 лет, "Wiz"). Познакомились через Discord и игровые платформы.

КАК УКРАЛИ:
Шаг 1: Купили украденные базы данных, нашли богатого криптоинвестора
Шаг 2: Получили доступ к его Gmail и iCloud
Шаг 3: Позвонили, представившись Google Security: "Ваш аккаунт взламывают!"
Шаг 4: Жертва отдала коды MFA по телефону
Шаг 5: Второй звонок от "Gemini Support" — убедили установить удалённый доступ
Шаг 6: Через удалённый доступ украли приватные ключи к 4,100 Bitcoin

Весь процесс кражи они записали на видео для друзей. На записи слышны крики: "Malone, мы сделали это! $243 миллиона!"

КАК ТРАТИЛИ:
💸 $500,000 за одну ночь в клубах (один чек — $569K)
💸 28 экзотических машин (Lamborghini, Ferrari, Rolls-Royce)
💸 Сумки Hermès Birkin раздавали девушкам на вечеринках
💸 Часы за $1.8 миллиона
💸 Дома по $40,000-$80,000/месяц
💸 Частные джеты, личная охрана
Деньги прятали в игрушках Squishmallow и отправляли почтой.

КАК ИХ ПОЙМАЛИ:
❌ Записали live-stream кражи с настоящими именами
❌ Постили фото из клубов в Instagram* с геолокацией
❌ Использовали одинаковые псевдонимы везде
❌ Покупка 10 суперкаров безработными 20-летними
❌ Криптодетектив ZachXBT отследил Bitcoin через blockchain

3 декабря 2025: последний арест в Майами. 9 человек уже признали вину.

КРИТИЧЕСКИЕ ОШИБКИ ЖЕРТВЫ:
❌ Отдал коды MFA по телефону "службе поддержки"
❌ Установил удалённый доступ по просьбе звонившего
❌ Не перезвонил на официальный номер для проверки
❌ Хранил приватные ключи на устройстве с интернетом
❌ Поддался давлению "срочности"

КАК ЗАЩИТИТЬСЯ:
✅ НИКОГДА не говорите коды MFA никому — даже "службе поддержки"
✅ Положите трубку → зайдите на официальный сайт → позвоните сами
✅ Легитимные компании НЕ просят установить TeamViewer/AnyDesk
✅ Hardware-кошельки (Ledger, Trezor) для крипты >$10,000
✅ Whitelist на биржах для вывода только на проверенные адреса
✅ Срочность = красный флаг. Настоящие проблемы не решаются за 5 минут

ПРИЗНАКИ АТАКИ:
🚩 Звонят без вашего запроса
🚩 "Немедленно действуйте!"
🚩 Просят коды, пароли, установить ПО
🚩 Создают панику: "Ваш аккаунт взломан!"

ГЛАВНЫЙ УРОК:
💀 Эти ребята не взломали ничего технически — они просто попросили, и им дали. Самое слабое звено в криптобезопасности — человек.
Технологии не защитят, если вы отдаёте ключи добровольно.

НАКАЗАНИЕ:
До 20 лет тюрьмы за каждое обвинение + штрафы до $526 миллионов. Конфисковано более $245 миллионов в активах.

💬 Запомни: Коды MFA — это твои ключи. Никому. Никогда. Ни при каких обстоятельствах. Даже если звонящий знает твоё имя, адрес и последние транзакции.

🔄Перешли друзьям, которые держат крипту — это может спасти их от потери всех накоплений.

*Принадлежит META - организации, признанной в РФ экстремистской, деятельность которой запрещена.

#КриптоБезопасность #SocialEngineering #Мошенничество #Bitcoin #263Million #Кибербезопасность #ЗащитаКрипты

🚨По запросу многих зрителей, готовится к выпуску Ролик про DPI, с инженерно-технической точки зрения
Спойлер-инфографика в студию.📌

⚡️ Глубокая анатомия обхода DPI.

Выложил на YouTube подробный инженерный разбор того, как работают GoodbyeDPI, Zapret и сами системы фильтрации.

Почему оборудование пропускает фрагментированные пакеты?
Как манипуляция с TTL заставляет DPI воевать с призраками?
И почему переход на HTTP/3 (QUIC) может стать проблемой для текущих методов обхода?

Разбираем TCP-рукопожатие, Client Hello и уязвимости в логике работы сетевых цензоров. Видео для тех, кто хочет понимать суть, а не просто жать кнопки.

Смотреть: https://www.youtube.com/watch?v=fOQ6vE6mpaw

🚨 Для подписчиков на Boosty опубликовал необходимую литературу из поста про книги.💡
https://boosty.to/rublev13/posts/d61f323c-18c0-4b8e-b850-4a021134db87
💡 Сами посты с книгами - https://t.me/Rublev_YouTube/221
https://t.me/Rublev_YouTube/222
💡 Бусти основа - https://boosty.to/rublev13
📎 Там только то, что реально нужно, присоединяйтесь к нашему сообществу. Давайте развиваться и расти - вместе🔖

🚨Всех новоприбывших приветствую!💡
🔔Для вас вынашиваю идеи просто чумовых и бомбезных видео, темы которые там поднимаются, будут очень интересными для рядового зрителя с технической точки зрения. В ближайшие дни сяду монтировать новое интересное видео ✉️
🔖Накидайте реакций, я реально очень стараюсь для вас!✔️
📌Вы лучшая аудитория о которой я только мог мечтать, спасибо вам за вашу активность, за вашу преданность, спасибо за доверие!🙂

🚨Microsoft закрыла 56 уязвимостей в декабрьском Patch Tuesday, включая 3 zero-day — одна активно эксплуатируется

9 декабря Microsoft выпустила последний Patch Tuesday 2025 года, закрыв 56 уязвимостей в Windows, Office, Exchange Server и других продуктах. Три из них — zero-day.

Что произошло:
CVE-2025-62221 (CVSS 7.8) — активно эксплуатируется! Use-After-Free в Windows Cloud Files Mini Filter Driver позволяет локальному пользователю с низкими привилегиями получить права SYSTEM. Драйвер управляет синхронизацией OneDrive и других облачных хранилищ. Эксплойт работает автоматически, без взаимодействия с пользователем — идеально для малвари и APT.
CVE-2025-64671 — публично раскрыта, но эксплуатация маловероятна. Command injection в GitHub Copilot для JetBrains позволяет локально выполнить произвольный код.
CVE-2025-54100 — публично известна, command injection в PowerShell.

Другие критические баги:

2 RCE в Microsoft Office (через вредоносные документы)
Множество EoP в Windows Kernel, Win32k, RRAS, ReFS
Уязвимости в Hyper-V, Azure Monitor Agent, третьесторонних инструментах

Почему это важно:
✅ CVE-2025-62221 уже используется злоумышленниками для повышения привилегий
✅ Затронуты Windows 10 (с версии 1809), Windows 11, Windows Server 2025
✅ Не требует взаимодействия с пользователем — автоматическая эскалация
✅ Это последний Patch Tuesday 2025 года: Microsoft закрыла 1100+ CVE за год

Что делать прямо сейчас:
✅ Установите обновления через Windows Update или Microsoft Update Catalog
✅ Приоритет: CVE-2025-62221 и уязвимости с пометкой "More Likely" для эксплуатации
✅ Проверьте версии сборок после установки патчей
✅ Мониторьте CISA KEV — могут добавить новые CVE
✅ Сегментируйте сети, чтобы ограничить lateral movement от EoP
✅ Автоматизируйте установку патчей — праздники не повод откладывать

⚠️ Для пользователей Windows 10: Поддержка закончилась — переходите на Extended Security Updates или обновляйтесь до Windows 11.

💬 Новогодние каникулы — любимое время хакеров. IT-команды отдыхают, мониторинг ослаблен, патчи откладываются. Не дайте им шанс.

🔄 Напомни коллегам из IT: Декабрьские патчи критичны, откладывать нельзя!

#Microsoft #PatchTuesday #ZeroDay #CVE202562221 #Windows #Кибербезопасность #EoP #GitHubCopilot

📂 CISA: WinRAR уязвимость активно эксплуатируется — обновитесь до версии 7.12+🚨

10 декабря CISA добавила CVE-2025-6218 в каталог Known Exploited Vulnerabilities, подтвердив активную эксплуатацию path traversal уязвимости в WinRAR.

Что произошло:
CVE-2025-6218 (CVSS 7.8) — Path Traversal в популярном архиваторе WinRAR позволяет злоумышленнику выполнить произвольный код. Уязвимость была закрыта в WinRAR 7.12 в июне 2025, но многие пользователи до сих пор не обновились.

Как работает атака:

Злоумышленник создаёт вредоносный RAR-архив
Жертва открывает архив или посещает вредоносную страницу
Эксплойт размещает файлы в чувствительных локациях — например, в папке автозагрузки Windows (Startup folder)
При следующем входе в систему вредоносный код запускается автоматически

Почему это важно:
⚠️ Активная эксплуатация подтверждена — CISA не добавляет в KEV без доказательств
⚠️ Затронуты только Windows-версии — Linux, Unix, Android не подвержены
⚠️ WinRAR очень популярен — сотни миллионов установок по всему миру
⚠️ Не требует сложных действий — достаточно открыть архив

Исторический контекст:
WinRAR — частая мишень: CVE-2023-38831 (CVSS 7.8) активно эксплуатировалась в 2023 году различными APT-группами для доставки малвари через поддельные архивы. Пользователи медленно обновляются.

Что делать прямо сейчас:
✅ Обновите WinRAR до версии 7.12 или новее (текущая — 7.12+)
✅ Скачивайте только с официального сайта: win-rar.com
✅ НЕ открывайте архивы из ненадёжных источников
✅ Не открывайте RAR-файлы, пришедшие по email, в мессенджерах от незнакомцев
✅ Используйте антивирус с обновлёнными базами
✅ Проверьте папку автозагрузки: C:\Users\[Имя]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
✅ Для корпоративных сетей: принудительно обновите WinRAR через групповые политики

Альтернативы:
Рассмотрите 7-Zip (бесплатный, open source) или встроенный архиватор Windows для базовых задач.

💬 Federal agencies должны установить патч до 30 декабря 2025 согласно директиве CISA. Если для госучреждений это критично — для вас тоже.

🔄 Проверь у родителей и знакомых: Многие до сих пор сидят на старых версиях WinRAR годами. Один открытый архив = полный контроль над компьютером.

#WinRAR #CVE20256218 #CISA #KEV #PathTraversal #Кибербезопасность #Windows #Архиваторы

На бусти - https://boosty.to/rublev13 выкатил огромный пост

📊 Состояние Рунета: Дайджест блокировок и решений за Декабрь

Пост содержит анализ:

🚦 Статус сетевых протоколов (РФ)
🛡DNS и анализ трафика
🌍Доступность хостинг-провайдеров и IP-адресов
📉 Доступность сервисов и ПО
🛠 Технические нюансы конфигурации

✉️ Инфографику, пост в формате доклада, и опрос, чтобы было еще проще понять о чем речь. Коротко информативно с картинками.🚩
🔔 Анонс для тех, кто давно не чекал бусти, но подписан, а также для тех кто не подписан вовсе.📎

🚨Благодарю за внимание! Всем продуктивного дня!💡

🚨Доброй ночи, готовлю сразу 2 ролика, один из них тему могу сказать сразу - поговорим про то, как с технической точки зрения работает накрутка,
💡просмотров, подписчиков, конверсий на платформе для стриминга Twitch TV,▶️
Тема очень хайповая сейчас, надеюсь успеем в последний вагон хайпопоезда
Инфографика спойлер на ваш взор в студию💡
Заранее очень прошу поддержать ролик, поскольку я приложил много усилий для анализа того, как все это работает, чтобы проанализировать не просто накрутку, а залезть "под капот" ботоферм и ботнетов.
🔔 Ожидайте! 🔔
➡️В основу ролика ляжет не нытье о накрутке блогерами зрителей, о отчет структурообразующей компании в области противодействию накруткам и ботам🖥

✔️ Вышло видео про анатомию лжи на Twitch.💡
⚙️ Разобрал viewbotting не как "фу, накрутка", а как инженерную задачу. Оркестраторы, воркеры, подмена JA3 отпечатков и почему ваш любимый стример может быть в теневом бане, даже не зная об этом.
Если хотите узнать, как скрипты на Python воюют с нейросетями Amazon — вам сюда.🚨
📺 Смотреть на YouTube: https://www.youtube.com/watch?v=Q3Mu1IrV8t0

💡Доброе утро всем! На бусти вышел пост о том, как подготовиться к шатдауну, что необходимо чтобы у вас было под рукой всегда, по типу оффлайн карт, и прочего, оффлайн карты это минимальное что нужно - минимальный набор, на бусти в разы больше написал: мессенджеры, что скачать, что держать на внешнем диске, либо флешке, как это правильно делать и т.д.🚨
📣также поделился способом как скачать огромную базу данных с картинками на устройство чтобы было в формате оффлайн целая энциклопедия у вас под рукой.📎
🚨 Ну а на ютубе вас уже ждет видео! 🚨💡
⚙️Всем продуктивного дня!🔖

ОЧЕНЬ ВАЖНЫЙ ПОСТ ДЛЯ ТЕХ КТО СОЗДАЕТ ТЕЛЕГРАМ БОТОВ

💻🦠 Вредоносные расширения в VS Code воруют всё: код, пароли, скриншоты, WiFi

Исследователи Koi Security обнаружили два вредоносных расширения в Microsoft Visual Studio Code Marketplace, маскирующихся под premium dark theme и AI-помощник для кодинга.

Вредоносные расширения:
🎨 BigBlack.bitcoin-black (16 установок) — удалено Microsoft 5 декабря 2025
🤖 BigBlack.codo-ai (25 установок) — удалено Microsoft 8 декабря 2025

Что крали:
💾Ваш код — все файлы проектов
📧 Email-переписка
💬Slack DMs — корпоративные переписки
📸 Скриншоты — всё, что на экране
🔐 WiFi пароли
📋 Clipboard — всё, что копируете
🌐 Browser sessions — перехват сессий
Всё отправлялось на сервер злоумышленников в реальном времени.

Как работало:
Расширение маскировалось под легитимное (dark theme или AI coding assistant)
После установки загружало дополнительные payloads
Делало скриншоты экрана каждые N секунд
Перехватывало данные из буфера обмена
Крало WiFi credentials из системы
Перехватывало browser sessions для account takeover

Цитата эксперта Koi Security:
"Ваш код. Ваши email. Ваши Slack DM. Что угодно на вашем экране — они это видят. И это только начало. Также крадёт WiFi пароли, читает буфер обмена и перехватывает browser sessions."

Почему это опасно:
🚨 Разработчики — высокоценная цель: доступ к репозиториям, production credentials, корпоративным системам
🚨 VS Code Marketplace плохо модерируется — вредоносы живут днями/неделями
🚨 41 установка = минимум 41 скомпрометированная машина, возможно — целые компании
🚨 Похожая атака на npm packages в июле 2025 (colortoolsv2, mimelib2) — это становится трендом

Исторический контекст:
Это не первый случай. В 2025 году:
ShadyPanda превратил browser extensions с 4.3M установок в spyware
Северная Корея использует GitHub для распространения BeaverTail через фейковые проекты
Supply chain атаки через IDE-расширения растут экспоненциально

Что делать прямо сейчас:
✅ Немедленно проверьте установленные расширения в VS Code
✅ Удалите расширения от неизвестных авторов с малым количеством установок
✅ Перед установкой: проверяйте автора, количество установок, отзывы, дату последнего обновления
✅ Минимум расширений: устанавливайте только необходимое
✅ Используйте проверенные расширения от Microsoft, GitHub, крупных компаний
✅ Ротируйте все пароли и токены если установили подозрительные расширения
✅ Проверьте активные sessions в GitHub, GitLab, AWS, GCP и отзовите подозрительные
✅ Смените WiFi пароли
✅ Включите 2FA везде

Признаки вредоносных расширений:
🚩 Подозрительно мало установок (<100)
🚩 Новый автор без истории
🚩 Запрашивает слишком много permissions
🚩 Недавно создано, но обещает "премиум функции"
🚩 Нет исходного кода на GitHub
🚩 Странные отзывы или их полное отсутствие

💬 Для компаний: Внедрите whitelist разрешённых расширений для разработчиков. Один скомпрометированный developer = компрометация всего репозитория.

🔄 Разошли в команду разработки: Проверьте установленные расширения ПРЯМО СЕЙЧАС.

#VSCode #Malware #SupplyChain #Разработка #Кибербезопасность #Stealer #IDE #Microsoft

☁️ NANOREMOTE: китайские хакеры управляют бэкдором через Google Drive APIElastic Security Labs обнаружила изощрённый Windows-бэкдор NANOREMOTE, который использует Google Drive API для управления вместо традиционных C2-серверов. Малварь связана с китайской APT-группой REF7707 (Earth Alux, Jewelbug).

Что это такое:NANOREMOTE — полнофункциональный бэкдор на C++, который маскирует своё C2-управление под легитимный трафик Google Drive. Это делает его почти невидимым для традиционных систем обнаружения.Как работает атака:

Этап 1: Доставка
Загрузчик WMLOADER маскируется под легитимный файл Bitdefender (BDReinit.exe) с недействительной подписью
После запуска выделяет память через VirtualAlloc/VirtualProtect
Расшифровывает shellcode методом rolling XOR

Этап 2: Установка
Shellcode ищет зашифрованный файл wmsetup.log
Расшифровывает AES-CBC ключом 3A5AD78097D944AC
Загружает NANOREMOTE напрямую в память (fileless)

Этап 3: Управление через Google Drive
Использует OAuth 2.0 токены для аутентификации
Обращается к /drive/v3/files endpoint — выглядит как обычный юзер Google Drive
Конфигурация через pipe-separated формат с множественными client ID и refresh tokens
Альтернатива: переменная окружения NR_GOOGLE_ACCOUNTS

Этап 4: Локальный C2
Параллельно коннектится к hardcoded non-routable IP через HTTP POST
JSON-данные сжаты Zlib + зашифрованы AES-CBC ключом 558bec83ec40535657833d7440001c00
User-Agent: NanoRemote/1.0
URI: /api/client

22 команды-обработчика:
📊 Разведка: сбор информации о хосте, дисках
📁 Файловые операции: список, перемещение, удаление, создание директорий
⚡️ Выполнение: запуск PE-файлов с диска или из памяти, выполнение команд
📤 Передача файлов: загрузка/скачивание через Google Drive с очередью задач
⏸️ Управление задачами: пауза, возобновление, отмена передач
🧹 Очистка: очистка кэша, самоуничтожениеПочему это опасно:
❌ Маскировка под легитимный трафик — HTTPS к Google Drive выглядит абсолютно нормально
❌ OAuth 2.0 — невозможно отличить от реального пользователя
❌ Fileless execution — не оставляет следов на диске
❌ Двойной C2 — Google Drive + локальный IP для резервирования
❌ Система очередей — управление сложными операциями передачи данных
❌ API hooking — использует Microsoft Detours для перехвата терминации процессов
❌Custom PE loader — загружает модули напрямую в память через libPeConv

Связь с FINALDRAFT:
✅ Elastic обнаружила файл wmsetup.log из Филиппин (3 октября 2025) — расшифровывается тем же ключом
✅ Внутри оказался FINALDRAFT implant (использует Microsoft Graph API вместо Google Drive)
✅ Общая кодовая база и среда разработки
✅ Оба связаны с REF7707 (китайская APT)Кто под прицелом:Группа REF7707 атакует с марта 2023:

Правительственные учреждения
Оборонные подрядчики
Телеком компании
Образовательные учреждения
Авиационные организации
Юго-Восточная Азия, Южная Америка, Россия (5-месячная инфильтрация IT-компании в октябре 2025)

Что делать:
✅ Мониторьте трафик к Google Drive API от системных процессов
✅ Детектируйте правило Elastic: "Connection to Commonly Abused Webservices"
✅ Ищите подозрительные процессы: BDReinit.exe, файлы Trend Micro с недействительной подписью
✅ Проверяйте shellcode injection alerts
✅ Используйте YARA правила от Elastic (опубликованы)
✅ Behavioral detection > signature-based (payload меняется динамически)
✅ Сканируйте память на признаки PE loading из base64
✅ Ротируйте OAuth токены если подозреваете компрометацию

💬 Тренд: Хакеры всё чаще используют легитимные cloud API для C2 — Google Drive, Microsoft Graph, Dropbox. Традиционные firewall правила бессильны когда трафик выглядит как работа обычного пользователя с облаком.

🔥 Для SOC: Комбинируйте network detection (необычные API-паттерны) + endpoint detection (shellcode injection, PE loading) + behavioral analytics.

#NANOREMOTE #APT #Китай #GoogleDrive #C2 #Бэкдор #REF7707 #EarthAlux #Кибершпионаж #Elastic

🔺🔺🔺🔺🔺🔺🔺

⚠️ Давайте пообщаемся, готов ответить на вопросы и поговорить о жизни, о блокировках, обо всем насущном. 🚨💡

✉️ Играем сегодня в Хогвартс. Наследие. ⚠️
🚨 ПОДПИШИСЬ НА ТВИЧ! ТЕПЕРЬ СТРИМЫ СТАНУТ РЕГУЛЯРНЫМИ 🚨

https://www.twitch.tv/ilya_rublev
https://www.youtube.com/@RublevGame/streams

P.S. Чат на ютубе не работает, плагин его не цепляет, из за блокировок РКН в теории, я конечно буду периодически чекать ютуб, но не гарантирую что прочту ваш вопрос, поэтому лучше твич, там чат на стриме даже показывается, жду всех!
https://www.twitch.tv/ilya_rublev