Task No Face
@TaskNoFace
32.9K subscribers
755 photos
63 videos
3 files
767 links
🫆Task No Face — anonymous freelance powered by AI. Anonymity by default, and only AI runs the system. A step into a world where machines make the decisions

🫆Task No Face — анонимная фриланс-биржа, управляемая AI. Это шаг в мир, где решают не люди, а ИИ.
Download Telegram
About
Blog
Apps
Platform
Join
Task No Face
32.9K subscribers
Task No Face
☢️Вредоносы в расширениях Chrome и Edge

🖥Пацаны из ReasonLabs обнаружили масштабную кампанию, в рамках которой более 300 000 раз были установлены вредоносные расширения для браузеров Google Chrome и Microsoft Edge. Эти расширения изменяли исполняемые файлы, подменяли домашние страницы и крали историю браузера. Кампания активна с 2021 года и юзает различные способы распространения, включая загрузку софта с мошеннических сайтов, которые продвигаются через вредоносную рекламу в Google.

Основные моменты:
- Заражение через установщики: Юзеры скачивают установщики с поддельных сайтов, в целях загрузить популярный софт (например, Roblox FPS Unlocker, TikTok Video Downloader и другие). Эти установщики, подписанные цифровой подписью Tommy Tech LTD, успешно обходят антивирусы на платформе VirusTotal.
- Вместо загрузки ожидаемого софта установщики запускают PowerShell-скрипт, который загружает и устанавливает вредоносные расширения в браузеры Chrome и Edge. Эти расширения перехватывают поисковые запросы, подменяют домашнюю страницу и крадут историю браузера.
- Малварь скрывает себя в браузере, даже если включен режим разраба, и изменяет DLL-библиотеки Chrome и Edge, чтобы изменить настройки поиска. Она также препятствует автоматическому обновлению браузеров, оставляя их уязвимыми для новых угроз.

☠️Вредоносные расширения:
Для Google Chrome:
- Custom Search Bar — более 40 000 юзеров
- yglSearch — более 40 000 юзеров
- Qcom search bar — более 40 юзеров
- Qtr Search — более 600 юзеров
- Micro Search Chrome Extension — более 180 000 юзеров (удалено из Chrome Web Store)
- Active Search Bar — более 20 000 юзеров (удалено из Chrome Web Store)
- Your Search Bar — более 40 000 юзеров (удалено из Chrome Web Store)
- Safe Search Eng — более 35 000 юзеров (удалено из Chrome Web Store)
- Lax Search — более 600 юзеров (удалено из Chrome Web Store)

Для Microsoft Edge:
- Simple New Tab — более 100 000 юзеров (удалено из магазина Edge)
- Cleaner New Tab — более 2000 юзеров (удалено из магазина Edge)
- NewTab Wonders — более 7000 юзеров (удалено из магазина Edge)
- SearchNukes — более 1000 юзеров (удалено из магазина Edge)
- EXYZ Search — более 1000 юзеров (удалено из магазина Edge)
- Wonders Tab — более 6000 юзеров (удалено из магазина Edge)

🔧Рекомендации по удалению малвари:
1. Удалите запланированную задачу из Windows Task Scheduler, проверив записи, указывающие на подозрительные скрипты, такие как NvWinSearchOptimizer.ps1.
2. Удалите вредоносные записи из реестра:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist

3. Удалите файлы малвари из системы вручную или с помощью антивируса.
4. Рекомендуется переустановить браузер, чтобы избавиться от всех изменений, внесённых малварью.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍122❤‍🔥2🔥2
10.2K views
Task No Face
💻Почти 2,7 миллиарда записей с личной информацией граждан США— слито в даркнете. 🇺🇸

☠️Слив содержит такие данные, как имена, номера социального страхования, почтовые адреса и возможные псевдонимы пострадавших. Предполагается, что эта информация была собрана компанией National Public Data, которая занимается сбором и продажей персональных данных для проведения биографических проверок, изучения криминального прошлого и услуг частных детективов.

💰История слива берет начало еще весной 2024 года, когда хакер под ником USDoD заявил о продаже 2,9 миллиарда записей, содержащих персональные данные жителей США, Великобритании и Канады. Он оценил данные в $3,5 млн, утверждая, что в его руках оказалась информация о каждом жителе этих стран. Тем не менее, журналисты так и не смогли получить комментарии от представителей National Public Data, а впоследствии в сети появлялись частичные копии этих данных.

📆6 августа 2024 года хакер под ником Fenice выложил наиболее полную версию утечки на хакерском форуме Breached, заявив, что информация была похищена другим хакером под псевдонимом SXUL, а не USDoD. В опубликованном дампе содержится почти 2,7 миллиарда записей, распределенных в двух текстовых файлах общим объемом 277 ГБ. Хотя исследователи не могут с уверенностью сказать, что утечка охватывает каждого жителя США, многие подтвердили, что в дампе действительно есть реальные данные, включая информацию о них самих и их близких.

Каждая запись содержит имя, почтовый адрес и номер социального страхования. Некоторые записи включают дополнительные данные, такие как другие имена, связанные с конкретным человеком. Однако в этой утечке отсутствуют телефонные номера и адреса электронной почты, которые были в предыдущих версиях. Информация не зашифрована и представлена в открытом виде.

🖥Стоит отметить, что одна и та же персона может быть представлена в нескольких записях, что означает, что утечка не затронула почти три миллиарда человек, как сообщалось ранее. Также известно, что утекшая информация может быть устаревшей, поскольку в некоторых случаях текущие адреса проживания отсутствуют.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡13👍4
10.7K views
Task No Face
🖥0-day для обхода защиты SmartScreen в Windows.

☠️На этой неделе Microsoft устранила опасный баг, связанный с обходом предупреждений Mark of the Web (MotW), который использовался хакерами как 0-day для обхода защиты SmartScreen. Напомним, что SmartScreen — это защитная функция, введенная еще в Windows 8, которая активируется при открытии файлов, полученных из интернета и помеченных MotW, предупреждая пользователя о потенциальной угрозе.

В рамках августовского «вторника обновлений» Microsoft исправила уязвимость, получившую идентификатор CVE-2024-38213. Эта проблема могла быть заюзана удаленно неаутентифицированными хакерами, хотя и требовала взаимодействия с жертвой. Уязвимость позволяла создавать файлы, которые обходили предупреждения MotW, что позволяло атакующим обмануть систему защиты SmartScreen и заставить пользователя открыть вредоносный файл.

☝️Специалист из Trend Micro, Питер Гирнус, обнаруживший эту проблему, рассказал
что баг активно использовался хакерами еще в марте 2024 года. Несмотря на то, что Microsoft была уведомлена о проблеме и исправила ее в июне 2024 года, соответствующее уведомление не было выпущено до августа.


💻В марте 2024 года хакеры, известные как операторы DarkGate, использовали этот баг для распространения вредоносного ПО, замаскированного под легитимные установщики программ, такие как Apple iTunes, Notion, NVIDIA и другие. Специалисты Trend Micro, анализируя деятельность DarkGate, выявили проблему CVE-2024-38213 и уведомили об этом Microsoft, что и привело к исправлению.

🛡Интересно, что эта уязвимость связана с обходом патча для другой проблемы в Defender SmartScreen (CVE-2023-36025), которая также использовалась как 0-day и была исправлена в ноябре 2023 года.

🔄Недавно специалисты Elastic Security Labs обнаружили еще один похожий дефект в Windows Smart App Control и SmartScreen, который использовался хакерами с 2018 года и также позволял обходить систему безопасности Windows. Microsoft планирует устранить эту уязвимость в одном из будущих обновлений.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8👍3
10K views
Task No Face
☢️Баг IPv6 в Windows

🖥На этой неделе Microsoft предупредила юзеров об устранении критической уязвимости в TCP/IP, которая позволяла хакерам удаленно выполнять произвольный код на устройствах с включенным IPv6, что по умолчанию касается всех современных Windows-систем. Баг, получил идентификатор CVE-2024-38063, был обнаружен специалистами Kunlun Lab и связан с целочисленным антипереполнением (integer underflow), которое позволяет переполнять буфер и запускать вредоносный код на системах под управлением Windows 10, Windows 11 и Windows Server.

🧩Исследователи из Kunlun Lab сообщили, что пока не будут раскрывать детали уязвимости, чтобы дать юзерам время на установку патчей, поскольку проблема представляет серьезную опасность. Более того, они подчеркнули, что отключение IPv6 на уровне локального брандмауэра Windows не остановит возможные атаки, так как уязвимость может быть использована еще до его срабатывания.

💻Microsoft предупреждает, что эта уязвимость может быть использована удаленно неавторизованными хакерами, просто путем отправки специально подготовленных пакетов IPv6. В компании отметили, что эксплуатация этой уязвимости весьма вероятна, учитывая прошлые случаи использования подобных багов. Это делает проблему особенно привлекательной для создания эксплоитов.

🔘Тем юзерам, которые не могут немедленно установить исправления, Microsoft рекомендует временно отключить IPv6, чтобы снизить риск атак. Однако компания также напоминает, что стек сетевых протоколов IPv6 является важной частью современных версий Windows, начиная с Windows Vista, и его отключение может вызвать некорректную работу некоторых функций системы.

❗️По словам главы Trend Micro Zero Day Initiative
эта уязвимость является одной из самых серьезных, исправленных Microsoft в этом месяце, и она обладает потенциалом для использования в атаках типа "червь", что делает ее особенно опасной.


@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15😱4😁1🤯1
10.1K views
Task No Face
🔒40 лет тюрьмы за торговлю аккаунтами

👨‍⚖️27-летний гражданин России Георгий Кавжарадзе был приговорен в США к 40 месяцам (3,3 года) тюремного заключения за продажу учетных данных более 300 000 аккаунтов на хакерском маркетплейсе Slilpp, который был закрыт в июне 2021 года. Как сообщает Министерство юстиции США, Кавжарадзе, известный под псевдонимами TeRorPP, Torqovec и PlutuSS, продал на Slilpp огромное количество украденной финансовой информации и персональных данных.

📇Согласно судебным документам, в период с июля 2016 года по май 2021 года Кавжарадзе выставил на продажу более 626 100 украденных учетных данных. Те данные, которые были приобретены юзерами Slilpp, использовались для мошенничества и попыток совершения транзакций на сумму около 1,2 миллиона долларов США, так как покупатели использовали их для кражи денег со счетов жертв.

🏦Изначально обвинение включало учетные данные пяти разных банков и мошеннические транзакции на сумму свыше 5 миллионов долларов. Однако позже сумма была уменьшена до $1,2 млн, и теперь Кавжарадзе обязан вернуть эту сумму в качестве реституции.

💰27 мая 2021 года аккаунт Кавжарадзе на Slilpp выставил на продажу 240 495 учетных данных, которые могли использоваться для кражи денежных средств с платежных и банковских счетов жертв. Учетные данные включали информацию для доступа к банковским счетам в таких штатах, как Нью-Йорк, Калифорния, Невада и Джорджия. В качестве оплаты Кавжарадзе принимал только биткоины.

💸Следователи ФБР смогли связать Кавжарадзе с выводом более $200 000 США с биткоин-счета, который был связан с платежами за украденные логины и данные на Slilpp.

🔨В августе 2021 года Министерство юстиции США предъявило Кавжарадзе обвинения в сговоре с целью совершения банковского и электронного мошенничества, а также в краже личных данных при отягчающих обстоятельствах. После экстрадиции в США, в мае 2022 года, он предстал перед судом, где почти два года спустя признал себя виновным.

🛍Маркетплейс Slilpp, функционировавший с 2012 по 2021 год, был крупнейшим рынком взломанных учетных записей в криминальном подполье. На платформе было продано более 80 миллионов учетных данных, принадлежавших более чем 1400 компаниям, включая PayPal, Wells Fargo, Amazon и другие.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿18🫡7👍5😁41🤔1🤯1🙈1
10.3K views
Task No Face
💻TP-Link замешан в атаках на США?


🌐Два члена Палаты представителей Конгресса США обратились к Министерству торговли с просьбой начать расследование в отношении китайского производителя сетевого оборудования TP-Link. Причиной стали опасения, что продукция компании может представлять угрозу национальной безопасности. В письме, датированном 13 августа и попавшем в распоряжение агентства «Рейтер», конгрессмены Джон Муленар (Республиканская партия) и Раджа Кришнамоорти (Демократическая партия) указали на то, что уязвимости в прошивках точек доступа Wi-Fi от TP-Link активно эксплуатируются хакерами при атаках на госучреждения в разных странах. Они назвали эту угрозу "вопиющим вопросом национальной безопасности".

🌐Запрос был направлен Министерству торговли, так как именно это ведомство обладает полномочиями ограничивать или запрещать продажу товаров, произведенных в странах, которые США объявляют противниками. Журналистка «Рейтер» Александра Альпер отметила, что данное письмо является признаком растущей обеспокоенности тем, что китайское оборудование может быть использовано в кибератаках на американские правительства и предприятия.

☠️Однако, по данным «Рейтер», кампания Volt Typhoon, направленная на американские госучреждения и критическую инфраструктуру, эксплуатировала уязвимости в сетевом оборудовании Cisco и NetGear, а не TP-Link. Тем не менее, в атаке использовались устройства не только внутри периметра атакуемых организаций, но и частных юзеров.

🙅В официальном заявлении TP-Link ответили, что не продают свои маршрутизаторы в США по официальным каналам и что их продукция не имеет незакрытых уязвимостей.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🙈15😁6🤔21
10.8K views
Task No Face
🌐Скрытые пароли в Chrome

🤖Разрабы Google работают над новой функцией для браузера Chrome на Android, которая будет скрывать конфиденциальную информацию (данные банковских карт и пароли) если юзер делится своим экраном или записывает его. Эта мера направлена на предотвращение утечки личных данных при записи или трансляции экрана.

🔘По данным Bleeping Computer, Google уже тестирует эту функцию которая называется «Редактирование конфиденциального содержимого при совместном использовании экрана, записи экрана и других подобных действиях» (Redact sensitive content during screen sharing, screen recording and similar actions). Если эта функция активна, конфиденциальные поля на страницах, такие как пароли и данные банковских карт, будут автоматически скрыты.

⚙️Функция будет работать на устройствах с Android V (Android 15) и выше. Хотя она еще не активирована для широкой аудитории, ожидается, что в ближайшие недели её можно будет протестировать в версии Chrome Canary.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17😁3🤡21🤔1
10.3K views
Task No Face
🤖Google прикрывает программу по поиску багов в приложениях Google Play

🤖В 2017 году Google запустила инициативу «Google Play Security Reward Program (GPSRP)», которая позволяла исследователям получать вознаграждения за обнаружение уязвимостей в популярных приложениях для Android. Однако теперь компания объявила, что в конце августа программа будет закрыта.

🖥Изначально GPSRP охватывала только небольшую группу разрабов Android, которые могли получать до $5000 за обнаружение уязвимостей удаленного выполнения кода и до 1000 долларов за проблемы, связанные с кражей конфиденциальных данных. В 2019 году Google значительно увеличила вознаграждения: до $20 000 и $3 000 соответственно, и расширила программу на все приложения из Google Play, которые имели не менее 100 лямов установок.

📱За годы работы программа оказала значительное влияние на безопасность приложений. По данным Google, автоматизированные проверки, созданные на основе информации, собранной в рамках GPSRP, помогли более чем 300 000 разрабов исправить свыше миллиона приложений. Однако в письме, разосланном разработчикам, Google сообщила, что GPSRP завершится 31 августа 2024 года, почти семь лет спустя после запуска. Отчеты, отправленные до этого срока, будут рассмотрены до 15 сентября, а оставшиеся вознаграждения выплачены до конца месяца.

🔐Google объяснила закрытие программы уменьшением количества обнаруживаемых уязвимостей, общим повышением уровня безопасности ОС Android и усилением защиты функций. Несмотря на это, закрытие GPSRP может негативно сказаться на безопасности Play Store, так как исследователи лишатся стимулов для поиска и раскрытия уязвимостей, особенно в приложениях без собственных программ bug bounty.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡31👍6😁31👻1
9.56K views
Task No Face
✈️FlightAware сливал личные данные юзеров в течение трёх лет из-за ошибки в конфигурации

☠️Популярный сервис для отслеживания полётов FlightAware сообщил о серьёзной утечке данных, которая длилась на протяжении трёх лет. Компания, базирующаяся в Хьюстоне, предоставляющая данные о полётах в режиме реального времени, по неосторожности раскрывала личные данные своих юзеров с 1 января 2021 года по 25 июля 2024 года. Причиной инцидента стала ошибка в конфигурации системы.

✈️FlightAware, крупнейшая платформа для отслеживания полётов с сетью из 32 000 наземных ADS-B станций в 200 странах, допустила утечку следующей информации:

- ID пользователя;
- Пароль;
- Адрес электронной почты;
- Полное имя;
- Адрес для выставления счетов и доставки;
- IP-адрес;
- Аккаунты в социальных сетях;
- Номера телефонов;
- Год рождения;
- Последние четыре цифры номера банковской карты;
- Информация о принадлежащих пользователю воздушных судах;
- Отрасль и должность;
- Статус пилота;
- Активность аккаунта;
- Номер социального страхования.

🖥Хотя точное количество пострадавших юзеров пока неизвестно, стоит отметить, что у FlightAware более 12 миллионов зарегистрированных юзеров. Компания уже исправила ошибку и попросила всех потенциально пострадавших сбросить пароли при следующем входе в систему. Кроме того, пострадавшим пользователям предоставлен бесплатный 24-месячный пакет защиты от кражи личности от Equifax, а также рекомендуется сообщать о подозрительной активности в местные правоохранительные органы.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6😈31😱1
9.95K views
Task No Face
🛡GitHub устранил три бага в GitHub Enterprise Server: админам рекомендовано немедленно обновиться

🖥Разрабы GitHub устранили сразу три опасные уязвимости в GitHub Enterprise Server (GHES), настоятельно рекомендуя корпоративным юзерам как можно скорее установить соответствующие патчи. Одна из уязвимостей, идентифицированная как CVE-2024-6800, получила критическую оценку в 9,5 баллов по шкале CVSS 4.0 и затрагивает несколько версий GHES. Эта проблема позволяет хакерам обходить аутентификацию и получать права админа.

☠️Уязвимость CVE-2024-6800 связана с обёрткой XML-подписи и возникает при использовании стандарта аутентификации Security Assertion Markup Language (SAML) с определёнными identity-провайдерами. Проблема была устранена в последних версиях GHES: 3.13.3, 3.12.8, 3.11.14 и 3.10.16.

«В экземплярах GitHub Enterprise Server, использующих аутентификацию SAML SSO с определенными identity-провайдерами, которые применяют публично доступные подписанные федеративные метаданные XML, злоумышленник может подделать ответ SAML для предоставления или получения доступа к учетной записи пользователя с привилегиями администратора», — сообщает GitHub.


☢️Помимо критического бага, были устранены ещё две проблемы:
- CVE-2024-7711 — позволяет хакерам изменять issue в публичных репозиториях;
- CVE-2024-6337— связан с раскрытием содержимого issue в приватных репозиториях.

📊Согласно данным поисковика FOFA, в интернете доступно более 36 500 экземпляров GHES, большинство из которых (29 200) расположены в США. Пока неизвестно, сколько из них могут быть уязвимы перед новыми багами, однако разрабы рекомендуют всем юзерам немедленно обновить свои системы.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🗿1
9.78K views
Task No Face
💻Взлом аккаунта Unicoin в Google Workspace: хакер блокировал доступ сотрудников на несколько дней

☠️Неизвестный хакер взломал аккаунт криптовалютного проекта Unicoin в Google Workspace (ранее G-Suite) и на несколько дней заблокировал доступ сотрудников к корпоративным сервисам. В результате взлома были изменены пароли всех юзеров, что лишило их доступа к таким критически важным инструментам, как Gmail и Google Drive.

🖥Согласно заявлению, поданному в Комиссию по ценным бумагам и биржам США (SEC), инцидент был обнаружен 9 августа 2024 года. Хакер получил полный контроль над аккаунтом компании, изменив пароли и получив доступ ко всем сервисам Google Workspace. Восстановить доступ к корпоративным аккаунтам удалось только 13 августа 2024 года.

📆За эти несколько дней хакер имел доступ к конфиденциальной информации, содержащейся во внутренних сообщениях компании. В ходе расследования были выявлены следующие факты:

🔴Несоответствия в личных данных сотрудников и подрядчиков, обнаруженные в бухгалтерском отделе;
🔴Компрометация коммуникаций, включая взлом сообщений и электронных почтовых ящиков некоторых менеджеров;
🔴Попытка подделки личных данных одного из подрядчиков, в результате чего его доступ был аннулирован.

👌Несмотря на серьёзность инцидента, в Unicoin заявили, что он не окажет существенного влияния на финансовое положение компании. Также не было выявлено никаких признаков пропажи криптовалютных активов или денежных средств, связанных с этим взломом.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9😁3
9.97K views
Task No Face
💻Чел взломал госреестр США

🔒39-летний Джесси Кипф из штата Кентукки был приговорен к почти семи годам тюремного заключения за кражу личных данных и взлом государственного реестра для инсценировки собственной смерти. Таким образом, он надеялся избежать выплаты алиментов на сумму около 116 000 долларов США.

🌴По данным Министерства юстиции США, в январе 2023 года Кипф взломал систему регистрации смертей на Гавайях, используя украденные учетные данные врача, чтобы объявить себя умершим. Это позволило ему избежать уплаты алиментов, так как его имя было удалено из государственных баз данных.

🖥Однако Кипф не остановился на этом. В течение нескольких месяцев он продолжал взламывать государственные реестры в штатах Аризона и Вермонт, а также корпоративные и правительственные сети, используя похищенные учетные данные. Он даже пытался продать доступ к этим сетям на даркнете.

💳Следователи обнаружили на устройствах Кипфа доказательства его причастности к другим мошенническим схемам, включая продажу номеров социального страхования и медицинских записей международным покупателям. Кипф также использовал фальшивый номер социального страхования для открытия банковских счетов и пытался "жить под новой личностью".

📆Хотя за свои преступления Кипф мог получить более 30 лет тюрьмы, его приговорили к 81 месяцу заключения. Ему предстоит отбыть не менее 85% срока, то есть как минимум 69 месяцев, после чего он будет находиться под надзором властей еще три года.

👨‍⚖️Прокуроры назвали Кипфа "классическим рецидивистом" с внушительной криминальной историей, включая предыдущие обвинения в незаконном владении устройствами для проведения финансовых операций и использовании украденных номеров кредитных карт.

🤪Адвокат Кипфа утверждал, что его клиент страдает от психологической травмы после службы в Ираке и борется с наркотической зависимостью, что, по его словам, привело к его противозаконному поведению.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡21😁51🏆1🗿1
10.8K views
Task No Face
🗃Как сохранить свои данные в Телеграме перед возможной конфискацией серверов

💻Эксперты предупреждают, что спецслужбы могут изъять серверы Телеграма, расположенные в США и Амстердаме. В случае такой ситуации существует риск потерять все фото, видео и документы, хранящиеся в ваших чатах. Чтобы этого избежать, нужно сделать это :

1. Установите десктопную версию Телеграма.
2. В «Настройках» выберите пункт «Продвинутые».
3. Нажмите «Экспорт данных из Телеграм» и выберите, что вы хотите выгрузить.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
💋33🫡10😁8👍21👌1😈1
10.7K views
Task No Face
🌐Разрабы шифровальщика Qilin нашли новый способ для кражи данных из Chrome

🥷Пацаны из Sophos X-Ops нашли подозрительные изменения в тактике операторов шифровальщика Qilin. Теперь хакеры юзают кастомный инфостилер, который ворует учётные данные, хранящиеся в Google Chrome.

📆Атака произошла в июле 2024 года. Операторы Qilin получили доступ к сети жертвы, используя скомпрометированные учётные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация. После взлома хакеры не проявляли активности в течение 18 дней. По мнению экспертов, это время могло быть потрачено на разведку и изучение сети жертвы.

💻Спустя две недели хакеры начали активные действия, изменив объекты групповой политики (GPO) для запуска скрипта PowerShell на всех машинах в доменной сети. Этот скрипт собирал учётные данные, хранящиеся в Chrome, и сохранял их на общем ресурсе, после чего данные отправлялись на управляющий сервер Qilin, а локальные следы активности стирались.

🖥Последним этапом атаки стало развертывание вымогательского ПО, которое зашифровало все данные на скомпрометированных машинах. Для этого операторы Qilin использовали ещё один GPO и отдельный скрипт, что позволило распространить шифровальщик на все устройства в домене.

🖥Эксперты Sophos предупреждают, что такая кража учётных данных из Chrome представляет серьёзную угрозу. Успешная атака подобного рода может привести к массовой компрометации различных платформ и сервисов, усложняя работу по реагированию на инциденты и создавая долгосрочную угрозу. Защитникам придётся не только менять пароли Active Directory, но и требовать от конечных юзеров смены паролей для множества сторонних сайтов, которые хранились в Chrome.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🤔3👻3
9.65K views
Task No Face
🖥Атаки с использованием уязвимых драйверов на Windows растут

💻Во втором квартале 2024 года количество атак на Windows с использованием уязвимых драйверов увеличилось почти на 23% по сравнению с первым кварталом, сообщают специалисты «Лаборатории Касперского». Эти атаки становятся всё более популярными среди хакеров, так как уязвимые драйверы позволяют хакерам отключать защитные решения и повышать привилегии в системе. Это открывает путь для множества вредоносных действий, включая внедрение программ-вымогателей, шпионаж, саботаж и сложные целевые атаки.

☠️Особенно тревожным является рост числа инструментов, облегчающих использование уязвимых драйверов. С 2021 года в сети было опубликовано 24 проекта, связанных с эксплуатацией уязвимых драйверов, и 16 из них появились только в 2023 году. Эти инструменты позволяют хакерам атаковать системы без необходимости обладать специальными навыками по поиску и эксплуатации уязвимостей, что делает такие атаки более доступными и опасными.

«Качество и количество уязвимостей и работающих к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — комментирует Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».


@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10👍31🫡1
10.1K views
Task No Face
🟥Операторы связи в России начали самостоятельно обходить замедления YouTube

🇷🇺Согласно инфе, опубликованной изданием «Коммерсант», российские операторы связи начали внедрять на своих сетях решения, которые позволяют обходить замедление работы YouTube, делая его доступным для абонентов. Эти действия стали возможны из-за отсутствия официального запрета на доступ к YouTube в России, что делает их юридически допустимыми.

🌐Источники в телекоммуникационной отрасли подтверждают, что подобные решения уже установлены на десятках сетей по всей стране. Операторы связи стремятся сохранить абонентов, которые начали массово разрывать договоры из-за проблем с доступом к YouTube и другим сервисам Google.

📆Проблемы с доступом к YouTube в России начались в конце июля 2024 года. Несмотря на слухи о возможной блокировке сервиса, Роскомнадзор и другие государственные органы пока не делали официальных заявлений по этому поводу. Это привело к тому, что операторы решили действовать самостоятельно, устанавливая инструменты для обхода замедления.

Некоторые операторы уже заявили, что YouTube на их сетях работает без необходимости использования «дополнительных инструментов» для юзеров, а трафик перенаправляется с российских серверов Google на европейские.

😅Эксперты отмечают, что подобные действия операторов могут нести риски, связанные с нарушением административного кодекса и потерей лицензии, хотя формально они не несут ответственности за некачественную фильтрацию трафика, так как управление соответствующим оборудованием осуществляет Роскомнадзор.

🤷‍♂️Ситуация с доступом к YouTube в России остаётся нестабильной, и развитие событий в ближайшее время может существенно повлиять на работу интернет-сервисов в стране.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡25😁10🤡6👍3❤‍🔥2💋2
10.6K views
Task No Face
🍏Бэкдор на macOS HZ у юзеров DingTalk и WeChat

🖥Исследователи из «Лаборатории Касперского» обнаружили новую macOS-версию бэкдора HZ Rat, которая нацелена на юзеров корпоративных мессенджеров DingTalk и WeChat. Эта версия бэкдора аналогична ранее обнаруженной Windows-версии, но отличается тем, что использует shell-скрипты для выполнения команд.

☠️HZ Rat впервые был выявлен в ноябре 2022 года специалистами DCSO, когда он атаковал системы под управлением Windows, используя PowerShell-скрипты. В новой macOS-версии бэкдор распространяется через установочные пакеты, один из которых был загружен на VirusTotal под именем OpenVPNConnect.pkg. Примечательно, что этот файл был загружен с домена, принадлежащего китайскому разработчику игр miHoYo, что может указывать на возможный взлом.

🖥HZ Rat подключается к управляющему серверу с использованием приватных IP-адресов и шифрует связь с сервером с помощью XOR-шифрования. Бэкдор поддерживает четыре основные команды: выполнение shell-команд, запись файлов на диск, отправка файлов на сервер и проверка доступности жертвы.

ℹ️Малварь собирает различные данные, включая информацию о защитных функциях системы, системную информацию, список приложений и данные пользователей WeChat и DingTalk. Например, из WeChat HZ Rat извлекает WeChatID, почту и номер телефона жертвы, а из DingTalk — данные о пользователе и его организации.

💻Исследователи отмечают, что атака, вероятно, была целевой, так как некоторые версии бэкдора юзали локальные IP-адреса для подключения к серверам. Это может свидетельствовать о том, что хакеры уже имели заражённое устройство в локальной сети жертвы.

💻Все обнаруженные управляющие серверы, за исключением двух (в США и Нидерландах), находятся в Китае. Эксперты считают, что собранная информация может быть использована для дальнейшей слежки за жертвами и подготовки будущих атак, однако точные намерения злоумышленников остаются неясными.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡10👍61
10.6K views
Task No Face
🖥Юзеры теряют доступ к пиратским версиям Adobe: разрабы начали деактивацию

🏴‍☠️Многие юзеры говорят о том, что начали терять доступ к пиратским версиям Photoshop и других продуктов Adobe. Судя по скринам, разрабы предупреждают о необходимости завершить или сохранить текущие проекты, после чего деактивируют нелицензионное ПО.

🖥В комментах под твитом юзеры предлагают решение для обхода проблемы — заблокировать доступ к серверам Adobe через файл hosts. Вот как это сделать:

1. Нажмите Win+R и введите cmd.
2. В консоли введите команду: notepad c:\WINDOWS\system32\drivers\etc\hosts.
3. В конце открывшегося файла вставьте все адреса из списка по ссылке.


@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
33👨‍💻8👍1
10.9K views
Task No Face
🔍Google делает Х2 выплаты за баги в Chrome

💰Компания Google объявила о увеличении выплат за обнаружение уязвимостей в браузере Chrome. Теперь максимальное вознаграждение за одну обнаруженную ошибку может достигать $250 000. Это изменение направлено на поощрение исследователей безопасности, которые предоставляют качественные отчеты и стремятся выявить все возможные последствия обнаруженных проблем.

🌐Вознаграждение за базовые отчеты, демонстрирующие повреждение памяти в Chrome с трассировкой стека и proof-of-concept, будет составлять до $25 000. Однако за более сложные и детализированные отчеты, включающие демонстрацию удаленного выполнения кода (RCE) и работающий эксплоит, вознаграждение будет значительно выше.

🗣Инженер по безопасности Chrome Эми Ресслер объяснила, что увеличение выплат в рамках программы Chrome VRP (Vulnerability Reward Program) создаст более четкую структуру и поощрит написание качественных отчетов. Если исследователю удастся продемонстрировать RCE без компрометации рендерера, сумма вознаграждения может еще больше увеличиться.

🛡Кроме того, Google также удвоила выплаты за обход защитного механизма MiraclePtr, подняв их до 250 128 долларов США. Компания продолжает активно поддерживать исследователей, предлагая вознаграждения за различные классы уязвимостей в зависимости от их серьезности и потенциального вреда для юзеров.

💵С момента запуска программы вознаграждений в 2010 году Google уже выплатила более $50 млн исследователям безопасности, которые нашли более 15 000 уязвимостей. Эта инициатива остаётся одной из самых успешных в индустрии, стимулируя непрерывное улучшение безопасности Chrome.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🍾1
11.2K views
Task No Face
👨‍💻Хак-группа Play сливает данные, украденные у Microchip Technology

🖥Типы из вымогательской группировки Play опубликовали на своем сайте в даркнете гигабайты данных, украденных у американского производителя микросхем Microchip Technology. На прошлой неделе компания сообщала о нарушении деятельности некоторых своих производственных предприятий в результате кибератаки.

🌍Microchip Technology обслуживает около 123 000 клиентов по всему миру, включая компании из таких отраслей, как промышленность, автомобилестроение, потребительский сектор, аэрокосмическая и оборонная промышленность, а также коммуникации и вычислительная техника. Из-за инцидента часть производственных площадок компании работала не на полную мощность, что повлияло на выполнение заказов. В ответ на атаку Microchip Technology приняла меры, включающие отключение и изоляцию пострадавших систем.

💻На момент атаки не было известно, кто стоит за этим инцидентом, однако теперь хак-группа Play взяла на себя ответственность за взлом, разместив информацию о нем на своем сайте в даркнете. 29 августа хакеры начали публиковать данные, предположительно похищенные у компании.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
6
10.9K views
Task No Face
💻Хакеры юзают GitHub для распространения малвари Lumma Stealer

☢️Они нашли новый способ распространения вредоносного ПО Lumma Stealer, злоупотребляя платформой GitHub. Маскируют малварь под фальшивые исправления, которые размещают в комментах к проектам, вводя разрабов в заблуждение.

🖥Первым эту кампанию обнаружил один из авторов библиотеки «teloxide rust», который предупредил на Reddit, после получил несколько подозрительных комментов к своим issue на GitHub. Все они были замаскированы под исправления, но на самом деле содержали ссылки на вредоносное ПО.

🖥Спецы Bleeping Computer выявили тысячи аналогичных комментов, оставленных хакерами под разными проектами на GitHub. Опасные ссылки ведут к защищенным паролем архивам на сайтах вроде mediafire.com или через короткие URL-адреса на bit.ly. В архивах содержатся несколько DLL и исполняемый файл под названием «x86_64-w64-ranlib.exe». Пароль от архива был одинаковым во всех случаях — «changeme».

🖥Запуск этого исполняемого файла приводит к установке малвари Lumma Stealer, которая крадет файлы cookie, учетные данные, пароли, данные банковских карт и историю просмотров из популярных браузеров, таких как Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-браузеров. Также Lumma Stealer может похищать данные крипто-кошельков и приватные ключи, хранящиеся в текстовых файлах с именами, вроде «seed.txt», «pass.txt», «ledger.txt», «trezor.txt», «bitcoin.txt» и др.

👨‍💻ИБ-специалист Николас Шерлок сообщил, что всего за три дня было опубликовано более 29 000 комментов с этой малварью. GitHub активно удаляет вредоносные комменты, но многие юзеры уже пострадали от этой атаки.

🖥Если вы случайно запустили эту малварь, рекомендуется сменить пароли на всех своих аккаунтах и перевести крипту на новый кошелек.

@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍101👀1
10.9K views