🍏Бэкдор на macOS HZ у юзеров DingTalk и WeChat

🖥Исследователи из «Лаборатории Касперского» обнаружили новую macOS-версию бэкдора HZ Rat, которая нацелена на юзеров корпоративных мессенджеров DingTalk и WeChat. Эта версия бэкдора аналогична ранее обнаруженной Windows-версии, но отличается тем, что использует shell-скрипты для выполнения команд.

☠️HZ Rat впервые был выявлен в ноябре 2022 года специалистами DCSO, когда он атаковал системы под управлением Windows, используя PowerShell-скрипты. В новой macOS-версии бэкдор распространяется через установочные пакеты, один из которых был загружен на VirusTotal под именем OpenVPNConnect.pkg. Примечательно, что этот файл был загружен с домена, принадлежащего китайскому разработчику игр miHoYo, что может указывать на возможный взлом.

🖥HZ Rat подключается к управляющему серверу с использованием приватных IP-адресов и шифрует связь с сервером с помощью XOR-шифрования. Бэкдор поддерживает четыре основные команды: выполнение shell-команд, запись файлов на диск, отправка файлов на сервер и проверка доступности жертвы.

ℹ️Малварь собирает различные данные, включая информацию о защитных функциях системы, системную информацию, список приложений и данные пользователей WeChat и DingTalk. Например, из WeChat HZ Rat извлекает WeChatID, почту и номер телефона жертвы, а из DingTalk — данные о пользователе и его организации.

💻Исследователи отмечают, что атака, вероятно, была целевой, так как некоторые версии бэкдора юзали локальные IP-адреса для подключения к серверам. Это может свидетельствовать о том, что хакеры уже имели заражённое устройство в локальной сети жертвы.

💻Все обнаруженные управляющие серверы, за исключением двух (в США и Нидерландах), находятся в Китае. Эксперты считают, что собранная информация может быть использована для дальнейшей слежки за жертвами и подготовки будущих атак, однако точные намерения злоумышленников остаются неясными.

@pentestland

🔍Google делает Х2 выплаты за баги в Chrome

💰Компания Google объявила о увеличении выплат за обнаружение уязвимостей в браузере Chrome. Теперь максимальное вознаграждение за одну обнаруженную ошибку может достигать $250 000. Это изменение направлено на поощрение исследователей безопасности, которые предоставляют качественные отчеты и стремятся выявить все возможные последствия обнаруженных проблем.

🌐Вознаграждение за базовые отчеты, демонстрирующие повреждение памяти в Chrome с трассировкой стека и proof-of-concept, будет составлять до $25 000. Однако за более сложные и детализированные отчеты, включающие демонстрацию удаленного выполнения кода (RCE) и работающий эксплоит, вознаграждение будет значительно выше.

🗣Инженер по безопасности Chrome Эми Ресслер объяснила, что увеличение выплат в рамках программы Chrome VRP (Vulnerability Reward Program) создаст более четкую структуру и поощрит написание качественных отчетов. Если исследователю удастся продемонстрировать RCE без компрометации рендерера, сумма вознаграждения может еще больше увеличиться.

🛡Кроме того, Google также удвоила выплаты за обход защитного механизма MiraclePtr, подняв их до 250 128 долларов США. Компания продолжает активно поддерживать исследователей, предлагая вознаграждения за различные классы уязвимостей в зависимости от их серьезности и потенциального вреда для юзеров.

💵С момента запуска программы вознаграждений в 2010 году Google уже выплатила более $50 млн исследователям безопасности, которые нашли более 15 000 уязвимостей. Эта инициатива остаётся одной из самых успешных в индустрии, стимулируя непрерывное улучшение безопасности Chrome.

@pentestland

👨‍💻Хак-группа Play сливает данные, украденные у Microchip Technology

🖥Типы из вымогательской группировки Play опубликовали на своем сайте в даркнете гигабайты данных, украденных у американского производителя микросхем Microchip Technology. На прошлой неделе компания сообщала о нарушении деятельности некоторых своих производственных предприятий в результате кибератаки.

🌍Microchip Technology обслуживает около 123 000 клиентов по всему миру, включая компании из таких отраслей, как промышленность, автомобилестроение, потребительский сектор, аэрокосмическая и оборонная промышленность, а также коммуникации и вычислительная техника. Из-за инцидента часть производственных площадок компании работала не на полную мощность, что повлияло на выполнение заказов. В ответ на атаку Microchip Technology приняла меры, включающие отключение и изоляцию пострадавших систем.

💻На момент атаки не было известно, кто стоит за этим инцидентом, однако теперь хак-группа Play взяла на себя ответственность за взлом, разместив информацию о нем на своем сайте в даркнете. 29 августа хакеры начали публиковать данные, предположительно похищенные у компании.

@pentestland

💻Хакеры юзают GitHub для распространения малвари Lumma Stealer

☢️Они нашли новый способ распространения вредоносного ПО Lumma Stealer, злоупотребляя платформой GitHub. Маскируют малварь под фальшивые исправления, которые размещают в комментах к проектам, вводя разрабов в заблуждение.

🖥Первым эту кампанию обнаружил один из авторов библиотеки «teloxide rust», который предупредил на Reddit, после получил несколько подозрительных комментов к своим issue на GitHub. Все они были замаскированы под исправления, но на самом деле содержали ссылки на вредоносное ПО.

🖥Спецы Bleeping Computer выявили тысячи аналогичных комментов, оставленных хакерами под разными проектами на GitHub. Опасные ссылки ведут к защищенным паролем архивам на сайтах вроде mediafire.com или через короткие URL-адреса на bit.ly. В архивах содержатся несколько DLL и исполняемый файл под названием «x86_64-w64-ranlib.exe». Пароль от архива был одинаковым во всех случаях — «changeme».

🖥Запуск этого исполняемого файла приводит к установке малвари Lumma Stealer, которая крадет файлы cookie, учетные данные, пароли, данные банковских карт и историю просмотров из популярных браузеров, таких как Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-браузеров. Также Lumma Stealer может похищать данные крипто-кошельков и приватные ключи, хранящиеся в текстовых файлах с именами, вроде «seed.txt», «pass.txt», «ledger.txt», «trezor.txt», «bitcoin.txt» и др.

👨‍💻ИБ-специалист Николас Шерлок сообщил, что всего за три дня было опубликовано более 29 000 комментов с этой малварью. GitHub активно удаляет вредоносные комменты, но многие юзеры уже пострадали от этой атаки.

🖥Если вы случайно запустили эту малварь, рекомендуется сменить пароли на всех своих аккаунтах и перевести крипту на новый кошелек.

@pentestland

📷Instagram прослушивает вас

🦻То, что многие подозревали, теперь стало очевидным — ваши разговоры прослушиваются в Instagram и используются для показа контекстной рекламы. Технический партнёр Instagram случайно раскрыл эту инфу на презентации перед Марком Цукербергом. Оказывается, функция «Active Listening»захватывает любые звуки с микрофона вашего телефона, а затем специальный ИИ анализирует слова по ключам и передаёт их рекламодателям.

📱 Ещё страшнее то, что эта функция работает с любыми телефонами, и бэкдором уже активно пользуются такие гиганты, как Amazon, Facebook и Google. Но Google годами удаляет следы этого партнёрства, а Facebook, после слива информации, срочно начал «проверку».

📞Не зря беспокоились — контекстная реклама, которая буквально читает ваши мысли, — это не случайность! Стоит открыть Instagram и поговорить с кентом, и в ваших реках уже появляются соответствующие объявления.

@pentestland

💻Хакеры юзали баг использовали в «Яндекс Браузере»

👮‍♂️Специалисты «Доктор Веб» обнаружили малварь, которая пыталась закрепиться в системе с помощью бага в «Яндекс Браузере». Атака была нацелена на крупного российского оператора грузовых железнодорожных перевозок. В марте 2024 года компания обратилась за помощью после получения подозрительного фишингового письма.

🔫Схема атаки
Атака началась с фишингового письма, под видом резюме. Вложение выглядело как PDF-файл, но имело расширение (.pdf.lnk), что позволяло хакерам запустить PowerShell и загрузить вредоносные скрипты. Первый пейлоад содержал отвлекающий PDF и исполняемый файл «YandexUpdater.exe», маскирующийся под обновление «Яндекс Браузера». Это был дроппер трояна Trojan.Packed2.46324, который распаковывал малварь Trojan.Siggen28.53599.

☠️Основная особенность этой атаки заключалась в использовании уязвимости CVE-2024-6473 в «Яндекс Браузере», которая позволяла перехватывать порядок поиска DLL (DLL Search Order Hijacking). Троян сохранялся в папке %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем «Wldp.dll». При запуске браузера вредоносная библиотека получала все разрешения приложения, что позволяло выполнять команды и создавать процессы от имени браузера.

☢️После запуска багованая DLL расшифровывала полезную нагрузку, которая загружала новую малварь из сети. Однако на момент расследования искомый файл уже был недоступен.

🔄После обнаружения бага информация была передана в «Яндекс», и компания выпустила обновление браузера (версия 24.7.1.380), исправляющее проблему.

@pentestland

🛒Telegram обновил раздел FAQ

🔴 На сайте Telegram появился обновлённый раздел FAQ, который теперь подробно объясняет, как юзеры могут жаловаться на нелегитимный контент. Эти изменения, по всей видимости, связаны с арестом Павла Дурова во Франции. Против него выдвинуты обвинения в пособничестве террористам, наркоторговцам и распространителям детской порнографии

📣В FAQ теперь чётко прописано, что юзеры могут сообщать о противозаконном контенте с помощью кнопки Report («Пожаловаться»), встроенной в каждое приложение, но в Windows-версии она пока отсутствует. Также можно отправить запрос на удаление на адрес «abuse@telegram.org», указав ссылку на сообщение или канал, нарушающий правила. Жалобы на нарушение авторских прав принимаются на dmca@telegram.org.

🖥Иностранные СМИ отметили исчезновение заявления о том, что Telegram не раскрывает инфу, содержащуюся в чатах. Это вызвало предположения об изменении политики модерации мессенджера. Однако заявление о приватности чатов оказалось перенесено в другой раздел.

🌟В ответ на обвинения Дуров опубликовал комментарий, где выразил удивление тем, что его считают лично ответственным за злоупотребления в Telegram. Он подчеркнул, что сервис активно борется с вредоносным контентом, удаляя миллионы постов и каналов ежедневно. Дуров также отметил сложность баланса между конфиденциальностью и безопасностью в условиях глобальной аудитории почти в 1 миллиард пользователей.

🌟Кроме того, к делу Дурова добавили новый пункт — нарушение французского закона об использовании криптографии. Этот закон обязывает ИТ-компании предоставлять французскому регулятору ANSSI техдокументацию на криптосредства и исходные коды программного обеспечения, использующего криптографию.

@pentestland

👨‍💻Российскому хакеру предъявили обвинения в США

👮‍♂️Министерство юстиции США выдвинуло обвинения против 33-летнего россиянина Дениса Золотарева. Ему инкриминируют отмывание кэша, мошенничество с использованием электронных средств и вымогательство. По версии американских властей, Золотарев являлся членом российской киберпреступной группировки, которая атаковала жертв по всему миру, используя одну из программ-вымогателей.

💻Особое внимание вызывает то, что Золотарев стал первым участником этого хакерского объединения, которого удалось экстрадировать в США. В декабре 2023 года он был арестован в Грузии и после нескольких месяцев под стражей был передан американским властям в августе 2024 года.

☠️Группировка, к которой предположительно принадлежал Золотарев, ведет сайт утечек данных, что усиливает масштаб угрозы, которую она представляет. Хотя официально ее название не раскрывается, её деятельность вызывает серьёзные опасения у международного сообщества кибербезопасности.

@pentestland

💻Чел из Нью-Йорка лечит депрессию необычным способом

💻Он удаленно хакнул автомойку в Черногории, чтобы на несколько минут включить щетки. По его словам, этот ритуал помогает ему «снова почувствовать себя живым». Доступ к системе он получил еще 12 лет назад с помощью поисковика Shodan, который находит устройства, подключенные к интернету.

😭Эта история наглядно показывает как пацаны могут находить необычные способы борьбы с депрессией.

@pentestland

💰РКН выделяет ₽59 миллиардов на борьбу с VPN🌟

🌐РКН готовится к полномасштабной войне с VPN-сервисами: Роскомнадзор хочет полностью убить доступ к обходу блокировок в интернете. Если раньше можно было без каких-либо проблем обходить ограничения, то теперь все станет куда сложнее. Системы будут работать автоматически, блокируя любой VPN-трафик.

🍌Раньше даже самые топовые сервисы могли работать неделями, месяцами, но теперь они будут отключаться практически мгновенно. Новая система способна блокировать доступ к интернету через VPN на уровне трафика, без шансов для юзеров, особенно для тех, кто пытается попасть в соц.сети по типу Instagram или TikTok.

🌟Готовимся к п*здецу к тому, что доступ к привычным сайтам может стать невозможен.

@pentestland

🌟Сегодня Рунет изменился навсегда: десятки зарубежных сервисов прекращают работу в России

🔍Даже Google уходит. Всё это происходит из-за санкций Минфина США, которые в июне ввели запрет на поставку софта и IT-услуг любому лицу на территории России. Ранее многие надеялись, что санкции коснутся только корпораций, но теперь стало ясно, что запрет касается всех юзеров.

⚙️Основные моменты:
— 12 сентября начинают действовать санкции Минфина США. Они запрещают поставку ПО и IT-услуг любому юзеру в России.
— Многие зарубежные сервисы начали массово удалять аккаунты, файлы и проекты. Например, Miro сначала заявила о полном удалении, но затем успокоила юзеров, оставив бесплатные аккаунты.
— Среди сервисов, которые прекратят работу: Notion, Wix, Sentry, Recraft, Hubspot, Coda, ClickUp и многие другие.
— Российские IT-компании предупреждают о возможном отключении таких крупных платформ, как Google, Figma и Zoom.

🧘Пока юзеры воспринимают это относительно спокойно, так как для большинства сервисов есть альтернативы. Однако если санкции затронут Google и другие ключевые продукты, последствия будут более серьёзными.🌟

@pentestland

🚨Внимание, Python-разрабы!

💻Аналитики из ReversingLabs спалили новую хакерскую группу Lazarus из Северной Кореи. Хакеры выдают себя за рекрутеров крупных американских банков, таких как Capital One и Rookery Capital Limited, и предлагают разрабам пройти "тестовое задание".

💬Сценарий атаки:
- Хакеры связываются с жертвами через LinkedIn, представляясь представителями известных компаний.
- Предлагают найти и исправить ошибку в фальшивом менеджере паролей.
- Предоставляют проект на GitHub с подробными инструкциями и срочными дедлайнами, чтобы снизить бдительность.

🫡При запуске файла «PasswordManager.py» активируется обфусцированный код, скрытый в библиотеках «pyperclip» и «pyrebase». Этот код связывается с управляющим сервером и ожидает дальнейших команд, фактически заражая систему малварью.

⛔Почему это опасно?
- Создаётся иллюзия легитимности и срочности, заставляя разрабов пренебречь проверкой безопасности.
- Используются известные платформы и инструменты (GitHub, Python-библиотеки) для повышения доверия.
- Кампания активна и по сей день, продолжает наносить вред специалистам по всему миру.

🛡Как защититься:
- Всегда проверяйте источники.
- Не запускайте незнакомый код без предварительного анализа и проверки на вирусы.
- Обратите внимание на подозрительную срочность и требования быстро выполнить задание.

@pentestland

🇬🇧Британские спецслужбы закрыли фишинговую платформу Russian Coms

💻Национальное агентство по борьбе с преступностью Великобритании (NCA) объявило о закрытии фишинговой платформы Russian Coms, использовавшейся для мошеннических звонков с подменой номера.

⚙️Ключевые факты:

🟢С 2021 года жертвами платформы стали около 170 000 человек по всей Великобритании.
🟢За три года юзеры Russian Coms совершили более 1,3 миллиона мошеннических звонков на 500 000 номеров британцев и еще полмиллиона звонков абонентам из 106 других стран.
🟢Преступники звонили с поддельных номеров, связанных с финансовыми учреждениями, телекоммуникационными компаниями и правоохранительными органами, чтобы завоевать доверие жертв.
🟢Средний убыток каждой известной жертвы составил около 9 400 фунтов стерлингов.

👮В марте в Лондоне были арестованы двое мужчин, подозреваемых в разработке и администрировании платформы. Несмотря на название, они не имеют отношения к России.
🟠Позже был задержан их сообщник-курьер.
🟠Все подозреваемые были выпущены под домашний арест.
🟠NCA и Европол начали работу по анализу базы данных пользователей Russian Coms для дальнейшего расследования.

@pentestland