💻Хакеры юзают GitHub для распространения малвари Lumma Stealer

☢️Они нашли новый способ распространения вредоносного ПО Lumma Stealer, злоупотребляя платформой GitHub. Маскируют малварь под фальшивые исправления, которые размещают в комментах к проектам, вводя разрабов в заблуждение.

🖥Первым эту кампанию обнаружил один из авторов библиотеки «teloxide rust», который предупредил на Reddit, после получил несколько подозрительных комментов к своим issue на GitHub. Все они были замаскированы под исправления, но на самом деле содержали ссылки на вредоносное ПО.

🖥Спецы Bleeping Computer выявили тысячи аналогичных комментов, оставленных хакерами под разными проектами на GitHub. Опасные ссылки ведут к защищенным паролем архивам на сайтах вроде mediafire.com или через короткие URL-адреса на bit.ly. В архивах содержатся несколько DLL и исполняемый файл под названием «x86_64-w64-ranlib.exe». Пароль от архива был одинаковым во всех случаях — «changeme».

🖥Запуск этого исполняемого файла приводит к установке малвари Lumma Stealer, которая крадет файлы cookie, учетные данные, пароли, данные банковских карт и историю просмотров из популярных браузеров, таких как Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-браузеров. Также Lumma Stealer может похищать данные крипто-кошельков и приватные ключи, хранящиеся в текстовых файлах с именами, вроде «seed.txt», «pass.txt», «ledger.txt», «trezor.txt», «bitcoin.txt» и др.

👨‍💻ИБ-специалист Николас Шерлок сообщил, что всего за три дня было опубликовано более 29 000 комментов с этой малварью. GitHub активно удаляет вредоносные комменты, но многие юзеры уже пострадали от этой атаки.

🖥Если вы случайно запустили эту малварь, рекомендуется сменить пароли на всех своих аккаунтах и перевести крипту на новый кошелек.

@pentestland

📷Instagram прослушивает вас

🦻То, что многие подозревали, теперь стало очевидным — ваши разговоры прослушиваются в Instagram и используются для показа контекстной рекламы. Технический партнёр Instagram случайно раскрыл эту инфу на презентации перед Марком Цукербергом. Оказывается, функция «Active Listening»захватывает любые звуки с микрофона вашего телефона, а затем специальный ИИ анализирует слова по ключам и передаёт их рекламодателям.

📱 Ещё страшнее то, что эта функция работает с любыми телефонами, и бэкдором уже активно пользуются такие гиганты, как Amazon, Facebook и Google. Но Google годами удаляет следы этого партнёрства, а Facebook, после слива информации, срочно начал «проверку».

📞Не зря беспокоились — контекстная реклама, которая буквально читает ваши мысли, — это не случайность! Стоит открыть Instagram и поговорить с кентом, и в ваших реках уже появляются соответствующие объявления.

@pentestland

💻Хакеры юзали баг использовали в «Яндекс Браузере»

👮‍♂️Специалисты «Доктор Веб» обнаружили малварь, которая пыталась закрепиться в системе с помощью бага в «Яндекс Браузере». Атака была нацелена на крупного российского оператора грузовых железнодорожных перевозок. В марте 2024 года компания обратилась за помощью после получения подозрительного фишингового письма.

🔫Схема атаки
Атака началась с фишингового письма, под видом резюме. Вложение выглядело как PDF-файл, но имело расширение (.pdf.lnk), что позволяло хакерам запустить PowerShell и загрузить вредоносные скрипты. Первый пейлоад содержал отвлекающий PDF и исполняемый файл «YandexUpdater.exe», маскирующийся под обновление «Яндекс Браузера». Это был дроппер трояна Trojan.Packed2.46324, который распаковывал малварь Trojan.Siggen28.53599.

☠️Основная особенность этой атаки заключалась в использовании уязвимости CVE-2024-6473 в «Яндекс Браузере», которая позволяла перехватывать порядок поиска DLL (DLL Search Order Hijacking). Троян сохранялся в папке %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем «Wldp.dll». При запуске браузера вредоносная библиотека получала все разрешения приложения, что позволяло выполнять команды и создавать процессы от имени браузера.

☢️После запуска багованая DLL расшифровывала полезную нагрузку, которая загружала новую малварь из сети. Однако на момент расследования искомый файл уже был недоступен.

🔄После обнаружения бага информация была передана в «Яндекс», и компания выпустила обновление браузера (версия 24.7.1.380), исправляющее проблему.

@pentestland

🛒Telegram обновил раздел FAQ

🔴 На сайте Telegram появился обновлённый раздел FAQ, который теперь подробно объясняет, как юзеры могут жаловаться на нелегитимный контент. Эти изменения, по всей видимости, связаны с арестом Павла Дурова во Франции. Против него выдвинуты обвинения в пособничестве террористам, наркоторговцам и распространителям детской порнографии

📣В FAQ теперь чётко прописано, что юзеры могут сообщать о противозаконном контенте с помощью кнопки Report («Пожаловаться»), встроенной в каждое приложение, но в Windows-версии она пока отсутствует. Также можно отправить запрос на удаление на адрес «abuse@telegram.org», указав ссылку на сообщение или канал, нарушающий правила. Жалобы на нарушение авторских прав принимаются на dmca@telegram.org.

🖥Иностранные СМИ отметили исчезновение заявления о том, что Telegram не раскрывает инфу, содержащуюся в чатах. Это вызвало предположения об изменении политики модерации мессенджера. Однако заявление о приватности чатов оказалось перенесено в другой раздел.

🌟В ответ на обвинения Дуров опубликовал комментарий, где выразил удивление тем, что его считают лично ответственным за злоупотребления в Telegram. Он подчеркнул, что сервис активно борется с вредоносным контентом, удаляя миллионы постов и каналов ежедневно. Дуров также отметил сложность баланса между конфиденциальностью и безопасностью в условиях глобальной аудитории почти в 1 миллиард пользователей.

🌟Кроме того, к делу Дурова добавили новый пункт — нарушение французского закона об использовании криптографии. Этот закон обязывает ИТ-компании предоставлять французскому регулятору ANSSI техдокументацию на криптосредства и исходные коды программного обеспечения, использующего криптографию.

@pentestland

👨‍💻Российскому хакеру предъявили обвинения в США

👮‍♂️Министерство юстиции США выдвинуло обвинения против 33-летнего россиянина Дениса Золотарева. Ему инкриминируют отмывание кэша, мошенничество с использованием электронных средств и вымогательство. По версии американских властей, Золотарев являлся членом российской киберпреступной группировки, которая атаковала жертв по всему миру, используя одну из программ-вымогателей.

💻Особое внимание вызывает то, что Золотарев стал первым участником этого хакерского объединения, которого удалось экстрадировать в США. В декабре 2023 года он был арестован в Грузии и после нескольких месяцев под стражей был передан американским властям в августе 2024 года.

☠️Группировка, к которой предположительно принадлежал Золотарев, ведет сайт утечек данных, что усиливает масштаб угрозы, которую она представляет. Хотя официально ее название не раскрывается, её деятельность вызывает серьёзные опасения у международного сообщества кибербезопасности.

@pentestland

💻Чел из Нью-Йорка лечит депрессию необычным способом

💻Он удаленно хакнул автомойку в Черногории, чтобы на несколько минут включить щетки. По его словам, этот ритуал помогает ему «снова почувствовать себя живым». Доступ к системе он получил еще 12 лет назад с помощью поисковика Shodan, который находит устройства, подключенные к интернету.

😭Эта история наглядно показывает как пацаны могут находить необычные способы борьбы с депрессией.

@pentestland

💰РКН выделяет ₽59 миллиардов на борьбу с VPN🌟

🌐РКН готовится к полномасштабной войне с VPN-сервисами: Роскомнадзор хочет полностью убить доступ к обходу блокировок в интернете. Если раньше можно было без каких-либо проблем обходить ограничения, то теперь все станет куда сложнее. Системы будут работать автоматически, блокируя любой VPN-трафик.

🍌Раньше даже самые топовые сервисы могли работать неделями, месяцами, но теперь они будут отключаться практически мгновенно. Новая система способна блокировать доступ к интернету через VPN на уровне трафика, без шансов для юзеров, особенно для тех, кто пытается попасть в соц.сети по типу Instagram или TikTok.

🌟Готовимся к п*здецу к тому, что доступ к привычным сайтам может стать невозможен.

@pentestland

🌟Сегодня Рунет изменился навсегда: десятки зарубежных сервисов прекращают работу в России

🔍Даже Google уходит. Всё это происходит из-за санкций Минфина США, которые в июне ввели запрет на поставку софта и IT-услуг любому лицу на территории России. Ранее многие надеялись, что санкции коснутся только корпораций, но теперь стало ясно, что запрет касается всех юзеров.

⚙️Основные моменты:
— 12 сентября начинают действовать санкции Минфина США. Они запрещают поставку ПО и IT-услуг любому юзеру в России.
— Многие зарубежные сервисы начали массово удалять аккаунты, файлы и проекты. Например, Miro сначала заявила о полном удалении, но затем успокоила юзеров, оставив бесплатные аккаунты.
— Среди сервисов, которые прекратят работу: Notion, Wix, Sentry, Recraft, Hubspot, Coda, ClickUp и многие другие.
— Российские IT-компании предупреждают о возможном отключении таких крупных платформ, как Google, Figma и Zoom.

🧘Пока юзеры воспринимают это относительно спокойно, так как для большинства сервисов есть альтернативы. Однако если санкции затронут Google и другие ключевые продукты, последствия будут более серьёзными.🌟

@pentestland

🚨Внимание, Python-разрабы!

💻Аналитики из ReversingLabs спалили новую хакерскую группу Lazarus из Северной Кореи. Хакеры выдают себя за рекрутеров крупных американских банков, таких как Capital One и Rookery Capital Limited, и предлагают разрабам пройти "тестовое задание".

💬Сценарий атаки:
- Хакеры связываются с жертвами через LinkedIn, представляясь представителями известных компаний.
- Предлагают найти и исправить ошибку в фальшивом менеджере паролей.
- Предоставляют проект на GitHub с подробными инструкциями и срочными дедлайнами, чтобы снизить бдительность.

🫡При запуске файла «PasswordManager.py» активируется обфусцированный код, скрытый в библиотеках «pyperclip» и «pyrebase». Этот код связывается с управляющим сервером и ожидает дальнейших команд, фактически заражая систему малварью.

⛔Почему это опасно?
- Создаётся иллюзия легитимности и срочности, заставляя разрабов пренебречь проверкой безопасности.
- Используются известные платформы и инструменты (GitHub, Python-библиотеки) для повышения доверия.
- Кампания активна и по сей день, продолжает наносить вред специалистам по всему миру.

🛡Как защититься:
- Всегда проверяйте источники.
- Не запускайте незнакомый код без предварительного анализа и проверки на вирусы.
- Обратите внимание на подозрительную срочность и требования быстро выполнить задание.

@pentestland

🇬🇧Британские спецслужбы закрыли фишинговую платформу Russian Coms

💻Национальное агентство по борьбе с преступностью Великобритании (NCA) объявило о закрытии фишинговой платформы Russian Coms, использовавшейся для мошеннических звонков с подменой номера.

⚙️Ключевые факты:

🟢С 2021 года жертвами платформы стали около 170 000 человек по всей Великобритании.
🟢За три года юзеры Russian Coms совершили более 1,3 миллиона мошеннических звонков на 500 000 номеров британцев и еще полмиллиона звонков абонентам из 106 других стран.
🟢Преступники звонили с поддельных номеров, связанных с финансовыми учреждениями, телекоммуникационными компаниями и правоохранительными органами, чтобы завоевать доверие жертв.
🟢Средний убыток каждой известной жертвы составил около 9 400 фунтов стерлингов.

👮В марте в Лондоне были арестованы двое мужчин, подозреваемых в разработке и администрировании платформы. Несмотря на название, они не имеют отношения к России.
🟠Позже был задержан их сообщник-курьер.
🟠Все подозреваемые были выпущены под домашний арест.
🟠NCA и Европол начали работу по анализу базы данных пользователей Russian Coms для дальнейшего расследования.

@pentestland

🍏GAZEploit угрожает юзерам Apple Vision Pro!

🥽Исследователи из Университета Флориды и Техасского технологического университета обнаружили атаку под названием GAZEploit, которая может отслеживать взгляд юзеров Apple Vision Pro и восстанавливать текст, который они набирают на виртуальной клавиатуре.

⚙️Как работает:

🟢Атака юзает инфу о движении глаз из аватара пользователя.
🟢Перехват текста: Анализируя направление взгляда аватара, хацкеры могут определить, какие клавиши нажимает юзер.
🟢Для атаки достаточно видео с виртуальным аватаром — физический доступ к устройству не требуется.

🛠 Технические детали:

🟠Используется модель, обученная на данных от 30 человек, включая параметры Persona и EAR (Eye Aspect Ratio).
🟠Направление взгляда сопоставляется с расположением клавиш на виртуальной клавиатуре.
🟠Атака позволяет отличить набор текста от других действий в VR, таких как просмотр фильмов или игр.

🔒 Реакция Apple:

🟡Уязвимость получила идентификатор CVE-2024-40865.
🟡В visionOS версии 1.3, выпущенной в июле 2024 года, проблема была исправлена.
🟡Теперь функция Persona приостанавливается при активной виртуальной клавиатуре, предотвращая возможность атаки.

⚠️Что делать:

🟢Обновите своё устройство до последней версии visionOS.
🟢Будьте внимательны при использовании аватаров в VR-пространстве.

@pentestland

🧠Google и Microsoft готовятся к эре квантовых пекарен!

🔍Google объявила о переходе с алгоритма KYBER на ML-KEM в Chrome. Этот шаг направлен на защиту данных от будущих квантовых компов, способных расшифровать современное шифрование.

❓Что это значит:

🟢Обновление Chrome: Изменения вступят в силу в версии Chrome 131, которая запланирована на начало ноября 2024г.
🟢KYBER и ML-KEM оказались несовместимыми, поэтому Google решила перейти на ML-KEM для постквантового обмена ключами.
🟢Тех.детали: Кодовая точка в TLS меняется с 0x6399 для Kyber768+X25519 на 0x11EC для ML-KEM768+X25519.

🛡 Новые алгоритмы от NIST:

🟠Национальный институт стандартов и технологий США (NIST) опубликовал три новых алгоритма шифрования: FIPS 203 (ML-KEM), FIPS 204 (CRYSTALS-Dilithium или ML-DSA) и FIPS 205 (Sphincs+ или SLH-DSA).
🟠Цель этих алгоритмов это защитить текущие системы от будущих квантовых атак.

💻 🖥Microsoft присоединяется к этой движухе:

🔄Microsoft обновляет свою криптографическую библиотеку SymCrypt, добавляя поддержку ML-KEM и eXtended Merkle Signature Scheme (XMSS).

⚠️ Баги в устройствах YubiKey:

🟡Обнаружена криптографическая уязвимость в микроконтроллерах Infineon, в устройствах YubiKey.
🟡Устройства под угрозой:
🟡YubiKey 5 Series до 5.7 версии.
🟡YubiKey Bio Series до 5.7.2 версии.

🤔Что известно:
🔴Атака требует физического доступа и специализированного оборудования.
🔴Yubico планирует заменить криптографическую библиотеку Infineon на собственную в будущих версиях прошивки.
🔴Уязвимость получила идентификатор CVE-2024-45678.

🛡Безопасность превыше всего: Компании активно работают над защитой данных в будущем, когда квантовые компьютеры станут реальностью.

Квантовая эра приближается!😫

@pentestland

🧠Искусственный интеллект: насколько близки мы к AGI?

🧠Все чаще обсуждается появление искусственного общего интеллекта (AGI) — системы, способной решать задачи на уровне человека.

❓Почему это важно?

🔵AGI может кардинально изменить медицину, образование, экономику,космические исследования и многое другое.
🔵Тут же возникают вопросы о безопасности и контроле над всем этим.
🔵Общество столкнется с изменениями на рынке труда и в повседневной жизни.

🧐Что говорят эксперты?

🔴Одни считают, что AGI появится в ближайшие годы.
🔴Другие уверены, что мы еще далеки от этого из-за технических

🟠Чтобы быть готовым к появлению AGI нужно осознавать риски и возможностиAGI.
🟠Необходимо уметь регулировать и управлять им, а также повышать уровень знаний в ИИ.

🌐 Будущее уже здесь. Готовы ли мы?

@pentestland

🚨 Новая атака на CentOS VPS

🎯Хакеры — криптоджекинги TeamTNT снова активизировались, их цель VPS на базе CentOS.

⚙️Как происходит атака:

💻Хакеры перебирают пароли для доступа к системам. Потом отключают функции безопасности: SELinux, AppArmor, брандмауэр. Удаляются логи и следы активности. Тем самым устраняют конкурентов, завершают процессы других майнеров. Создаются задания «cron» и бэкдор. Модифицируется файл авторизации SSH. Устанавливается руткит для маскировки.

☁️«TeamTNT», известны атаками на облачные сервисы для нелегального майнинга.

@pentestland