🧑⚖️По данным TechCrunch, среди украденных данных оказались обращения в поддержку, составленные высокопоставленными американскими военнослужащими, федеральным судьей, шерифом и несколькими правительственными ведомствами. Также среди утекших данных есть email-адреса лиц, за которыми следили через mSpy, журналистов и американских правоохранителей. Предполагается, что инфа была угнана из системы поддержки клиентов Zendesk, принадлежащей разработчику mSpy, украинской компании Brainstack. Дамп охватывает последние 10 лет.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7👍2❤1😍1
1. Почтовая рассылка: Письма поступают на адреса руководителей российских компаний. В этих письмах содержится предупреждение о проведении «уроков информационной безопасности» для сотрудников.
2. Фальшивый документ: Во вложениях к письмам находится документ на бланке несуществующего ведомства, который информирует компанию о планах провести консультационные беседы по вопросам информационной безопасности и защиты персональных данных.
3. Руководителей просят предупредить своих подчиненных о предстоящем звонке.
«Ранее мы сообщали о схеме, когда в Telegram-аккаунт сотрудникам пишет якобы генеральный директор и предупреждает о предстоящем звонке от ФСБ, но в данном случае “слабым звеном” становится уже сам руководитель компании. Если он поверит изложенной в письме информации и лично предупредит сотрудников о будущей беседе, то шансы злоумышленников на успех значительно повысятся. Можно с уверенностью сказать, что мы наблюдаем новый виток в развитии социальной инженерии, которая с каждым разом становятся все изощреннее и вызывает все меньше подозрений у жертв», — пояснил Игорь Сергиенко, директор центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😍10👍6🤡5😈3😱2🤩2
Кошелек имел шесть подписей, пять из которых принадлежали команде WazirX. С 2023 года он использовал услуги инфраструктуры хранения цифровых активов и кошельков компании Liminal.
«Кибератака произошла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и реальным содержимым транзакции, — гласит официальное заявление WazirX, — В ходе кибератаки было несоответствие между информацией, отображаемой на интерфейсе Liminal, и тем, что было подписано на самом деле. Мы полагаем, что пейлоад была подменен, чтобы передать контроль над кошельком злоумышленнику».
«Уместно отметить, что все кошельки WazirX, созданные на платформе Liminal, по-прежнему остаются в безопасности и защищены. Между тем, все вредоносные транзакции на адреса злоумышленников происходили за пределами платформы Liminal», — заявляют представители Liminal.
📋По информации блокчейн-аналитика Lookchain, у WazirX были похищены:
- 5,43 млрд токенов SHIB
- Более 15 200 токенов Ethereum
- 20,5 млн токенов Matic
- 640 млрд токенов Pepe
- 5,79 млн USDT
- 135 млн токенов Gala
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15👍4
-
1. Удалите FleepBot и других подозрительных ботов из вашего канала.
2. Ждите окончания атаки и будьте внимательны к безопасности своего канала.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18😁7👨💻1
В конце прошлой недели обновление CrowdStrike Falcon Sensor привело к массовым сбоям в работе Windows-систем, затронув аэропорты, банки, медицинские учреждения и многие другие организации в США, Великобритании, странах ЕС, Индии, Новой Зеландии и Австралии.
- Проблема заключалась в логическом дефекте в коде файла C-00000291*.sys, а не в нулевых байтах, как предполагалось ранее.
- Представители CrowdStrike принесли публичные извинения и объяснили причину сбоя.
Требования: 64-битный клиент Windows, не менее 8 ГБ свободного места, права администратора, USB-накопитель объемом не менее 1 ГБ, и recovery-ключ Bitlocker (если требуется).
1. Загрузите пострадавшие Windows-устройства с помощью USB-носителя.
2. Автоматически запустится batch-файл CSRemediationScript.bat, удаляющий неработающее обновление CrowdStrike.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍1😁1
- Технология Safe Browsing: Google Chrome использует технологию Safe Browsing для защиты от угроз в интернете. Файлы сканируются в режиме реального времени.
- Загрузка сразу прерывается, когда браузер обнаруживает опасность.
- Если файл кажется подозрительным, юзеру будет предложено указать причину его загрузки.
- Новая функция позволяет усилить защиту юзеров от вредоносных файлов.
- Запрос причины загрузки помогает юзерам более осознанно подходить к скачиванию файлов.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡114😁10🤔5👍2🤓1🫡1
«Intel известно о сообщениях, что разблокированные процессоры Intel Core 13-го и 14-го поколений сталкиваются с проблемами при выполнении определенных рабочих нагрузок. В сотрудничестве с нашими партнерами мы проводим анализ этих сообщений», — сообщали тогда в Intel.
«Хотя первопричина пока не установлена, Intel заметила, что большинство сообщений о данной проблеме поступает от пользователей с материнскими платами, поддерживающими разблокировку/разгон, — сообщали разработчики. — По наблюдениям Intel, в BIOS плат с чипсетами серий 600/700 часто представлены настройки по умолчанию, отключающие защиту от перегрева и защиту питания, созданные для предохранения процессоров от длительного воздействия высокого напряжения и частот».
- Отключение Current Excursion Protection (CEP)
- Включение IccMax Unlimited bit
- Отключение Thermal Velocity Boost (TVB) или Enhanced Thermal Velocity Boost (eTVB)
- Отключение C-states
- Использование режима Windows Ultimate Performance
- Повышение PL1 и PL2 сверх рекомендованных пределов
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡17😁4❤2👍1
🐹ESET: юзеров Hamster Kombat атакуют вредоносы для Android и Windows
👨💻 Эксперты компании ESET сообщили о новой волне атак на юзеров Hamster Kombat. Хакеры распространяют фальшивые приложения для Android и Windows, которые устанавливают шпионское ПО и инфостилеры.
☠️ Установка липовых приложений приводит к заражению устройства шпионским ПО и инфостилерами, которые крадут конфиденциальную информацию.
⚙️ Что делает вредоносное ПО?
- Слежка за юзером, сбор личной инфы и отправка данных хакерам.
- Кража учетных данных, паролей и другой важной информации.
🛡 Как защититься?
1. Загружайте приложения только из официальных источников: Используйте Google Play Store для Android и официальные сайты для Windows.
2. Проверяйте отзывы и рейтинги: Убедитесь, что приложение имеет хорошие отзывы и высокий рейтинг.
3. Юзайте антивирусы
@pentestland
- Слежка за юзером, сбор личной инфы и отправка данных хакерам.
- Кража учетных данных, паролей и другой важной информации.
1. Загружайте приложения только из официальных источников: Используйте Google Play Store для Android и официальные сайты для Windows.
2. Проверяйте отзывы и рейтинги: Убедитесь, что приложение имеет хорошие отзывы и высокий рейтинг.
3. Юзайте антивирусы
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁24🤡6👍5
💡 Горелкин предложил создать механизм легализации контента для иностранных блогеров на российских площадках:
«Было бы правильно заложить для иностранных блогеров какой-то механизм дальнейшей легализации контента на российской площадке. Чтобы условный Мистер Бист мог при желании получить контроль над своими роликами и продолжать вести свой канал уже официально.»
🚨 Также депутат предупредил о возможных пиратских перезаливах:
После блокировки YouTube иностранные блогеры могут стать жертвами пиратства. Горелкин порекомендовал им самим начать публиковать контент на российских сайтах уже сейчас.
📅 Блокировка YouTube в России запланирована на октябрь:
Замедление работы платформы уже началось.
🚀 Команды зарубежных блогеров бросают всё и выдвигаются на RuTube!
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡155😁18👍12🌚3🍾3❤1
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25❤2
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7😁2
📉 Детали:
- WhatsApp предлагает два варианта для потенциально опасных файлов (например, .exe): «Открыть» или «Сохранить как».
- При попытке открыть некоторые файлы мессенджер отображает ошибку, позволяя только сохранить файл на диск и запустить его оттуда.
- WhatsApp для Windows блокирует выполнение файлов .EXE, .COM, .SCR, .BAT, Perl, .DLL, .HTA и VBS. Но не блокирует файлы .PYZ (Python ZIP), .PYZW (PyInstaller), .EVTX (файл журнала событий Windows) и .PHP.
- Для успешной атаки необходимо, чтобы в системе жертвы был установлен Python, что ограничивает круг потенциальных жертв разработчиками ПО, исследователями и продвинутыми юзерами. Если все условия соблюдены, получателю достаточно нажать кнопку «Открыть», и скрипт автоматически выполнится.
📆 Дас уведомил Meta о проблеме через программу bug bounty 3 июня 2024 года. Компания ответила 15 июля, что об этом уже сообщали другие специалисты, и баг должен быть исправлен. Однако проблема по-прежнему существует в последней версии WhatsApp для Windows и была воспроизведена на машине с Windows 11 (2.2428.10.0).
🛡️ Разрабы WhatsApp заявили, что не планируют добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы. В компании объяснили, что предупреждают юзеров не открывать файлы от незнакомых людей.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20😈2⚡1❤1🙈1
- Лидеры в криптовалютных кражах: Северная Корея, чьи хакеры в 2023 году угнали более миллиарда долларов.
- Азиатские хакеры: ведут в сфере мошенничества и инвестиционных махинаций.
- Русскоязычные хакеры: доминируют в других видах вредоносной активности, связанных с криптовалютами.
- LockBit
- Black Basta
- ALPHV/BlackCat
- Cl0p
- PLAY
- Akira
- Только LockBit и ALPHV получили выкупы на сумму не меньше $320 млн.
- Общие доходы русскоязычных хакеров от вымогательских атак превысили $500 млн, что составляет более двух третей от общего объема выкупов.
- На русскоязычных площадках продаются различные запрещенные товары и услуги, составляя около 95% всех подобных сделок в мире.
- За 2023 год три крупнейших русскоязычных маркетплейса в даркнете обработали транзакции на сумму $1,4 млрд, тогда как западные площадки — только $100 млн.
- Русскоязычные хакеры также лидируют в этой сфере. Только на компанию Garantex пришлось 82% криптовалюты, обрабатываемой организациями, находящимися под санкциями.
- Американские власти ввели санкции против Garantex в 2022 году за содействие в отмывании незаконных доходов "Гидры".
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡21🏆8🍾4🤡3❤2👍2🔥1
📅 Отслеживание активности:
- Кампания действует с февраля 2022 года.
- Обнаружено не менее 107 000 различных образцов вредоносного ПО.
- Большинство жертв находятся в Индии и России, но также пострадали юзеры в Бразилии, Мексике и США.
- В общей сложности затронуто 113 стран.
💰 Цель операторов малвари:
- Финансовая выгода.
- Использование зараженных устройств как ретрансляторов для аутентификации и анонимизации.
📲 Методы распространения:
1. Вредоносная реклама: Жертвы переходят по рекламным ссылкам на страницы, имитирующие магазин Google Play, с завышенным количеством загрузок, что создает видимость легитимности и безопасности.
2. Боты в Telegram: Жертвам обещают дать пиратское приложение для Android, но сначала просят сообщить номер телефона. Затем бот юзает номер для создания нового APK, что позволяет отслеживать юзера и совершать другие атаки.
🔐 Доступ к SMS:
- Малварь запрашивает разрешения на доступ к SMS, что позволяет ей перехватывать одноразовые пароли для регистрации аккаунтов и двухфакторной аутентификации.
- В кампании задействованы около 2600 Telegram-ботов, контролируемых 13 управляющими серверами.
- Перехваченные SMS-сообщения передаются на эндпоинт API на сайте fastsms[.]su.
🌐Сайт fastsms[.]su предлагает доступ к виртуальным телефонным номерам для анонимизации и аутентификации на различных онлайн-платформах. Зараженные устройства используются без ведома их владельцев.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔11👍5😱2🌭1👀1
🚨 BingoMod: новая угроза для Android-устройств
🧑🔬Исследователи из компании Cleafy обнаружили новую малварь для Android под названием BingoMod, способную угонять деньги с банковских счетов жертв и уничтожать данные на зараженных устройствах. Вредонос распространяется через SMS-сообщения и маскируется под защитные приложения для мобильных устройств.
🔍 Основные характеристики BingoMod:
- Распространяется через SMS, используя различные названия: APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo и APKAppScudo.
- При установке запрашивает разрешение на использование Accessibility Services, что позволяет злоупотреблять расширенными возможностями для управления устройством.
- Угоняет учетные данные, делает скриншоты и перехватывает SMS-сообщения.
- Создает socket-канал для получения команд и HTTP-канал для отправки скриншотов, что позволяет операторам вредоноса осуществлять удаленные операции практически в режиме реального времени.
⚠️ Ключевые особенности:
- BingoMod использует возможности Accessibility Services, чтобы выдать себя за юзера и разрешить запрос на передачу содержимого экрана через Media Projection API.
- Вредонос создает механизм VNC (Virtual Network Computing), злоупотребляющий API Media Projection в Android для получения содержимого экрана в режиме реального времени и передачи его через HTTP в инфраструктуру хакеров.
🛡️ Фичи и возможности:
- Удаленное управление устройством: нажатие на определенную область экрана, ввод текста, запуск приложений.
- Проведение атак вручную с использованием оверлеев и фальшивых уведомлений.
- Использование зараженного устройства для дальнейшего распространения малвари через SMS.
- Удаление защитных решений с зараженных устройств и блокировка работы конкретных приложений по указанию оператора.
- Возможность стирания системы, если BingoMod регистрируется как приложение с правами админа.
🛠️ Методы уклонения:
- Создатели малвари используют flattening кода и обфускацию строк для уклонения от обнаружения антивирусными продуктами.
- Статистика VirusTotal показывает, что эти методы успешны, и малварь плохо обнаруживается антивирусами.
📉 Уничтожение данных:
- После успешной передачи данных BingoMod может стереть внешнее хранилище.
- Хакеры могут юзать удаленный доступ для полного уничтожения данных и сброса устройства к заводским настройкам.
@pentestland
🧑🔬Исследователи из компании Cleafy обнаружили новую малварь для Android под названием BingoMod, способную угонять деньги с банковских счетов жертв и уничтожать данные на зараженных устройствах. Вредонос распространяется через SMS-сообщения и маскируется под защитные приложения для мобильных устройств.
🔍 Основные характеристики BingoMod:
- Распространяется через SMS, используя различные названия: APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo и APKAppScudo.
- При установке запрашивает разрешение на использование Accessibility Services, что позволяет злоупотреблять расширенными возможностями для управления устройством.
- Угоняет учетные данные, делает скриншоты и перехватывает SMS-сообщения.
- Создает socket-канал для получения команд и HTTP-канал для отправки скриншотов, что позволяет операторам вредоноса осуществлять удаленные операции практически в режиме реального времени.
⚠️ Ключевые особенности:
- BingoMod использует возможности Accessibility Services, чтобы выдать себя за юзера и разрешить запрос на передачу содержимого экрана через Media Projection API.
- Вредонос создает механизм VNC (Virtual Network Computing), злоупотребляющий API Media Projection в Android для получения содержимого экрана в режиме реального времени и передачи его через HTTP в инфраструктуру хакеров.
🛡️ Фичи и возможности:
- Удаленное управление устройством: нажатие на определенную область экрана, ввод текста, запуск приложений.
- Проведение атак вручную с использованием оверлеев и фальшивых уведомлений.
- Использование зараженного устройства для дальнейшего распространения малвари через SMS.
- Удаление защитных решений с зараженных устройств и блокировка работы конкретных приложений по указанию оператора.
- Возможность стирания системы, если BingoMod регистрируется как приложение с правами админа.
🛠️ Методы уклонения:
- Создатели малвари используют flattening кода и обфускацию строк для уклонения от обнаружения антивирусными продуктами.
- Статистика VirusTotal показывает, что эти методы успешны, и малварь плохо обнаруживается антивирусами.
📉 Уничтожение данных:
- После успешной передачи данных BingoMod может стереть внешнее хранилище.
- Хакеры могут юзать удаленный доступ для полного уничтожения данных и сброса устройства к заводским настройкам.
@pentestland
😱9👍6🙈2❤1
🚨 Опасная кампания: хакеры загружают вредоносные пакеты в PyPI и продвигают их на Stack Exchange
💻 Исследователи из компании Checkmarx обнаружили новую кампанию, в рамках которой хакеры загружают вредоносные пакеты в репозиторий PyPI и продвигают их на платформе вопросов и ответов Stack Exchange. Хакеры нацеливаются на юзеров, участвующих в проектах Raydium и Solana.
📦 Обнаруженные угрозы:
- spl-types
- raydium
- sol-structs
- sol-instruct
- raydium-sdk
☠️ Эти пакеты загружают скрипты, которые угоняют конфиденциальную инфу из браузеров, мессенджеров (Telegram, Signal, Session) и криптокошельков (Exodus, Electrum, Monero). Малварь также способна воровать файлы с определенными ключевыми словами, делать скриншоты и передавать данные в специальный Telegram-канал.
🔍 Схема атаки:
- Пакеты были загружены в PyPI 25 июня 2024 года, но вредоносный компонент появился лишь 3 июля после обновления.
- Пакеты удалены из PyPI, но их успели загрузить 2082 раза.
- Хакеры создавали аккаунты на Stack Exchange и оставляли комментарии со ссылками на свою малварь, привлекая внимание к темам, связанным с названиями пакетов.
🎯 Цели атак:
- Участники Raydium и проектов на блокчейне Solana.
- Юзеры, чьи криптокошельки и личные данные могут быть угнаны.
📉 Последствия:
- Чел из ИТ сферы потерял крипту на кошельке Solana.
- Скрины приватных ключей позволяли обходить многофакторную аутентификацию и взламывать учетки без пароля.
- Антивирусные программы, такие как Windows Virus and Threat Protection, не смогли обнаружить угрозу.
@pentestland
📦 Обнаруженные угрозы:
- spl-types
- raydium
- sol-structs
- sol-instruct
- raydium-sdk
🔍 Схема атаки:
- Пакеты были загружены в PyPI 25 июня 2024 года, но вредоносный компонент появился лишь 3 июля после обновления.
- Пакеты удалены из PyPI, но их успели загрузить 2082 раза.
- Хакеры создавали аккаунты на Stack Exchange и оставляли комментарии со ссылками на свою малварь, привлекая внимание к темам, связанным с названиями пакетов.
🎯 Цели атак:
- Участники Raydium и проектов на блокчейне Solana.
- Юзеры, чьи криптокошельки и личные данные могут быть угнаны.
📉 Последствия:
- Чел из ИТ сферы потерял крипту на кошельке Solana.
- Скрины приватных ключей позволяли обходить многофакторную аутентификацию и взламывать учетки без пароля.
- Антивирусные программы, такие как Windows Virus and Threat Protection, не смогли обнаружить угрозу.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
- Эксплуатация проблем конфигурации: Атака использует проблемы конфигурации на уровне регистраторов и недостаточную проверку прав собственности у DNS-провайдеров.
- История проблемы: Впервые подобные проблемы были задокументированы еще в 2016 году специалистом компании Snap Мэтью Брайантом (Matthew Bryant), но до сих пор остаются актуальными.
📉 Цели и методы хакеров:
- Русскоязычные хак-группы активно юзают эту тактику для спам-кампаний, мошенничества, доставки вредоносного ПО, фишинга и хищения данных.
- Условия атаки:
- Домен или поддомен использует авторитетные службы DNS, отличные от регистратора домена.
- Делегирование name-сервера не работает, и авторитетный name-сервер не имеет информации о домене.
- DNS-провайдер позволяет заявить права на домен без должной проверки.
- Они создают учетные записи у DNS-провайдеров и заявляют права на домены, срок регистрации которых истек, или делегирование которых настроено неправильно.
- После захвата доменов они создают вредоносные сайты, настраивают параметры DNS на резолвинг по поддельному адресу, что позволяет проводить различные мошеннические операции.
- Spammy Bear: Захватывала домены GoDaddy в конце 2018 года для использования в спам-кампаниях.
- Vacant Viper: С декабря 2019 года ежегодно захватывает порядка 2500 доменов, используемых в системе 404TDS для распространения малвари IcedID.
- VexTrio Viper: С начала 2020 года использует домены в масштабной TDS для операций SocGholish и ClearFake.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Один юзер решил вывести криптовалюту через биржу Bybit с помощью P2P-обмена. На следующий день ему позвонили из банка, сообщив о якобы ошибочном переводе — мошенник пожаловался на пострадавшего.
⚠️ Как защититься:
Единственный надежный способ — менять крипту только оффлайн. Пока другого решения нет, так как любой недоброжелатель может подать жалобу.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡17🙈2👍1😁1😍1🏆1🫡1
💳Компания SafenSoft выпустила новую версию средства шифрования дисков SoftControl DeCrypt, предназначенного для защиты устройств самообслуживания на базе Linux. Это обновление направлено на предотвращение атак на банкоматы и другие устройства, обеспечивая надежную защиту информации от хакеров.
поддержка Linux в линейке продуктов компании является ответом на изменение российского рынка устройств самообслуживания. Банки, стремясь к импортозамещению, выбирают продукты, минимизирующие их риски. SafenSoft работает более 20 лет с Windows и при переносе функциональности на Linux ставит перед собой задачи обеспечения одинакового уровня защиты для обеих платформ и создания бесшовного управления парком банкоматов. Учитывая, что поддержка Windows 10 заканчивается в 2025 году, процесс перехода может ускориться.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🤡8🙈1
- Целью трояна являются российские юзеры Android-устройств.
- LianSpy записывает экран при открытии мессенджеров, похищает документы, сохраняет данные журналов вызовов и собирает списки приложений.
- Примечательно, что хакеров не интересует финансовая информация жертв.
- Вредонос использует «Яндекс Диск» как управляющий сервер, скрывая свою активность.
- Для получения root-доступа используется модифицированный бинарный файл su, который скрывает факт активации привилегий.
- Программа может скрывать уведомления Android о включении камеры или микрофона и удалять уведомления от фоновых сервисов.
- LianSpy обновляет свою конфигурацию каждые 30 секунд, проверяя файлы на «Яндекс Диске».
- Коммуникация с управляющим сервером односторонняя: малварь не получает дополнительных команд, только обновления конфигурации.
💡Особенности и методы:
- LianSpy использует комбинацию симметричного и асимметричного шифрования.
- Хакеры применяют публичные сервисы, что затрудняет атрибуцию кампании.
- Троян нестандартно использует root-права для сокрытия привилегий, что указывает на его использование после эксплуатации уязвимостей.
👨🔬Исследователи подчеркивают, что эта угроза не имеет аналогов среди других текущих кампаний, нацеленных на российских юзеров.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14👍8🫡3