#itnews #infosec #malware

Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏

Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков

Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope

Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activator

исследователь безопасности Сергей Пузан

Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥

#itnews #infosec #malware

Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки😈

Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC

SystemBC можно приобрести на подпольных рынках, и он поставляется в архиве, содержащем имплант, сервер управления и контроля (C2) и портал веб-администрирования, написанный на PHP

говорится в анализе Kroll

Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить

Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта

Исследование Kroll

#itnews #infosec #malware

Вредоносная программа AllaKore RAT нацелена на мексиканские фирмы и использует уловки финансового мошенничества💸

Мексиканские финансовые учреждения попали в поле зрения новой фишинговой кампании, в рамках которой распространяется модифицированная версия трояна удаленного доступа с открытым исходным кодом под названием AllaKore RAT

Команда BlackBerry Research and Intelligence Team приписывает эту активность неизвестному финансово мотивированному субъекту угроз, базирующемуся в Латинской Америке. Кампания активна как минимум с 2021 года

Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на легитимные, доброкачественные документы в процессе установки

Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угроз отправлять украденные банковские реквизиты и уникальную информацию об аутентификации на командно-контрольный (C2) сервер для целей финансового мошенничества

#itnews #infosec #malware

Шпионская программа Pegasus нацелилась на айфоны журналистов и активистов в Иордании🍏

Айфоны, принадлежащие почти трем десяткам журналистов, активистов, адвокатов по правам человека и представителей гражданского общества в Иордании, подверглись атаке шпионского ПО Pegasus от NSO Group, согласно совместным выводам Access Now и Citizen Lab

Девять из 35 человек были публично подтверждены в качестве жертв, из них у шести устройства были заражены наемным инструментом для слежки. По оценкам, заражения произошли как минимум с 2019 года по сентябрь 2023 года

В некоторых случаях злоумышленники выдавали себя за журналистов, добиваясь от жертв интервью или цитат, вставляя вредоносные ссылки на шпионское ПО Pegasus среди сообщений и между ними

говорится в сообщении Access Now

NSO Group в своем отчете о прозрачности и ответственности за 2023 год отметила "значительное снижение" числа сообщений о ненадлежащем использовании продукции в 2022 и 2023 годах, объяснив это снижением эффективности процесса должной осмотрительности и проверки

#itnews #infosec #malware

Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS🔑

Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.

Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm

Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O

На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года

Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке

#itnews #infosec #malware

Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit🤖

В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности

Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать незаметное постоянство, которое крайне сложно обнаружить и удалить

заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе

Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа

Навигация по каналу AP Security🔍

https://t.me/ap_security_chat - чат канала

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Red Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - Bug Bounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#application - материалы из области безопасной разработки

#realcase - реальные кейсы из практики специалистов

#itnews #infosec #malware

Андроид-троян Anatsa обходит защиту Google Play и охватывает новые страны📱

Банковский троян для Android, известный как Anatsa, расширил свою сферу деятельности, включив Словакию, Словению и Чехию, в рамках новой кампании, замеченной в ноябре 2023 года

Некоторые из дропперов в этой кампании успешно использовали сервис доступности, несмотря на усиленные механизмы обнаружения и защиты Google Play

говорится в отчете ThreatFabric

Anatsa, также известная под именами TeaBot и Toddler, распространяется под видом безобидных на первый взгляд приложений в Google Play Store. Эти приложения, называемые дропперами, облегчают установку вредоносной программы, обходя меры безопасности, введенные Google, которые направлены на предоставление конфиденциальных разрешений

#infosec #itnews #malware

Meta предупреждает о 8 шпионских фирмах, нацеленных на устройства с iOS, Android и Windows👁

Компания Meta Platforms сообщила о принятии ряда мер по пресечению вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ) и работающих в сфере видеонаблюдения по найму

Результаты исследования являются частью отчета о неблагоприятных угрозах за четвертый квартал 2023 года. Шпионские программы были нацелены на устройства под управлением iOS, Android и Windows

Различные вредоносные программы позволяли собирать и получать доступ к информации об устройстве, местоположении, фотографиям и медиафайлам, контактам, календарю, электронной почте, SMS, социальным сетям и приложениям для обмена сообщениями, а также включать микрофон, камеру и делать снимки экрана

говорится в сообщении компании

В число восьми компаний вошли Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries

#malware #itnews #infosec

Спящий пакет PyPI скомпрометирован для распространения вредоносного ПО Nova Sentinel🖥

Спящий пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносной программы для кражи информации под названием Nova Sentinel

Пакет под названием django-log-tracker был впервые опубликован на PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочек поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления говорит о вероятной компрометации аккаунта PyPI, принадлежащего разработчику

На данный момент Django-log-tracker был загружен 3866 раз, причем на момент публикации вредоносная версия (1.0.4) была загружена 107 раз. Пакет больше не доступен для загрузки с PyPI

#itnews #infosec #malware

Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp🖥

Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО

Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа

#itnews #infosec #malware

Новый банковский троян CHAVECLOAK нацелен на бразильских пользователей с помощью тактики фишинга😄

Пользователи в Бразилии стали жертвами нового банковского трояна под названием CHAVECLOAK, распространяющегося через фишинговые письма с вложениями в формате PDF

Эта сложная атака предполагает загрузку PDF-файла в формате ZIP и последующее использование методов побочной загрузки DLL для выполнения конечного вредоносного ПО

говорит исследователь Fortinet FortiGuard Labs Кара Лин

Цепочка атак включает в себя использование заманивающего письма DocuSign на тему контрактов, чтобы обманом заставить пользователей открыть PDF-файлы, содержащие кнопку для прочтения и подписания документов

В действительности нажатие на кнопку приводит к получению установочного файла по удаленной ссылке, сокращенной с помощью сервиса сокращения URL-адресов Goo.su.
Внутри инсталлятора находится исполняемый файл под названием "Lightshot.exe", который использует побочную загрузку DLL для загрузки "Lightshot.dll", являющейся вредоносной программой CHAVECLOAK, способствующей краже конфиденциальной информации

Вредонос собирает системные метаданные и выполняет проверку, чтобы определить, находится ли взломанная машина в Бразилии, и, если да, периодически отслеживает окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком

#itnews #infosec #malware

Пакеты PyPI для Python опустошают криптокошельки💸

Охотники за угрозами обнаружили в репозитории Python Package Index (PyPI) набор из семи пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютного кошелька

Кампания по атаке на цепочки поставок программного обеспечения получила кодовое название BIPClip от компании ReversingLabs. Пакеты были загружены 7451 раз до того, как их удалили из PyPI. Список пакетов выглядит следующим образом:
- jsBIP39-decrypt (126 загрузок)
- bip39-mnemonic-decrypt (689 загрузок)
- mnemonic_to_address (771 загрузка)
- erc20-scanner (343 загрузки)
- hashdecrypt (4,292 скачиваний)
- hashdecrypts (225 загрузок)

BIPClip, ориентированный на разработчиков, работающих над проектами, связанными с созданием и защитой криптовалютных кошельков, по слухам, активен как минимум с 4 декабря 2022 года, когда hashdecrypt был впервые опубликован в реестре

Это всего лишь последняя кампания по созданию цепочки поставок программного обеспечения, направленная на криптоактивы.Это подтверждает, что криптовалюта остается одной из самых популярных целей для участников цепочки поставок

заявил исследователь безопасности Карло Занки

#itnews #infosec #malware

Банковский троян PixPirate для Android использует новую тактику уклонения для бразильских пользователей📱

Злоумышленники, стоящие за банковским трояном PixPirate для Android, используют новый трюк, чтобы избежать обнаружения на взломанных устройствах и собирать конфиденциальную информацию пользователей из Бразилии.
Этот подход позволяет скрыть иконку вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM

Благодаря этой новой технике на этапах разведки и атаки PixPirate жертва остается в неведении относительно вредоносных операций, которые эта программа выполняет в фоновом режиме

заявил исследователь безопасности Нир Сомех

PixPirate, впервые задокументированный Cleafy в феврале 2023 года, известен тем, что использует сервисы доступности Android для скрытого осуществления несанкционированных переводов средств с помощью платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно мутирующая вредоносная программа также способна похищать учетные данные жертв онлайн-банкинга и информацию о кредитных картах, а также перехватывать нажатия клавиш и SMS-сообщения для получения доступа к кодам двухфакторной аутентификации

#malware #android

Исследуем ВПО под Android📱

В статье будет представлен подробный и полный разбор функций Malware Cerberus, нацеленный под устройства Android

Malware Cerberus

#itnews #infosec #malware

В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси⬇️

В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений

Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB

Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе

#tools #malware

🖥 PEStudio - упрощенный способ первоначальной оценки вредоносного ПО

PEStudio - это инструмент анализа программного обеспечения, используемый для проверки исполняемых файлов в операционных системах Windows.

👉 Он разработан, чтобы помочь специалистам по безопасности и исследователям в выявлении потенциально вредоносных файлов путем анализа их структуры, содержимого, таблицы импорта и экспорта, обратных вызовов TLS и, главным образом, любых подозрительных строк, обнаруженных в образце.

Привет 👋, ты на канале компании AP Security, интегратора услуг информационной безопасности.

Меня зовут B0zm4n, и я талисман лаборатории инновационных технологий и кибербезопасности.

Располагайся поудобнее, я расскажу тебе, как у меня всё устроено ☕️

https://t.me/ap_security_chat - чат канала, где можно пообщаться с комьюнити на интересующие вопросы (главное не стесняться)

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Red Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - Bug Bounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#application - материалы из области безопасной разработки

#realcase - реальные кейсы из практики специалистов

➡️ Если ты хочешь стать частью нашего коллектива, пообщаться с представителями лаборатории, либо же обсудить сотрудничество, то мы с радостью ответим по следующим адресам 📞:

@ap_security_admin
zdm@apsecurity.ru

Я очень рад, что мы познакомились🔥 Не забывай поставить уведомление о новых постах!

With love, B0zm4n😏