Баннер на рождество от ASUS. Компания решила поздравить пользователей с рождеством появляющимся на 1/3 экрана баннером с рождественским венком. Кроме этого в нём присутствует сообщение: «Нажмите ESC, чтобы выйти» и кнопка пробела. В некоторых случаях он приводит к сбою в работе приложений.

🎄 Баннер запускается с помощью процесса с названием «Christmas.exe» и является частью программного обеспечения Asus Armoury Crate (оно предустановлено на некоторых компьютерах ASUS), а не вредоносной программой, как думают некоторые пользователи.

🎁 Примечательным является то, что компания не предупредила пользователей и никак не объяснила, что происходит, тем самым удивив всех.

🎄 Баннер исчезает сам по себе и не отображается в диспетчере задач, если не держать его открытым. Приложение Christmas.exe в Windows 11 размещено на системном диске по пути

"C:\ProgramData\ASUS\FestsEffect\data\Christmas\christmas.exe"

✏️ Для отключения Christmas.exe можно использовать официальный деинсталлятор ASUS Armoury с веб-сайта компании, но приложение снова будет пытаться себя установить. Чтобы заблокировать Armoury Crate на материнской плате ASUS, необходимо открыть BIOS, переключиться в Advanced Mode, найти меню Tool —> ASUS Armoury Crate и поменять опцию "Download & Install ARMOURY CRATE app" на Disabled. Также можно подождать пока пройдут праздники, так как после этого баннер сам исчезнет :D

💬 Вы бы продали свои данные за деньги?

Исследователи в сфере безопасности обнаружили крупную операцию на даркнете, связанную с фермами биометрических данных. Анонимная группировка собрала огромное количество подлинных документов и соответствующих фотографий лиц, чтобы обмануть системы верификации "Знай своего клиента" (KYC).

🔗 Особенность схемы
Согласно данным iProov, злоумышленники могут получать эти данные не только через кражу, но и добровольно – пользователи сами продают свои документы и фото за деньги.

По словам главного научного сотрудника iProov Эндрю Ньюэлла:

«Люди, продающие свои биометрические данные, рискуют не только финансовой безопасностью, но и помогают преступникам создать полноценные идентификационные пакеты для сложных мошеннических схем»

🌐 Операция была выявлена в Латинской Америке, где уже оповещена местная полиция. Похожие схемы также замечены в Восточной Европе.

Интересные факты:
🟢 ICO запретила использование распознавания лиц компанией Serco Leisure для учета сотрудников.
🟢 AI-генерируемые глубокие фейки стали частью 24% попыток обмана систем биометрической проверки движений. При этом менее сложные механизмы, вроде селфи-аутентификации, чаще поддаются обычным подделкам.

#новости

5 Онлайн-Инструментов для тестирования на проникновение

Точные и надежные инструменты — залог качественного тестирования на проникновение. А вот 5 новых инструментов, которые могут вам пригодиться

1️⃣ BuiltWith
BuiltWith — ваш шпион в мире технологий. Он раскрывает, какие плагины, фреймворки и библиотеки использует цель, предоставляя информацию в реальном времени через API. Это как заглянуть под капот сайта и увидеть, на чем он ездит.

✅ Быстро и удобно предоставляет информацию о технологиях сайта.
❌ Может не охватить все использованные технологии на сложных проектах.


2️⃣ Dnsdumpster
Dnsdumpster — бесплатный исследователь доменов, способный обнаружить поддомены вашей цели. Он собирает данные из различных источников, таких как Shodan и Maxmind, помогая вам составить карту поддоменов.

✅ Бесплатен и дает подробную карту доменов.
❌ Результаты могут быть устаревшими из-за использования открытых данных.


3️⃣ nmmapper
nmmapper — швейцарский нож для пентестера. Он использует инструменты вроде Sublister и Amass для поиска поддоменов, а также предлагает функции ping-теста, просмотра DNS и детектора WAF.

✅ Универсальный инструмент с широким набором функций.
❌ Интерфейс может быть сложен для новичков.


4️⃣ EmailCrawlr
EmailCrawlr — предоставляет список адресов электронной почты в формате JSON, облегчая задачу по сбору контактных данных.

✅ Удобный формат вывода данных (JSON).
❌ Требует дополнительных инструментов для обработки данных.


5️⃣ Skrapp
Skrapp — хотя и ориентирован на маркетинг, способен находить адреса электронной почты через функцию поиска домена. Функция bulk email finder позволяет получить доступ к CSV-файлу с именами сотрудников компании.

✅ Позволяет массово искать адреса и выгружать их в удобном формате.
❌ Акцент на маркетинг, что может снижать релевантность для пентестинга.

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Гирлянда

🕵️ Категория Форензика — Дед Мороз забыл пароль

🔎 Категория OSINT — Спасибо, Князь

Приятного хакинга!

💵 Взлом Citibank

1994, Сан-Франциско: Русские мафиози заходят в банк, чтобы снять $500,000. Они не знают, что через несколько минут в помещение ворвется ФБР. А в это же время в Тель-Авиве задерживают ещё одного сообщника, пытающегося провернуть похожую операцию. Кто за этим стоит? Таинственный хакер, который взломал системы Citibank и похитил миллионы, ни разу не появившись в отделении банка.

🌐 Как всё началось: История берет начало в Санкт-Петербурге, когда хакер под псевдонимом ArkanoiD нашел уязвимость в сети Citibank, читая журнал для хакеров. Вместе с другими энтузиастами он исследовал систему банка и обнаружил конфиденциальные данные. Но один из членов команды продал эту информацию всего за $100 программисту Владимиру Левину, связанному с известной Тамбовской группировкой.

💥 Идеальное ограбление: Левин использовал сеть Citibank, чтобы перевести миллионы долларов на счета по всему миру. Его "мулы" снимали деньги в разных уголках планеты — от Финляндии до Аргентины, Израиля и США. Каждая операция была дерзкой, быстрой и практически неотслеживаемой.

Citibank и ФБР начали контратаку, расставляя ловушки для соучастников Левина. Операция охватила множество стран и завершилась арестом Левина в Лондоне в 1995 году. Но на этом история не заканчивается.

Однако навыки Левина не соответствовали уровню сложности взлома. В 1998 году пост в блоге от "Арканоида" заявил, что Левин просто купил доступ к операции, а настоящие организаторы взлома остались в тени. После освобождения Левин исчез, породив слухи о его убийстве, смене личности или сотрудничестве с властями.

💬 Как вы думаете, что случилось с Владимиром Левиным? Погиб, скрывается или продолжает работать хакером? Делитесь своими теориями!

2024 год стал насыщенным на инциденты в сфере кибербезопасности. Мы собрали самые обсуждаемые новости, которые потрясли индустрию и показали новые вызовы в борьбе с киберугрозами.

1️⃣ Критические уязвимости ICS: призыв CISA
CISA призывает критически важные инфраструктуры срочно устранить уязвимости в 9 продуктах ICS, которые угрожают секторам энергетики, транспорта и производства.

2️⃣ Иранские хакеры Cotton Sandstorm: новый уровень угроз
Группа Cotton Sandstorm использует ИИ для атак на критическую инфраструктуру и манипуляции выборами, расширяя географию атак.

3️⃣ NIST меняет подход к паролям
Больше не нужны сложные пароли и регулярные изменения. Новый стандарт NIST упрощает управление безопасностью учетных данных.

4️⃣ "Yahoo Boys" и всплеск сексторшна
Нигерийские киберпреступники организовали массовые атаки на подростков в соцсетях, требуя деньги через шантаж интимными фото.

5️⃣ Рансомвар-атака на Change Healthcare
Кибератака на Change Healthcare привела к задержкам в выдаче рецептов для миллионов американцев. Компании пришлось выплатить $22 млн выкупа.

6️⃣ Проблемы с NVD: остановка обогащения CVE
База уязвимостей NIST пережила сбои из-за внутренних реформ и бюджетных ограничений, что замедлило обновление данных.

7️⃣ Ransomware на Infosys McCamish: утечка данных 6 млн человек
Крупнейшая атака привела к компрометации данных клиентов, включая номера соцстрахования и медицинскую информацию.

8️⃣ Прозрачность цепочки поставок ПО: рекомендации CISA
Третий выпуск документа от CISA подчеркивает важность развития SBOM (Software Bill of Materials) для повышения прозрачности в цепочке поставок ПО.

9️⃣ Северокорейский "фейковый" IT-работник в KnowBe4
Компания KnowBe4 стала жертвой схемы трудоустройства хакеров из КНДР. Попытка была вовремя выявлена и предотвращена.

1️⃣0️⃣ Взлом AnyDesk: украден исходный код
Популярный софт AnyDesk пострадал от атаки: злоумышленники похитили исходный код и ключи подписи, но пользователи не пострадали.

🔤 Подробнее о каждом событии – ищите на нашем канале! Следите, чтобы быть на шаг впереди киберугроз. Увидимся в новом году!

Итоги CTF от S.E. & Codeby! 🎄

Сегодня мы подводим итоги первого новогоднего CTF! Среди победителей:

🎁 Курс «Боевой OSINT»

🎁 Курс «Специалист Security Operation Center»

🎁 Flipper Zero

🎁 x10 Telegram Premium

🎁 х10 подписок на Codeby Games

Спасибо всем кто участвовал — делитесь обратной связью и впечатлениями! До встречи на следующем турнире! 😎

Видео с розыгрышем можно посмотреть по ссылке

Итоги года с Кодебай 🎉

Этот год был насыщенным и продуктивным для всех нас! Вот чего мы достигли:

💬 Аудитория:
- Более 20 000 новых подписчиков на всех наших платформах (основной канал, форум, ВК, чат и Codeby Games).
- В Академии обучились более 5000 учеников, из которых многие уже сделали первый шаг в профессию.

▶️ Обучение и курсы:
- Запустили 2 новых курса: "Профессия Пентестер" и "Атака на Active Directory"
- Провели 4 масштабных CTF-соревнования под ключ
- Получили лицензию ФСТЭК
- Вошли в реестр отечественного ПО

🔒 Оценка безопасности:
- Более 20 компаний доверили нам проведение пентестов и оценку безопасности своих систем.

🥇 Участие в мероприятиях:
- Приняли участие в конференциях: Standoff, КодИБ, KubanCSC, UnderConf и других.

Этот год принес нам множество свершений, но мы не останавливаемся! В следующем году нас ждут новые проекты, курсы и интересные вызовы. Спасибо, что остаетесь с нами — именно вы мотивируете нас развиваться и делать лучшее для нашего сообщества!

🎄 Поздравляем с наступающим Новым годом!

Желаем крепких паролей, надежной защиты и успехов во всех начинаниях! Пусть ваши знания и навыки помогают строить безопасное будущее для вас, ваших близких и вашего бизнеса. 🥂🥂

Спасибо, что были с нами в этом году. До встречи в 2025-м! ❤️

С любовью, ваш Кодебай! 😎

Новая кампания атак была нацелена на известные расширения Google Chrome, что подвергло более 600 000 пользователей риску раскрытия данных.

🚨 Атака была направлена на издателей браузерных расширений в интернет-магазине Chrome. Первая жертва — компания Cyberhaven, один из сотрудников которой подвергся фишинговой атаке 24 декабря, что позволило злоумышленникам опубликовать вредоносную версию расширения. 27 декабря Cyberhaven рассказала, что злоумышленник скомпрометировал расширение и внедрил вредоносный код для связи с C2 с целью кражи файлов cookie и токенов доступа пользователей.

🌐 Расширения, подозревающиеся в компрометации:
⏺️AI Assistant - ChatGPT and Gemini for Chrome
⏺️Bard AI Chat Extension
⏺️GPT 4 Summary with OpenAI
⏺️Search Copilot AI Assistant for Chrome
⏺️TinaMInd AI Assistant
⏺️Wayin AI
⏺️VPNCity
⏺️Internxt VPN
⏺️Vindoz Flex Video Recorder
⏺️VidHelper Video Downloader
⏺️Bookmark Favicon Changer
⏺️Castorus
⏺️Uvoice
⏺️Reader Mode
⏺️Parrot Talks
⏺️Primus
⏺️Tackker - online keylogger tool
⏺️AI Shop Buddy
⏺️Sort by Oldest
⏺️Rewards Search Automator
⏺️ChatGPT Assistant - Smart Search
⏺️Keyboard History Recorder
⏺️Email Hunter
⏺️Visual Effects for Google Meet
⏺️Earny - Up to 20% Cash Back

💱 Основатель Secure Annex Джон Такнер предположил, что кампания продолжается с 5 апреля 2023 года, и, вероятно, даже раньше, исходя из дат регистрации используемых доменов nagofsg[.]com и sclpfybn[.]com.

Cyberhaven сообщает, что вредоносная версия расширения браузера была удалена примерно через 24 часа после его запуска. Некоторые из других расширений также уже обновлены или удалены из Интернет-магазина Chrome.

Вредоносный пакет NPM, замаскированный под инструмент Ethereum

Киберспециалисты обнаружили вредоносный пакет ethereumvulncontracthandler на платформе NPM. Он заявлен как библиотека для поиска уязвимостей в смарт-контрактах Ethereum, но вместо этого загружает и запускает троян Quasar RAT, предоставляя злоумышленникам доступ к системам разработчиков.

Quasar RAT — это инструмент с открытым исходным кодом, впервые выпущенный в 2014 году. Он используется как для кибершпионажа, так и для киберпреступности. Он предоставляет злоумышленникам полный контроль над системой, включая возможность кражи данных, установки нового вредоносного ПО и управления несколькими устройствами одновременно.

Как работает атака:
1⃣ Публикация: Пакет опубликован 18 декабря 2024 года пользователем с псевдонимом solidit-dev-416. Несмотря на его низкую популярность (66 загрузок), он представляет серьёзную угрозу.
2⃣ Установка вредоносного ПО: После установки пакет загружает скрипт с удалённого сервера и выполняет его в скрытом режиме, чтобы внедрить троян.
3⃣ Обфускация кода: Код маскируется с помощью Base64-, XOR-кодирования и минимизации, что затрудняет его анализ.
4⃣ Адаптация: Пакет проверяет, не запущен ли он в виртуальной или песочницеобразной среде, чтобы избежать обнаружения.
5⃣ Использование PowerShell: Скрипт выполняет команды PowerShell для установки Quasar RAT, который вносит изменения в реестр Windows, обеспечивая устойчивость вредоносного ПО.
6⃣ Связь с C2 сервером: Троян связывается с сервером управления и контроля (C2) по адресу captchacdn[.]com:7000, получает инструкции и может использоваться для кражи данных или выполнения других вредоносных действий.

Новые требования кибербезопасности в здравоохранении США

Министерство здравоохранения и социальных служб США (HHS) предложило новые меры для усиления защиты медицинских данных от кибератак. Изменения в Законе HIPAA направлены на противодействие растущим угрозам в сфере здравоохранения.

Ключевые требования включают:
🧹Обязательное шифрование электронных медицинских данных (ePHI) в состоянии покоя и при передаче.
🧹Проведение аудитов на соответствие не реже одного раза в год.
🧹 Внедрение многофакторной аутентификации и антивирусной защиты.
🧹 Удаление ненужного программного обеспечения с электронных систем.
🧹 Сегментацию сетей и установку технических средств для резервного копирования и восстановления данных.
🧹 Регулярное сканирование уязвимостей (каждые шесть месяцев) и тестирование на проникновение (ежегодно).

Также организации обязаны выявлять уязвимости в своих системах, обновлять инвентарь технологий и разрабатывать планы восстановления данных в течение 72 часов после потери.

Эти меры принимаются на фоне роста атак с использованием программ-вымогателей: в 2024 году 67% организаций здравоохранения пострадали от таких инцидентов (по сравнению с 34% в 2021 году). Причинами большинства атак стали уязвимости в системах, компрометация учетных данных и вредоносные письма.

Средний выкуп за восстановление данных составил $1,5 млн, причем только 22% организаций смогли восстановить свои системы за неделю или быстрее. Это свидетельствует о недостаточной готовности многих учреждений к таким атакам.

ВОЗ назвала угрозы кибератак на больницы “вопросами жизни и смерти” из-за риска нарушения работы критически важных систем и призвала к международному сотрудничеству в борьбе с этим вызовом.

Rubeus — это набор инструментов, написанный на C#, для взаимодействия с Kerberos (основной протокол аутентификации в среде Windows Active Directory) и различных атак на него.

С его помощью можно совершать следующие действия:
⏺️Запросы и продление билетов
⏺️Злоупотреблять делегированием
⏺️Подделывать билеты
⏺️Управлять билетами
⏺️Извлекать и собирать билеты
⏺️Получать учетные данные через Roasting

Рассмотрим некоторые возможности Rubeus:
1️⃣ Проведение атаки AS-REP Roasting — получаем AS-REP сообщение от имени пользователя, у которого установлен флаг “Не требовать предварительной аутентификации Kerberos”

Rubeus.exe asreproast /nowrap

2️⃣ Kerberoasting — получение TGS билета учетной записи, имеющей SPN.

Rubeus.exe kerberoast /nowrap

3️⃣ Silver ticket — возможность сгенерировать TGS билет на имя любого пользователя с указанием любых разрешений, если у атакующего есть пароль учетной записи службы или его NTLM хеш.

Rubeus.exe silver /user:user /service:HTTP/Domain.Local /rc4:5a1caa1361243172e25d437573c67b28 /ldap /groups: 518,519,512,520,513 -user-id 1601 /nowrap /ptt

4️⃣ Pass The Key — имея хеш пароля пользователя можем получить его TGT билет. Для этого сначала вычисляем RC4, AES128 или AES256 ключ, зная учетные данные пользователя. Затем запрашиваем сам билет.

Rubeus.exe hash /domain:Domain.Local /user:user1 /password:qwerty123! 

Rubeus.exe asktgt /user:s.user1 /rc4:5a1caa1361243172e25d437573c67b28 /nowrap

Для использования утилиты необходимо скачать исходный код по ссылке. Затем собрать её, например в Visual Studio, предварительно отключив Defender, либо добавить каталог с проектом в исключения антивируса.

Новая уязвимость DoubleClickjacking обходит защиту от Clickjacking на сайтах. Исследователи выявили новый класс уязвимостей, которые используют последовательность двойного щелчка для облегчения атак кликджекинга и захвата учётных записей почти на всех основных веб-сайтах.

✏️ Clickjacking — это метод атаки, при котором пользователей обманом заставляют нажимать на, казалось бы, безобидный элемент веб-страницы (к примеру на кнопку), что приводит к установке вредоносного ПО или краже конфиденциальных данных.

👀 DoubleClickjacking — разновидность этой схемы, которая использует промежуток между началом клика и окончанием второго клика, чтобы обойти средства защиты и захватить учётные записи с минимальным взаимодействием.

Атака включает в себя следующие шаги:
1️⃣Пользователь заходит на сайт, контролируемый злоумышленником, который либо открывает новое окно браузера (или вкладку) без какого-либо взаимодействия с пользователем, либо по нажатию кнопки.
2️⃣Новое окно, которое может имитировать что-то безобидное, например проверку CAPTCHA, предлагает пользователю дважды щёлкнуть мышью, чтобы завершить действие.
3️⃣Во время двойного щелчка родительский сайт использует объект JavaScript Window Location для скрытого перенаправления на вредоносную страницу.
4️⃣В то же время верхнее окно закрывается, что позволяет пользователю неосознанно предоставить доступ, подтвердив диалоговое окно с запросом разрешения на родительском сайте.

⚙️ Двойной кликджекинг добавляет уровень защиты, с которым многие системы никогда не сталкивались. Такие методы, как X-Frame-Options, файлы cookie SameSite или CSP, не могут защитить от этой атаки. Владельцы веб-сайтов могут устранить уязвимость, используя подход на стороне клиента, который по умолчанию отключает важные кнопки, если не обнаружено движение мыши или нажатие клавиши.

Фейковые “звёзды” на GitHub и их связь с вредоносным ПО

Исследование, проведённое компанией Socket совместно с учёными из университетов Carnegie Mellon и North Carolina State, выявило серьёзную проблему с поддельными звёздами на GitHub.

Что обнаружено:
✖️ Поддельные “звёзды” используются для создания иллюзии популярности репозиториев, в том числе содержащих вредоносное ПО.
✖️ Многие такие репозитории связаны с пиратским программным обеспечением, читами для игр и криптоботами.
✖️ Заказ поддельных звёзд осуществляется через платформы вроде Baddhi Shop и BuyGitHub, где цена за 1000 звёзд составляет $110.

Масштаб проблемы:
✖️ Исследователи выявили 4,5 миллиона фейковых звёзд, полученных с 1,32 миллиона аккаунтов, для 22,915 репозиториев.
✖️ Большинство таких репозиториев имеют кратковременный цикл жизни и быстро удаляются после выполнения своих задач.

GitHub осведомлён о проблеме и работает над удалением фейковых аккаунтов и звёзд. Однако текущая система оценки популярности репозиториев остаётся уязвимой к манипуляциям.

Рекомендации, которых стоит придерживаться разработчикам и пользователям:
✖️ Разработка новых метрик, учитывающих активность пользователей, репутацию и другие параметры, чтобы предотвратить злоупотребления.
✖️ Пользователям рекомендуется внимательно проверять репозитории, не полагаясь исключительно на количество звёзд как индикатор качества.

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Что ж, с наступившим!

🎢 Категория Разное — Вежливый таск

🔎 Категория OSINT — Праздничное изображение

Приятного хакинга!

ВПО FireScam для Android выдает себя за Telegram Premium для кражи данных и управления устройствами. Распространяется в виде поддельного APK «Telegram Premium» через фишинговый сайт, размещенный на домене github[.]io, имитирующий магазин приложений RuStore (rustore-apk.github[.]io). Фишинговый веб-сайт доставляет дроппер, который затем устанавливает FireScam.

📞 Приложение-дроппер запрашивает несколько разрешений, включая возможность записи во внешнее хранилище и установки, обновления или удаления произвольных приложений на зараженных устройствах Android. Назначив себя владельцем обновления, вредоносное приложение может предотвратить законные обновления из других источников, тем самым поддерживая свое присутствие на устройстве.

📱 Мошенническое приложение Telegram Premium при запуске дополнительно запрашивает разрешение пользователей на доступ к спискам контактов, журналам звонков и SMS-сообщениям, после чего через WebView отображается страница входа на законный веб-сайт Telegram для кражи учетных данных. Процесс сбора данных инициируется независимо от того, входит ли жертва в систему или нет.

💭 ВПО извлекает конфиденциальные данные, включая уведомления, сообщения и другие данные приложений, в конечную точку базы данных реального времени Firebase. Там они фильтруются по ценному содержимому, а затем удаляются. Приложение одновременно устанавливает соединение WebSocket с Firebase для командной связи, хранения данных и доставки дополнительных вредоносных полезных нагрузок.

👀 ВПО отслеживает действия устройства, такие как изменения состояния экрана, транзакции, активность буфера обмена и взаимодействие с пользователями, чтобы тайно собирать ценную информацию, а также захватывает уведомления в различных приложениях, включая системные. Кроме того, примечательной функцией является способность ВПО загружать и обрабатывать данные изображений с указанного URL.