Хакеры: автор трояна LuminosityLink отправился за решетку на 30 месяцев
Еще в феврале 2018 года представители Европола и ИБ-специалисты прекратили деятельность преступной группы, занимавшейся распространением малвари LuminosityLink, которая могла использоваться для удаленного доступа к зараженным машинам, записи видео, аудио, снятия скриншотов, кражи паролей и так далее.
Изначально обвиняемый заявлял, что его RAT-инструмент являлся легитимным решением, наподобие Teamviewer или Radmin. Однако правоохранители сумели доказать, что Граббс знал о том, что многие его клиенты используют LuminosityLink для осуществления вредоносной деятельности.
Ранее сообщалось, что Граббсу грозит до 25 лет лишения свободы, но, похоже, признание вины по всем статьям обвинения (незаконный доступ к компьютерам для совершения преступления, отмывание денег и попытка сокрытия улик) зачлось хакеру. На этой неделе вирусописателя приговорили к 30 месяцам тюремного заключения, а после выхода на свободу он еще три года будет находиться под пристальным наблюдением службы по вопросу условно-досрочных освобождений.
Кроме того, разработчик LuminosityLink обязан передать в руки властей 114 биткоинов (около 736 000 долларов по текущему курсу), заработанных на продаже малвари. Эта сумма уже была «заморожена» ФБР, а теперь будет удержана в качестве штрафа.
Напомню, что по данным следователей, Граббс продал свою малварь более чем 6000 покупателей, которые не только пользовались LuminosityLink сами, но и распространяли RAT далее. Известно, что от LuminosityLink пострадали пользователи в 78 странах мира.
@thecodered
Еще в феврале 2018 года представители Европола и ИБ-специалисты прекратили деятельность преступной группы, занимавшейся распространением малвари LuminosityLink, которая могла использоваться для удаленного доступа к зараженным машинам, записи видео, аудио, снятия скриншотов, кражи паролей и так далее.
Изначально обвиняемый заявлял, что его RAT-инструмент являлся легитимным решением, наподобие Teamviewer или Radmin. Однако правоохранители сумели доказать, что Граббс знал о том, что многие его клиенты используют LuminosityLink для осуществления вредоносной деятельности.
Ранее сообщалось, что Граббсу грозит до 25 лет лишения свободы, но, похоже, признание вины по всем статьям обвинения (незаконный доступ к компьютерам для совершения преступления, отмывание денег и попытка сокрытия улик) зачлось хакеру. На этой неделе вирусописателя приговорили к 30 месяцам тюремного заключения, а после выхода на свободу он еще три года будет находиться под пристальным наблюдением службы по вопросу условно-досрочных освобождений.
Кроме того, разработчик LuminosityLink обязан передать в руки властей 114 биткоинов (около 736 000 долларов по текущему курсу), заработанных на продаже малвари. Эта сумма уже была «заморожена» ФБР, а теперь будет удержана в качестве штрафа.
Напомню, что по данным следователей, Граббс продал свою малварь более чем 6000 покупателей, которые не только пользовались LuminosityLink сами, но и распространяли RAT далее. Известно, что от LuminosityLink пострадали пользователи в 78 странах мира.
@thecodered
Атаки: злоумышленники рассылают вредоносное ПО через старую переписку
Киберпреступная группировка, стоящая за вредоносным ПО Emotet, взяла на вооружение тактику, ранее использовавшуюся только «правительственными хакерами».
Злоумышленники внедряются в ветку старой электронной переписки и добавляют ссылки на вредоносные файлы. Один из участников переписки получает письмо якобы от своего прежнего собеседника, но на самом деле его источником является сервер Emotet. В начало сообщения киберпреступники добавляют ссылку на вредоносный файл или прикрепляют вредоносный документ к одному из писем в ветке. Сама переписка при этом остается нетронутой.
В настоящее время киберпреступники используют переписки, похищенные до ноября 2018 года, но в дальнейших атаках они перейдут к более новым веткам, уверены эксперты. Пользователи, недавно получившие ответ на одно из своих старых писем, рискуют стать жертвами Emotet. Более того, их системы или системы собеседников наверняка уже были заражены Emotet раньше.
@thecodered
Киберпреступная группировка, стоящая за вредоносным ПО Emotet, взяла на вооружение тактику, ранее использовавшуюся только «правительственными хакерами».
Злоумышленники внедряются в ветку старой электронной переписки и добавляют ссылки на вредоносные файлы. Один из участников переписки получает письмо якобы от своего прежнего собеседника, но на самом деле его источником является сервер Emotet. В начало сообщения киберпреступники добавляют ссылку на вредоносный файл или прикрепляют вредоносный документ к одному из писем в ветке. Сама переписка при этом остается нетронутой.
В настоящее время киберпреступники используют переписки, похищенные до ноября 2018 года, но в дальнейших атаках они перейдут к более новым веткам, уверены эксперты. Пользователи, недавно получившие ответ на одно из своих старых писем, рискуют стать жертвами Emotet. Более того, их системы или системы собеседников наверняка уже были заражены Emotet раньше.
@thecodered
Facebook хранила миллионы паролей от Instagram открытым текстом
Представители компании Facebook незаметно обновили пресс-релиз, связанный с произошедшим в марте скандалом. Тогда известный ИБ-журналист Брайан Кребс (Brian Krebs) сообщил в своем блоге, что компания много лет сохраняла на своих серверах пароли пользователей Facebook Lite, Facebook и Instagram. Хуже того, пароли хранились в формате простого текста, свободно доступные тысячам сотрудников социальной сети.
Тогда Кребс писал о 200-600 млн потенциальных пострадавших, и Facebook признала, что действительно хранила пароли, однако не назвала конкретных цифр. Мартовский пресс-релиз компании гласил, что инцидент затронул сотни миллионов пользователей Facebook Lite, десятки миллионов пользователей Facebook и десятков тысяч пользователей Instagram.
18 апреля 2019 года компания незаметно обновила это заявление, признав, что изначально недооценила масштаб проблемы. Теперь в тексте говорится уже о миллионах пострадавших пользователей Instagram, чьи пароли «в читаемой форме» оседали на серверах социальной сети.
Многие ИБ-эксперты и отраслевые СМИ усмотрели в этом повод для публикации очередной порции критики в адрес Facebook. Дело в том, что компания по-прежнему не раскрывает данные о точном количестве пострадавших, и похоже, пыталась не привлекать внимания к обновленному пресс-релизу. Многие издания и вовсе пишут (1, 2), что заявление об инциденте неспроста было обновлено именно 18 апреля. Дело в том, что вчера был опубликован доклад спецпрокурора Роберта Мюллера об итогах расследования о возможном российском вмешательстве в выборы президента США. К документу приковано внимание всех СМИ мира и, похоже, в Facebook надеялись, что на этом фоне возросший масштаб их утечки данных останется незамеченным.
@thecodered
Представители компании Facebook незаметно обновили пресс-релиз, связанный с произошедшим в марте скандалом. Тогда известный ИБ-журналист Брайан Кребс (Brian Krebs) сообщил в своем блоге, что компания много лет сохраняла на своих серверах пароли пользователей Facebook Lite, Facebook и Instagram. Хуже того, пароли хранились в формате простого текста, свободно доступные тысячам сотрудников социальной сети.
Тогда Кребс писал о 200-600 млн потенциальных пострадавших, и Facebook признала, что действительно хранила пароли, однако не назвала конкретных цифр. Мартовский пресс-релиз компании гласил, что инцидент затронул сотни миллионов пользователей Facebook Lite, десятки миллионов пользователей Facebook и десятков тысяч пользователей Instagram.
18 апреля 2019 года компания незаметно обновила это заявление, признав, что изначально недооценила масштаб проблемы. Теперь в тексте говорится уже о миллионах пострадавших пользователей Instagram, чьи пароли «в читаемой форме» оседали на серверах социальной сети.
Многие ИБ-эксперты и отраслевые СМИ усмотрели в этом повод для публикации очередной порции критики в адрес Facebook. Дело в том, что компания по-прежнему не раскрывает данные о точном количестве пострадавших, и похоже, пыталась не привлекать внимания к обновленному пресс-релизу. Многие издания и вовсе пишут (1, 2), что заявление об инциденте неспроста было обновлено именно 18 апреля. Дело в том, что вчера был опубликован доклад спецпрокурора Роберта Мюллера об итогах расследования о возможном российском вмешательстве в выборы президента США. К документу приковано внимание всех СМИ мира и, похоже, в Facebook надеялись, что на этом фоне возросший масштаб их утечки данных останется незамеченным.
@thecodered
Хочешь научиться создавать вредоносное ПО или овладеть навыками фишинга?
Для подписчиков настоящего DARKNET канала RUNION нет границ интернета👺
Присоединяйся и ты, пока ссылка доступна!⏰
https://t.me/joinchat/AAAAAERt0VdiMA3XaZwVkw
Для подписчиков настоящего DARKNET канала RUNION нет границ интернета👺
Присоединяйся и ты, пока ссылка доступна!⏰
https://t.me/joinchat/AAAAAERt0VdiMA3XaZwVkw
Атаки: Вирус DrainerBot сажает аккумуляторы и съедает трафик на мобильниках
Совсем недавно эксперты по кибербезопасности столкнулись с новым зловредом, который оказался не совсем типичным вирусом. Он запросто мог годами «жить» в гаджетах, чьи владельцы даже не подозревали, что их устройство заражено.
Речь идет о вирусе, распространяемого в рамках кампании DrainerBot по всему миру. Вирус предварительно встраивается в код популярных программ для смартфонов на платформе Android. Вся его работа сводится к тому, что он заставляет гаджет переходить по рекламным спамерским ссылкам, по которым предлагается просмотреть рекламные ролики.
Но логика его работы построена так, что сама реклама не выводится на дисплей и пользователь не видит ее. Такой подход позволяет хакерам неплохо зарабатывать, имитируя высокую статистику просмотров роликов с рекламными объявлениями. Специалисты уже успели выяснить, что вирусом заражены такие приложения, как Solitaire: 4 Seasons (Full) и VertexClub, Perfect36 и Touch ‘n’ Beat — Cinema и Draw Clash of Clans. Вероятно, вредоносный код будет обнаружен и в других программах.
@thecodered
Совсем недавно эксперты по кибербезопасности столкнулись с новым зловредом, который оказался не совсем типичным вирусом. Он запросто мог годами «жить» в гаджетах, чьи владельцы даже не подозревали, что их устройство заражено.
Речь идет о вирусе, распространяемого в рамках кампании DrainerBot по всему миру. Вирус предварительно встраивается в код популярных программ для смартфонов на платформе Android. Вся его работа сводится к тому, что он заставляет гаджет переходить по рекламным спамерским ссылкам, по которым предлагается просмотреть рекламные ролики.
Но логика его работы построена так, что сама реклама не выводится на дисплей и пользователь не видит ее. Такой подход позволяет хакерам неплохо зарабатывать, имитируя высокую статистику просмотров роликов с рекламными объявлениями. Специалисты уже успели выяснить, что вирусом заражены такие приложения, как Solitaire: 4 Seasons (Full) и VertexClub, Perfect36 и Touch ‘n’ Beat — Cinema и Draw Clash of Clans. Вероятно, вредоносный код будет обнаружен и в других программах.
@thecodered
Администраторы подпольного рынка Wall Street Market сбежали, прихватив более $14 млн
Не прошло и месяца с момента известия о прекращении деятельности крупнейшей торговой площадки даркнета Dream Market, как «Темная паутина» лишилась еще одного подпольного рынка - Wall Street Market (WSM). По имеющимся данным, администраторы сайта просто сбежали, украв более $14,2 млн, принадлежащих пользовавшихся услугами площадки продавцам наркотиков, оружия и вредоносного ПО.
Примечательно, что один из модераторов WSM начал шантажировать пользователей, угрожая раскрыть их адреса правоохранительным органам, если те не заплатят выкуп в размере 0,05 биткойна (примерно $280). Он также разместил в Сети свои учетные данные, с помощью которых любой пользователь, включая полицию, сможет получить доступ к серверу WSM и информации о продавцах и покупателях.
Как полагают некоторые ИБ-эксперты, ситуация с WSM связана с закрытием Dream Market, запланированным на 30 апреля текущего года. Прекращение деятельности такой площадки наверняка спровоцировало бы наплыв пользователей на Wall Street Market и пристальное внимание правоохранительных органов и, по всей видимости, администраторы ресурса не захотели рисковать и выбрали наиболее безопасный вариант.
@thecodered
Не прошло и месяца с момента известия о прекращении деятельности крупнейшей торговой площадки даркнета Dream Market, как «Темная паутина» лишилась еще одного подпольного рынка - Wall Street Market (WSM). По имеющимся данным, администраторы сайта просто сбежали, украв более $14,2 млн, принадлежащих пользовавшихся услугами площадки продавцам наркотиков, оружия и вредоносного ПО.
Примечательно, что один из модераторов WSM начал шантажировать пользователей, угрожая раскрыть их адреса правоохранительным органам, если те не заплатят выкуп в размере 0,05 биткойна (примерно $280). Он также разместил в Сети свои учетные данные, с помощью которых любой пользователь, включая полицию, сможет получить доступ к серверу WSM и информации о продавцах и покупателях.
Как полагают некоторые ИБ-эксперты, ситуация с WSM связана с закрытием Dream Market, запланированным на 30 апреля текущего года. Прекращение деятельности такой площадки наверняка спровоцировало бы наплыв пользователей на Wall Street Market и пристальное внимание правоохранительных органов и, по всей видимости, администраторы ресурса не захотели рисковать и выбрали наиболее безопасный вариант.
@thecodered
Уважаемые подписчики
Намечается следующая движуха; мне тут один знакомый админ отписал, он за 10к приобрел белую схему и распродаёт в розницу по 1к/копия. 🤫
Полный мануал прилагается, даже школьник разберется.
Сам проверил, схема реально годная.
Так что, пиарим?🤔Решать вам:
Намечается следующая движуха; мне тут один знакомый админ отписал, он за 10к приобрел белую схему и распродаёт в розницу по 1к/копия. 🤫
Полный мануал прилагается, даже школьник разберется.
Сам проверил, схема реально годная.
Так что, пиарим?🤔Решать вам:
Хакеры: Взлом Пентагона
Кевин Митник - один из первых и самых известных хакеров. В 12 лет он научился подделывать автобусные билеты и бесплатно катался по всему городу.
В 16 лет Кевин взломал сеть компании Digital Equipment Corporation и украл оттуда программное обеспечение. К своему несчастью, программиста поймали и на год посадили в тюрьму.
В студенческие годы Митник добрался и до компьютеров министерства обороны США. Конечно, специалисты по безопасности быстро зафиксировали взлом, и вскоре Митника поймали и отправили в исправительный центр для молодежи. Сейчас он владеет компанией, которая занимается компьютерной безопасностью.
@thecodered
Кевин Митник - один из первых и самых известных хакеров. В 12 лет он научился подделывать автобусные билеты и бесплатно катался по всему городу.
В 16 лет Кевин взломал сеть компании Digital Equipment Corporation и украл оттуда программное обеспечение. К своему несчастью, программиста поймали и на год посадили в тюрьму.
В студенческие годы Митник добрался и до компьютеров министерства обороны США. Конечно, специалисты по безопасности быстро зафиксировали взлом, и вскоре Митника поймали и отправили в исправительный центр для молодежи. Сейчас он владеет компанией, которая занимается компьютерной безопасностью.
@thecodered
Атаки: злоумышленники используют Google Sites для распространения трояна LoadPCBanker
Эксперты компании Netskope обнаружили вредоносную кампанию, активную с февраля 2019 года и эксплуатирующую платформу Сайты Google (Google Sites) для распространения малвари через drive-by загрузки.
Малварь, которую таким образом «раздают» наивным пользователям хакеры, это троян LoadPCBanker, замаскированный под файл-приманку PDF, но на самом деле представляющий собой архив RAR: Reserva-Manoel-pdf.rar.
Несмотря на весьма обширные масштабы распространения LoadPCBanker, злоумышленники действительно заинтересованы лишь в нескольких скомпрометированных системах. По словам исследователей, таких хостов всего порядка 20 и за ними операторы малвари следят очень пристально.
Специалисты Netskope пишут, что такая малварь активна как минимум с 2014 года, но затрудняются определить, стоят за текущими атаками те же самые люди, что и пять лет назад, или исходные коды LoadPCBanker доступны нескольким хакерским группам.
@thecodered
Эксперты компании Netskope обнаружили вредоносную кампанию, активную с февраля 2019 года и эксплуатирующую платформу Сайты Google (Google Sites) для распространения малвари через drive-by загрузки.
Малварь, которую таким образом «раздают» наивным пользователям хакеры, это троян LoadPCBanker, замаскированный под файл-приманку PDF, но на самом деле представляющий собой архив RAR: Reserva-Manoel-pdf.rar.
Несмотря на весьма обширные масштабы распространения LoadPCBanker, злоумышленники действительно заинтересованы лишь в нескольких скомпрометированных системах. По словам исследователей, таких хостов всего порядка 20 и за ними операторы малвари следят очень пристально.
Специалисты Netskope пишут, что такая малварь активна как минимум с 2014 года, но затрудняются определить, стоят за текущими атаками те же самые люди, что и пять лет назад, или исходные коды LoadPCBanker доступны нескольким хакерским группам.
@thecodered
Ты тоже всегда хотел знать, как социальная инженерия и современная техника работают на благо спецслужб?🤔
А как изнутри устроена электронная армия Пхеньяна?👤
👉Тогда добро пожаловать на уникальный канал @social_engineering_club👈
Качественные каналы сегодня - большая редкость и этот я рекомендую каждому😉
А как изнутри устроена электронная армия Пхеньяна?👤
👉Тогда добро пожаловать на уникальный канал @social_engineering_club👈
Качественные каналы сегодня - большая редкость и этот я рекомендую каждому😉
Фильтры Adblock Plus могут использоваться для выполнения произвольного кода
Исследователь Армин Себастьян (Armin Sebastian) обнаружил проблему, связанную с функцией фильтров $rewrite, появившейся в Adblock Plus в версии 3.2, вышедшей прошлым летом. Это новшество также поддержали разработчики AdBlock и uBlocker.
ИБ-специалист объясняет, что при соблюдении ряда условий $rewrite может использоваться для атак на пользователей. Уязвимостью могут злоупотребить операторы списков фильтров: для этого понадобится найти сайт с открытым редиректом, разрешающий загрузку скриптов со сторонних ресурсов, а также использующий XMLHttpRequest или Fetch для их выполнения. Причем исследователь подчеркивает, что найти такой ресурс не так сложно, как может показаться, например, он использовал в качестве примера Google Maps.
Разработчики Adblock Plus уже опубликовали официальное заявление, где назвали подобные атаки маловероятными. Хотя разработчики заверили, что регулярно проверяют операторов списков фильтров и сами фильтры, и пока не выявляли никаких угроз, сообщается, что от функции $rewrite все же было решено избавиться.
@thecodered
Исследователь Армин Себастьян (Armin Sebastian) обнаружил проблему, связанную с функцией фильтров $rewrite, появившейся в Adblock Plus в версии 3.2, вышедшей прошлым летом. Это новшество также поддержали разработчики AdBlock и uBlocker.
ИБ-специалист объясняет, что при соблюдении ряда условий $rewrite может использоваться для атак на пользователей. Уязвимостью могут злоупотребить операторы списков фильтров: для этого понадобится найти сайт с открытым редиректом, разрешающий загрузку скриптов со сторонних ресурсов, а также использующий XMLHttpRequest или Fetch для их выполнения. Причем исследователь подчеркивает, что найти такой ресурс не так сложно, как может показаться, например, он использовал в качестве примера Google Maps.
Разработчики Adblock Plus уже опубликовали официальное заявление, где назвали подобные атаки маловероятными. Хотя разработчики заверили, что регулярно проверяют операторов списков фильтров и сами фильтры, и пока не выявляли никаких угроз, сообщается, что от функции $rewrite все же было решено избавиться.
@thecodered
