Android-банкер ERMAC: наследник Cerberus, ворующий данные из 378
Проведенный в ThreatFabric анализ показал, что новый банковский троян для Android почти полностью заимствует код Cerberus, слитый в Сеть полгода назад. В настоящее время ERMAC, использующий оверлеи для кражи данных из финансовых приложений, активно распространяется на территории Польши.
Нового Android-банкера начали рекламировать на подпольных форумах минувшим летом. В середине августа его предлагал взять в аренду один из операторов схожего по функционалу BlackRock.
В конце того же месяца ERMAC был пущен в оборот. Вначале его маскировали под Google Chrome, позднее — под банковский клиент, медиаплеер или антивирус McAfee. Полякам его раздают под видом приложения службы доставки или программы для доступа к госуслугам.
Примечательно, что с появлением ERMAC банкер BlackRock перестал получать обновления. Не исключено, что преступная группировка сменила оружие, воспользовавшись утечкой исходников Cerberus (код этого RAT-зловреда был летом выставлен на аукцион, но затея потерпела неудачу, и лот стали предлагать бесплатно).
Троян ERMAC, как и другие его собратья, умеет воровать СМС и контакты из адресной книги, открывать произвольные приложения, налагать фишинговый экран поверх окон других Android-программ. В комментарии для The Hacker News представитель ThreatFabric уточнил: новобранец способен генерировать оверлеи для 378 банковских приложений и кошельков.
Его возможности также позволяют по команде чистить кеш указанных программ и отыскивать в логах список аккаунтов. Чтобы затруднить анализ, создатели ERMAC используют обфускацию и шифруют строки кода, используя криптоалгоритм Blowfish. Данные, которыми зловред обменивается с C2-сервером, тоже подвергаются шифрованию — 128-битным ключом AES в режиме CBC.
Источник: https://www.anti-malware.ru/news/2021-09-27-114534/37041?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#Троян #ERMAC #Cerberus #нововсти #ит #конфигит #configit
Проведенный в ThreatFabric анализ показал, что новый банковский троян для Android почти полностью заимствует код Cerberus, слитый в Сеть полгода назад. В настоящее время ERMAC, использующий оверлеи для кражи данных из финансовых приложений, активно распространяется на территории Польши.
Нового Android-банкера начали рекламировать на подпольных форумах минувшим летом. В середине августа его предлагал взять в аренду один из операторов схожего по функционалу BlackRock.
В конце того же месяца ERMAC был пущен в оборот. Вначале его маскировали под Google Chrome, позднее — под банковский клиент, медиаплеер или антивирус McAfee. Полякам его раздают под видом приложения службы доставки или программы для доступа к госуслугам.
Примечательно, что с появлением ERMAC банкер BlackRock перестал получать обновления. Не исключено, что преступная группировка сменила оружие, воспользовавшись утечкой исходников Cerberus (код этого RAT-зловреда был летом выставлен на аукцион, но затея потерпела неудачу, и лот стали предлагать бесплатно).
Троян ERMAC, как и другие его собратья, умеет воровать СМС и контакты из адресной книги, открывать произвольные приложения, налагать фишинговый экран поверх окон других Android-программ. В комментарии для The Hacker News представитель ThreatFabric уточнил: новобранец способен генерировать оверлеи для 378 банковских приложений и кошельков.
Его возможности также позволяют по команде чистить кеш указанных программ и отыскивать в логах список аккаунтов. Чтобы затруднить анализ, создатели ERMAC используют обфускацию и шифруют строки кода, используя криптоалгоритм Blowfish. Данные, которыми зловред обменивается с C2-сервером, тоже подвергаются шифрованию — 128-битным ключом AES в режиме CBC.
Источник: https://www.anti-malware.ru/news/2021-09-27-114534/37041?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#Троян #ERMAC #Cerberus #нововсти #ит #конфигит #configit
Anti-Malware
Android-банкер ERMAC: наследник Cerberus, ворующий данные из 378 программ
Проведенный в ThreatFabric анализ показал, что новый банковский троян для Android почти полностью заимствует код Cerberus, слитый в Сеть полгода назад. В настоящее время ERMAC, использующий оверлеи
Лаборатория Касперского: банковский троянец Trickbot становится всё мощнее
Trickbot, обнаруженный в 2016 году, является «наследником» банковского троянца Dyre, нацеленного на кражу данных в онлайн-банкинге.
Эксперты Лаборатории Касперского проследили эволюцию зловреда и выяснили, что сегодня эта многофункциональная вредоносная программа в основном используется для проникновения в локальные сети и дальнейшего распространения в них с целью предоставления доступа другому вредоносному ПО (например, шифровальщику Ryuk).
За пять лет троянец приобрёл десятки вспомогательных модулей для кражи данных учётных записей и конфиденциальной информации, а также распространения по локальным сетям с помощью украденных данных, удалённого доступа, перенаправления сетевого трафика, взлома паролей путём перебора всех возможных вариантов, загрузки других вредоносных программ.
Trickbot действует по всему миру. По данным «Лаборатории Касперского», наибольшее количество пострадавших от зловреда пользователей в 2021 году зафиксировано в США (13%), Австралии (10%) и Китае (10%). Россия занимает в этом списке 15-е место.
«Злоумышленники часто обновляют и модифицируют свои инструменты. Прямо сейчас Trickbot — одна из самых мощных и опасных вредоносных программ в своём классе, — комментирует Олег Купреев, эксперт по безопасности «Лаборатории Касперского». — Большинство атак можно предотвратить, если установить современное решение для обеспечения безопасности. Наши продукты успешно обнаруживают и блокируют все известные версии банковского троянца Trickbot».
Эксперты Лаборатории Касперского напоминают, какие правила стоит соблюдать, чтобы уберечь устройство от заражения подобными программами:
не переходите по ссылкам в подозрительных сообщениях и не открывайте прикреплённые к ним документы;
используйте онлайн-банкинг с многофакторной аутентификацией;
регулярно обновляйте программное обеспечение, включая операционную систему и все приложения (злоумышленники используют лазейки в популярных программах для получения доступа);
применяйте надёжные решения, такие как Kaspersky Total Security, для обеспечения безопасности личных данных и онлайн-платежей, защиты от вредоносного ПО.
Источник:
https://plusworld.ru/daily/cat-security-and-id/laboratoriya-kasperskogo-bankovskij-troyanets-trickbot-stanovitsya-vsyo-moshhnee/?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#Trickbot #kaspersky #ЛабораторияКасперского #троян #Dyre #новости #ит #конфигит #configit
Trickbot, обнаруженный в 2016 году, является «наследником» банковского троянца Dyre, нацеленного на кражу данных в онлайн-банкинге.
Эксперты Лаборатории Касперского проследили эволюцию зловреда и выяснили, что сегодня эта многофункциональная вредоносная программа в основном используется для проникновения в локальные сети и дальнейшего распространения в них с целью предоставления доступа другому вредоносному ПО (например, шифровальщику Ryuk).
За пять лет троянец приобрёл десятки вспомогательных модулей для кражи данных учётных записей и конфиденциальной информации, а также распространения по локальным сетям с помощью украденных данных, удалённого доступа, перенаправления сетевого трафика, взлома паролей путём перебора всех возможных вариантов, загрузки других вредоносных программ.
Trickbot действует по всему миру. По данным «Лаборатории Касперского», наибольшее количество пострадавших от зловреда пользователей в 2021 году зафиксировано в США (13%), Австралии (10%) и Китае (10%). Россия занимает в этом списке 15-е место.
«Злоумышленники часто обновляют и модифицируют свои инструменты. Прямо сейчас Trickbot — одна из самых мощных и опасных вредоносных программ в своём классе, — комментирует Олег Купреев, эксперт по безопасности «Лаборатории Касперского». — Большинство атак можно предотвратить, если установить современное решение для обеспечения безопасности. Наши продукты успешно обнаруживают и блокируют все известные версии банковского троянца Trickbot».
Эксперты Лаборатории Касперского напоминают, какие правила стоит соблюдать, чтобы уберечь устройство от заражения подобными программами:
не переходите по ссылкам в подозрительных сообщениях и не открывайте прикреплённые к ним документы;
используйте онлайн-банкинг с многофакторной аутентификацией;
регулярно обновляйте программное обеспечение, включая операционную систему и все приложения (злоумышленники используют лазейки в популярных программах для получения доступа);
применяйте надёжные решения, такие как Kaspersky Total Security, для обеспечения безопасности личных данных и онлайн-платежей, защиты от вредоносного ПО.
Источник:
https://plusworld.ru/daily/cat-security-and-id/laboratoriya-kasperskogo-bankovskij-troyanets-trickbot-stanovitsya-vsyo-moshhnee/?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#Trickbot #kaspersky #ЛабораторияКасперского #троян #Dyre #новости #ит #конфигит #configit
Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок
Лаборатория Касперского: банковский троянец Trickbot становится всё мощнее » Безопасность
Эксперты Лаборатории Касперского проследили эволюцию зловреда и выяснили, что сегодня эта многофункциональная вредоносная программа в основном
Банковский троян Chaes взламывает Google Chrome вредоносными расширениями
Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его атаках рассказали специалисты антивирусной компании Avast.
По словам исследователей, операторы трояна распространяют его с конца 2021 года. Взламывая сотни веб-ресурсов, злоумышленники добавляют на них вредоносные скрипты, приводящие к загрузке Chaes на устройства посетителей.
В этой кампании используется уже избитый приём — просьба установить приложение Java Runtime, которое на деле является фейком. К сожалению, многие пользователя, видимо, до сих пор клюют на такие уловки, иначе объяснить заражение невозможно.
На компьютер потенциальной жертвы загружается MSI-установщик, который содержит три JavaScript-файла: install.js, sched.js и sucesso.js. Эти «три брата» подготавливают среду Python для дальнейшей компрометации.
Скрипт с именем sched.js создаёт задачу в «Планировщике заданий» и объект автозапуска, таким образом обеспечивая вредоносу плотное закрепление в системе. Файл sucesso.js, как можно понять из его имени, отвечает за передачу командному серверу (C2) информации об успешной установке или о сбое.
А вот скрипт install.js гораздо интереснее своих собратьев, поскольку он может выполнять следующие действия:
- Проверять интернет-соединение (используя google.com).
- Создавать директорию %APPDATA%\\\\extensions.
- Загружать защищённые паролями архивы python32.rar, python64.rar и unrar.exe в упомянутую выше директорию.
- Записывать путь этой папки в HKEY_CURRENT_USER\\Software\\Python\\Config\\Path.
- Собирать информацию о системе.
- Выполнять команду unrar.exe с аргументами для распаковки python32.rar и python64.rar.
- Подключаться к командному серверу и загружать оттуда зашифрованные пейлоады.
Заключительным этапом вредонос устанавливает вредоносные Chrome-расширения. В отчёте Avast перечислены эти аддоны:
- Online – снимает цифровой отпечаток жертвы и создаёт ключ реестра. - Mtps4 – подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.
- Chrolog – крадёт пароли из Google Chrome.
- Chronodx – представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.
- Chremows – крадёт учётные данные от торговых онлайн-площадок.
Источник: https://www.anti-malware.ru/news/2022-01-27-111332/38064
+7 (495) 749-28-49
http://www.configit.ru/
#троян #Chaes #Google #Chrome #WordPress #новости #ит #конфигит #configit
Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его атаках рассказали специалисты антивирусной компании Avast.
По словам исследователей, операторы трояна распространяют его с конца 2021 года. Взламывая сотни веб-ресурсов, злоумышленники добавляют на них вредоносные скрипты, приводящие к загрузке Chaes на устройства посетителей.
В этой кампании используется уже избитый приём — просьба установить приложение Java Runtime, которое на деле является фейком. К сожалению, многие пользователя, видимо, до сих пор клюют на такие уловки, иначе объяснить заражение невозможно.
На компьютер потенциальной жертвы загружается MSI-установщик, который содержит три JavaScript-файла: install.js, sched.js и sucesso.js. Эти «три брата» подготавливают среду Python для дальнейшей компрометации.
Скрипт с именем sched.js создаёт задачу в «Планировщике заданий» и объект автозапуска, таким образом обеспечивая вредоносу плотное закрепление в системе. Файл sucesso.js, как можно понять из его имени, отвечает за передачу командному серверу (C2) информации об успешной установке или о сбое.
А вот скрипт install.js гораздо интереснее своих собратьев, поскольку он может выполнять следующие действия:
- Проверять интернет-соединение (используя google.com).
- Создавать директорию %APPDATA%\\\\extensions.
- Загружать защищённые паролями архивы python32.rar, python64.rar и unrar.exe в упомянутую выше директорию.
- Записывать путь этой папки в HKEY_CURRENT_USER\\Software\\Python\\Config\\Path.
- Собирать информацию о системе.
- Выполнять команду unrar.exe с аргументами для распаковки python32.rar и python64.rar.
- Подключаться к командному серверу и загружать оттуда зашифрованные пейлоады.
Заключительным этапом вредонос устанавливает вредоносные Chrome-расширения. В отчёте Avast перечислены эти аддоны:
- Online – снимает цифровой отпечаток жертвы и создаёт ключ реестра. - Mtps4 – подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.
- Chrolog – крадёт пароли из Google Chrome.
- Chronodx – представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.
- Chremows – крадёт учётные данные от торговых онлайн-площадок.
Источник: https://www.anti-malware.ru/news/2022-01-27-111332/38064
+7 (495) 749-28-49
http://www.configit.ru/
#троян #Chaes #Google #Chrome #WordPress #новости #ит #конфигит #configit
Anti-Malware
Банковский троян Chaes взламывает Google Chrome вредоносными расширениями
Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его
Северокорейские хакеры атаковали неизвестным трояном сотни тысяч компаний по всему миру
Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.
Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.
По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.
После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.
Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1084307/hakeri-atakuyut-polzovateley-prilogeniy-3cx-dlya-voiptelefonii
#voip #labyrinthchollima #3cx #windows #macos #кибератака #вирус #троян #новости #ит #конфигит #configit #cit
Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.
Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.
По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.
После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.
Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1084307/hakeri-atakuyut-polzovateley-prilogeniy-3cx-dlya-voiptelefonii
#voip #labyrinthchollima #3cx #windows #macos #кибератака #вирус #троян #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
Северокорейские хакеры атаковали неизвестным трояном сотни тысяч компаний по всему миру
Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone.
В пиратских сборках Windows 10 обнаружен троян для кражи криптовалюты
Специалисты компании «Доктор Веб» обнаружили в нескольких неофициальных сборках Windows 10, которые распространялись через торрент-трекер, троянскую программу-стилер. Речь идёт о вредоносе Trojan.Clipper.231, который подменяет адреса криптовалютных кошельков в буфере обмена на заданные мошенниками адреса. По подсчётам экспертов, к настоящему моменту злоумышленникам удалось похитить с помощью этого вредоноса около $19 тыс. в криптовалюте.
В сообщении сказано, что в мае этого года в компанию «Доктор Веб» обратился один из клиентов, который предполагал, что его компьютер с Windows 10 заражён вредоносным ПО. Специалисты провели анализ и обнаружили в системе Trojan.Clipper.231, а также Trojan.MuIDrop22.7578 и Trojan.Inject4.57873, которые осуществляют запуск стилера. Специалистам компании удалось локализовать угрозу и справиться с обезвреживанием троянских программ.
Также удалось установить, что целевая ОС являлась неофициальной сборкой, а вредоносное ПО было встроено в неё изначально. В дальнейшем было выявлено несколько неофициальных сборок Windows 10 с интегрированным вредоносным ПО:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso,
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Отмечается, что все упомянутые сборки были доступны для скачивания на одном торрент-трекере, но не исключено, что злоумышленники использовали другие каналы распространения. После распаковки в системе жертвы троян начинает отслеживать буфер обмена и подменяет адреса криптовалютных кошельков на заданные злоумышленниками адреса. Отмечается, что троян может определять опасные для него приложения и в случае их выявления не производит подмену адреса кошелька в буфере обмена.
По подсчётам аналитиков «Доктор Веб», злоумышленники смогли похитить 0,73406362 биткоина и 0,07964773 Ethereum, что примерно эквивалентно $18 976. Чтобы избежать подобных проблем, специалисты рекомендуют использовать только официальные сборки Windows.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1088382/v-piratskih-sborkah-windows-10-obnarugen-troyan-dlya-kragi-kriptovalyuti
#windows #trojan #office #криптовалюта #кража #вирус #троян #новости #ит #конфигит #configit #cit
Специалисты компании «Доктор Веб» обнаружили в нескольких неофициальных сборках Windows 10, которые распространялись через торрент-трекер, троянскую программу-стилер. Речь идёт о вредоносе Trojan.Clipper.231, который подменяет адреса криптовалютных кошельков в буфере обмена на заданные мошенниками адреса. По подсчётам экспертов, к настоящему моменту злоумышленникам удалось похитить с помощью этого вредоноса около $19 тыс. в криптовалюте.
В сообщении сказано, что в мае этого года в компанию «Доктор Веб» обратился один из клиентов, который предполагал, что его компьютер с Windows 10 заражён вредоносным ПО. Специалисты провели анализ и обнаружили в системе Trojan.Clipper.231, а также Trojan.MuIDrop22.7578 и Trojan.Inject4.57873, которые осуществляют запуск стилера. Специалистам компании удалось локализовать угрозу и справиться с обезвреживанием троянских программ.
Также удалось установить, что целевая ОС являлась неофициальной сборкой, а вредоносное ПО было встроено в неё изначально. В дальнейшем было выявлено несколько неофициальных сборок Windows 10 с интегрированным вредоносным ПО:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso,
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso,
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.
Отмечается, что все упомянутые сборки были доступны для скачивания на одном торрент-трекере, но не исключено, что злоумышленники использовали другие каналы распространения. После распаковки в системе жертвы троян начинает отслеживать буфер обмена и подменяет адреса криптовалютных кошельков на заданные злоумышленниками адреса. Отмечается, что троян может определять опасные для него приложения и в случае их выявления не производит подмену адреса кошелька в буфере обмена.
По подсчётам аналитиков «Доктор Веб», злоумышленники смогли похитить 0,73406362 биткоина и 0,07964773 Ethereum, что примерно эквивалентно $18 976. Чтобы избежать подобных проблем, специалисты рекомендуют использовать только официальные сборки Windows.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1088382/v-piratskih-sborkah-windows-10-obnarugen-troyan-dlya-kragi-kriptovalyuti
#windows #trojan #office #криптовалюта #кража #вирус #троян #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
В пиратских сборках Windows 10 обнаружен троян для кражи криптовалюты
Специалисты компании «Доктор Веб» обнаружили в нескольких неофициальных сборках Windows 10, которые распространялись через торрент-трекер, троянскую программу-стилер.
Украденные данные более 100 тыс. пользователей чат-бота ChatGPT оказались на торговых площадках даркнета
Данные более 100 тыс. пользователей чат-бота ChatGPT утекли в Сеть и оказались на торговых площадках даркнета, говорится в отчёте международной компании в сфере кибербезопасности Group-IB. Утечки зафиксированы в период с июня 2022-го по май текущего года.
Специалисты отмечают, что наиболее значительная выгрузка данных в даркнет была замечена в мае этого года.
«Количество доступных логов, содержащих скомпрометированные учётные записи ChatGPT, достигло пика в 26 802 записей в мае 2023 года. За последний год самая высокая концентрация учётных данных ChatGPT, выставленных на продажу, наблюдалась в Азиатско-Тихоокеанском регионе», — говорится в отчёте компании.
Если говорить по странам, то больше всего за наблюдаемый период утекло данных пользователей ChatGPT из Индии (12 632 записи), Пакистана (9217 записей) и Бразилии (6531 запись). Также в даркнете оказались данные пользователей чат-бота из Вьетнама, Египта, США, Франции, Марокко, Индонезии и Бангладеш.
Специалисты Group-IB отмечают, что логи, содержащие скомпрометированную информацию о пользователях, активно продаются на торговых площадках даркнета. Среди прочего в этих данных содержится информация о доменах и IP-адресах скомпрометированных пользователей.
Анализ также показал, что большинство записей (78 348 штук) были похищены с помощью вредоносной программы Raccon для кражи информации, доступной в виде услуги Malware as a Service. Следом за ней идёт шпионское ПО для Windows и средство кражи информации Vidar. С его помощью было похищены данные о 12 984 аккаунтах ChatGPT. На третьем месте (6773 похищенные записи) оказался троян RedLine, который крадет файлы cookie, имена пользователей и пароли, кредитные карты, хранящиеся в веб-браузерах, а также учётные данные FTP и файлы с заражённого устройства.
Следует понимать, что речь идёт не только о краже личной информации. В учётной записи ChatGPT можно найти как личный, так и профессиональный контент, от коммерческих секретов компании, которых там быть не должно, до личных дневников.
«Например, сотрудники компаний могут вносить в поисковый запрос чат-бота секретную информацию или использовать бота для оптимизации проприетарного программного кода. Учитывая, что стандартная конфигурация ChatGPT сохраняет все запросы, утечка этих данных может предоставить злоумышленнику доступ к ценной информации», — говорится в комментарии Group-IB.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1088701/ukradennie-dannie-bolee-100-tis-polzovateley-chatbota-chatgpt-okazalis-na-torgovih-ploshchadkah-darkneta
#chatgpt #groupib #raccon #windows #redline #троян #кража #даркнет #продажа #данные #новости #ит #конфигит #configit #cit
Данные более 100 тыс. пользователей чат-бота ChatGPT утекли в Сеть и оказались на торговых площадках даркнета, говорится в отчёте международной компании в сфере кибербезопасности Group-IB. Утечки зафиксированы в период с июня 2022-го по май текущего года.
Специалисты отмечают, что наиболее значительная выгрузка данных в даркнет была замечена в мае этого года.
«Количество доступных логов, содержащих скомпрометированные учётные записи ChatGPT, достигло пика в 26 802 записей в мае 2023 года. За последний год самая высокая концентрация учётных данных ChatGPT, выставленных на продажу, наблюдалась в Азиатско-Тихоокеанском регионе», — говорится в отчёте компании.
Если говорить по странам, то больше всего за наблюдаемый период утекло данных пользователей ChatGPT из Индии (12 632 записи), Пакистана (9217 записей) и Бразилии (6531 запись). Также в даркнете оказались данные пользователей чат-бота из Вьетнама, Египта, США, Франции, Марокко, Индонезии и Бангладеш.
Специалисты Group-IB отмечают, что логи, содержащие скомпрометированную информацию о пользователях, активно продаются на торговых площадках даркнета. Среди прочего в этих данных содержится информация о доменах и IP-адресах скомпрометированных пользователей.
Анализ также показал, что большинство записей (78 348 штук) были похищены с помощью вредоносной программы Raccon для кражи информации, доступной в виде услуги Malware as a Service. Следом за ней идёт шпионское ПО для Windows и средство кражи информации Vidar. С его помощью было похищены данные о 12 984 аккаунтах ChatGPT. На третьем месте (6773 похищенные записи) оказался троян RedLine, который крадет файлы cookie, имена пользователей и пароли, кредитные карты, хранящиеся в веб-браузерах, а также учётные данные FTP и файлы с заражённого устройства.
Следует понимать, что речь идёт не только о краже личной информации. В учётной записи ChatGPT можно найти как личный, так и профессиональный контент, от коммерческих секретов компании, которых там быть не должно, до личных дневников.
«Например, сотрудники компаний могут вносить в поисковый запрос чат-бота секретную информацию или использовать бота для оптимизации проприетарного программного кода. Учитывая, что стандартная конфигурация ChatGPT сохраняет все запросы, утечка этих данных может предоставить злоумышленнику доступ к ценной информации», — говорится в комментарии Group-IB.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1088701/ukradennie-dannie-bolee-100-tis-polzovateley-chatbota-chatgpt-okazalis-na-torgovih-ploshchadkah-darkneta
#chatgpt #groupib #raccon #windows #redline #троян #кража #даркнет #продажа #данные #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
Украденные данные более 100 тыс. пользователей чат-бота ChatGPT оказались на торговых площадках даркнета
Данные более 100 тыс.
Выявлена крупномасштабная атака «коммерческого» вируса White Snake на российский бизнес
В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».
Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.
Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».
Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1090836/viyavlena-krupnomasshtabnaya-ataka-kommercheskogo-virusa-white-snake-na-rossiyskiy-biznes
#whitesnake #кибератака #фишинг #уязвимость #троян #вирусы #новости #ит #конфигит #configit #cit
В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».
Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.
Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».
Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.
7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1090836/viyavlena-krupnomasshtabnaya-ataka-kommercheskogo-virusa-white-snake-na-rossiyskiy-biznes
#whitesnake #кибератака #фишинг #уязвимость #троян #вирусы #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
Выявлена крупномасштабная атака «коммерческого» вируса White Snake на российский бизнес
В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и…