https://habr.com/ru/companies/globalsign/articles/878822/


Вредоносный код навсегда сохранили в блокчейне

Один из старых хакерских трюков — распространять вредоносное ПО под видом обновления браузера. На взломанном сайте размещается плашка с утверждением, что для просмотра нужно обновить браузер. И кнопка для скачивания обновления, как на скриншоте с прошлогодней атаки ClearFake. Таким образом, жертва самостоятельно устанавливает вредоносное ПО на свой компьютер.

В прошлом году злоумышленники разработали умный способ защитить вредоносный софт от уничтожения. Они разместили его в децентрализованном анонимном блокчейне. То есть интегрировали код в смарт-контракт, который навечно сохранился в открытом доступе.

Инновационный способ хранения вредоносного кода описали специалисты по безопасности из израильской компании Guardio.

🔗Link

OpenAI анонсировали Deep Research — самостоятельного агента для исследований


В 16:00 по Pacific Time OpenAI запустили стрим, на котором анонсировали новый продукт компании - Deep Research, особый режим для ChatGPT, в котором он переходит в режим высокой автономности, и может проводить длительные глубокие исследования - самостоятельно вырабатывать план работ, ходить по интернету в поисках информации, агрегировать и анализировать данные при помощи Python-скриптов, и всё это полностью без участия человека.

Это большой шаг в автономности ИИ - даже "думающие" (reasoning) модели от OpenAI хоть и способны вести (иногда) длинную цепочку мыслей, но неспособны настолько активно пользоваться различными инструментами для сбора информации и её обработки.

🔗Link

Опубликованы 15 млн адресов электронной почты пользователей Trello на известном хак-форуме.

Хакер пол ником emo обнаружил, что можно запросить эндпоинт API, используя адрес электронной почты. И, если существует связанный с этим адресом аккаунт, можно получить информацию об этом публичном профиле. Причем упомянутый API был общедоступным, то есть не требовал входа в аккаунт Trello или использования ключа аутентификации API.

Хотя почти все данные, представленные в этом дампе, были общедоступными, это не касалось адресов электронной почты, связанных с профилями пользователей. ИБ-исследователи выяснили, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями людей.
В итоге хакер подготовил список из 500 млн адресов электронной почты и направил их этому API, чтобы определить, связаны ли они с аккаунтами Trello. Злоумышленник заявлял, что закупил прокси для ротации соединений, чтобы запрашивать API непрерывно.

Хотя об этой утечке стало известно еще в начале 2024 года,emo опубликовал дамп недавно.
Дамп доступен пользователям BreachForums, всего за восемь внутренних кредитов сайта, то есть за символическую плату в размере 2,32 доллара США,содержащий данные всех 15 млн профилей Trello на .

Тогда человек под ником emo разместил на хакерском форуме объявление о продаже данных 15 115 516 пользователей Trello.

Сегодня 27 февраля День вежливых людей — праздник Сил Специальных Операций.

Google отключает SMS-коды для входа в аккаунт.

В скором времени Google откажется от функции двухэтапной авторизации при помощи коротких сообщений с кодом подтверждения. На смену SMS придут QR-коды,более современный метод входа в учётную запись.

Представитель Google Росс Ричендрафер отметил, что SMS-коды удобны, но небезопасны: например, их может перехватить фишинговое приложение или мошенник, использующий клонированную SIM-карту. В качестве альтернативы текстовым сообщениям компания планирует перейти на одноразовые QR-коды.

При входе в аккаунт на экране компьютера пользователя появится код, который нужно будет отсканировать при помощи камеры на смартфоне. Техническими подробностями компания пока не делится. Скорее всего, такой метод потребует использования доверенного устройства с подтверждённым телефонным номером.

По данным источника, нововведение вступит в силу в ближайшие месяцы, но точная дата прекращения поддержки SMS-кодов пока не объявлена.

Хакеры «отмыли» все 499 000 Ethereum на $1,5 млрд, украденные с Bybit

Профильный специалист по криптовалюте и эксперты из Odaily пояснили, что хакеры за 10 суток успешно «отмыли» все 499 000 Ethereum на $1,4 млрд, украденные с Bybit.

Хакеры в основном использовали протокол THORChain для отмывания украденных средств, что привело к объёму транзакций в $5,9 млрд на этой платформе и принесло около $5,5 млн дохода от комиссий. За этот период цена ETH упала с $2780 долларов до $2130, падение курса составило 23%.

Ранее Федеральное бюро расследований США сообщило, что считает хакеров из Северной Кореи ответственными за кражу криптовалюты Ethereum на сумму $1,5 млрд с биржи Bybit. В ФБР уточнили, что вывод средств хакерами удалось осуществить с помощью специализированного инструментария, которому в американской спецслужбе дали условное название TraderTraitor.

Согласно описанию проекта TraderTraitor от ФБР, это комплект вредоносных приложений, которые выдают себя за легальные инструменты для торговли криптовалютой. Проекты этих приложений создавались на основе легальных программ с открытым исходным кодом. Они писались на JavaScript в Node.js с использованием фреймворка Electron, сообщено в бюллетене ФБР от 18 апреля 2022 года (.pdf).

Проект TraderTraitor используется группой хакеров, спонсируемых властями Северной Кореи, которых специалисты по кибербезопасности называют Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Их активность фиксируется с 2020 года.

«Акторы TraderTraitor действуют быстро и конвертировали часть украденных активов в биткоины и другие виртуальные активы, распределённые по тысячам адресов на нескольких блокчейнах. Ожидается, что эти активы будут дополнительно отмыты и в конечном итоге конвертированы в фиатную валюту», — пояснили в ФБР. В американской спецслужбе привели адреса украденных Ethereum с просьбой к операторам блокировать транзакции по ним.

21 февраля 2025 года хакеры атаковали криптобиржу Bybit и смогли похитить 70% Ethereum‑активов (400 тысяч ETH), признал глава компании Бен Чжоу. За взломом криптобиржи Bybit на $1,4 млрд стоит Lazarus Group, считают эксперты по ИБ.

Сразу после взлома хакеры перевели средства по десяткам кошельков. Команда ByBit утверждает, что был скомпрометирован только один холодный кошелек, все остальные — в безопасности.

По словам Чжоу, сотрудники биржи совершали штатный перевод с «холодного» кошелька биржи на «теплый». Хакер взял под контроль кошелек благодаря подмене его интерфейса. Чжоу отметил, что остальные холодные кошельки биржи в безопасности и все операции происходят в штатном режиме. Чжоу попросил у сообщества помощи в поиске украденных средств.

Пояснение инцидента от эксперта по ИБ:

22 февраля Bybit объявила о награде в размере $140 млн за помощь в поимке команды хакеров или её организаторов, укравших $1,4 млрд. Примечательно, что криптобиржа по обычной программе багбаунти платит 4 тыс. USDT за критическую уязвимость в своей системе. Теперь компания решила выделить 10% от суммы кражи на вознаграждение экспертов по этической кибербезопасности и сетевой безопасности, которые играют активную роль в возвращении украденных криптовалют в ходе инцидента.

В пресс‑релизе Bybit сообщается, что криптобиржа призывает «самые яркие умы в области кибербезопасности и криптоаналитики присоединиться к глобальной охоте на преступников, совершивших крупнейшее в истории криптовалют ограбление». «Вознаграждение в размере 10% от суммы, которую удастся вернуть, позволит участникам специальной программы Recovery Bounty Program разделить потенциальную сумму в $140 млн в случае полного восстановления баланса кошельков биржи, — пояснили в Bybit.