Мы продолжаем тему о проектировании и разработке вредоносного ПО для macOS.
- Методики инъецирования кода и то, как он применяется в вредоносном ПО
- Способы обеспечения постоянства хранения
- Процесс инъецирования шелл-кода и его закрепление на конечном устройстве
#Malware #MacOS #SIP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25❤3🔥3👏1🤔1🤯1
Злоумышленники нашли новый способ распространения вредоносного ПО через Stack Overflow – отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi-пакет, который заражает компьютеры и похищает конфиденциальную информацию.
Новый вредоносный PyPi-пакет, связанный с уже известной кампанией «Cool package». Кампания, начавшаяся в прошлом году, нацелена на пользователей Windows и использует пакет под названием «pytoileur»
— Пакет был загружен на репозиторий PyPi под видом инструмента для управления API. Его они продвигают через ответы на вопросы пользователей Stack Overflow, представляя пакет как решение для различных проблем.
#News #Malware #PyPi |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26😁18🔥9👏6
В репозитории PyPI обнаружен вредоносный пакет, предназначенный для похищения информации Lumma (также известной как LummaC2). Это пакет с названием «crytic-compilers», являющийся подделкой легитимной библиотеки «crytic-compile». Фальшивый пакет был загружен 441 раз, прежде чем его удалили.
- Примечательно, что некоторые версии «crytic-compilers», действительно устанавливали легитимное содержимое, однако в версии 0.3.11, определяя операционную систему как Windows, пакет запускает исполняемый файл («s.exe»), который в свою очередь загружает дополнительные компоненты, включая инфостилер Lumma.
#News #Stealer #PiPI #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22👍12🔥7🤯7👏1
Началось всё с израильских ИБ-спецов, которые в рамках эксперимента сумели «заразить» более 100 организаций, создав клона популярной темы Dracula Official с вредоносным кодом.
— Расширение использовало код легитимной темы Darcula, но также содержало дополнительный скрипт, который собирал информацию о системе, включая имя хоста, количество установленных расширений, доменное имя устройства и информацию об ОС, а затем передавал все это на удаленный сервер через HTTPS POST-запрос.
#News #Malware #VSCode |
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯39👍9🔥5😁3❤1
В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix.
При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и Python, а также знакомство с низкоуровневым языком ассемблера.
- Знакомства с архитектурой macOS и с особенностями её безопасности
- Углубимся во внутреннее устройство и рассмотрим ключевые элементы: Mach API и ядро
- Создадим заготовку зловредного ПО
#Malware #MacOS #SIP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤7🔥6
Обнаружен Linux-малварь DISGOMOJI, которая использует эмодзи для выполнения команд на зараженных устройствах и в основном атакует правительственные учреждения в Индии, предполагается, что этот вредонос связан с пакистанскими хакерами, известным под идентификатором UTA0137.
— DISGOMOJI похож на многие другие бэкдоры, позволяя выполнять команды, делать скриншоты, похищать файлы, развертывать дополнительные полезные нагрузки и искать конкретные файлы. Однако от других этот отличается использованием Discord в качестве управляющего сервера и эмодзи, что позволяет ему обходить защитные системы, которые обычно реагируют на текстовые команды.
#Malware #News #Discord |
Please open Telegram to view this post
VIEW IN TELEGRAM
👏28👍16🤯10😁3❤2
Сеть, состоящая более чем из 1300 доменов, предлагает пользователям малварь под видом популярных утилит и офисных приложений (вместе с ключами активации или кряками).
Все началось с вредоносного файла, загруженного на рабочее устройство сотрудника неназванной российской компании, как оказалось, вредоносный архив был скачан с файлообменника MediaFire, а перед этим пострадавший пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты и офисные приложения.
#Malware #News #RU |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21🤯12👍10❤4
Этичный Хакер
Scattered Spider пополнила свой арсенал вымогательской малварью Qilin и RansomHub, и уже использует вредоносы в своих атаках, они активны с начала 2022 года.
Группировка также известна под именами 0ktapus (Group-IB), Scatter Swine (Okta), Starfraud, UNC3944 (Mandiant), Octo Tempest (Microsoft) и Muddled Libra. Ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.
Упомянутый шифровальщик Qilin появился в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован в Qilin. За последние два года на сайте для утечек, принадлежащем группировке, была опубликована информация о 130 пострадавших от атак компаниях.
— Что касается RansomHub, этот шифровальщик появился в феврале 2024 года и считается «ребрендингом» вымогателя Knight. Именно RansomHub использовался в таких громких атаках, как недавние взломы аукционного дома Christie's и американской аптечной сети Rite Aid.
#Malware #News |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤7🔥3
Про спуфинг аргументов в PEB было рассказано многое, но, если честно, нам ни разу не попадались материалы про изменения аргументов прямо в рантайме.
— Под катом разобрались, как добраться до PEB руками в IDA Pro и написали простейшее приложение для манипуляции аргументами в PEB.
#PEB #Spoofing #Windows #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍7🔥6
В предыдущей статье мы в первом приближении рассмотрели PEB и разобрались, как подменить аргументы командной строки.
— Под катом продолжая разбираться с PEB, рассмотрим еще один способ повлиять на исполнение программы, и попробуем подменить вызываемую из DLL функцию.
#PEB #Spoofing #Windows #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤7🔥5
С территории Украины против Российской Федерации воюет целая армия киберпреступников. Об этом во время посещения центра киберзащиты Сбера сенаторами Совфеда заявил вице-президент по кибербезопасности Сбера Сергей Лебедь.
«Сбер эффективно обеспечивает кибербезопасность клиентов и собственной инфраструктуры. Однако угроза выходит далеко за рамки работы Сбербанка – это вопрос общенациональной безопасности. Поэтому только наших усилий по определению не может быть достаточно для кардинального решения задачи по обеспечению безопасности жителей России», — добавил Лебедь.
По результатам встречи сенаторы заявили, что России нужен единый орган по обеспечению кибербезопасности, который будет координировать государственную политику в этой сфере.
#PEB #Spoofing #Windows #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
😁52👍20🕊15🤔6❤2🔥1🤯1
В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix.
При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и Python, а также знакомство с низкоуровневым языком ассемблера.
- Знакомства с архитектурой macOS и с особенностями её безопасности
- Углубимся во внутреннее устройство и рассмотрим ключевые элементы: Mach API и ядро
- Создадим заготовку зловредного ПО
#Malware #MacOS #SIP |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍14🤔5🕊2
OldGremlin атаковала российские компании в 2020-2022 годах, и суммы требуемых выкупов исчислялись миллионами, а в 2022 году ценник поднялся до 1 миллиарда рублей. Теперь ИБ-спецы сообщают, что группа снова активна и использует новый инструмент OldGremlin.JsDownloader.
Было обнаружено загруженное на платформу AnyRun письмо, которое было отправлено от имени сотрудницы компании «Диадок» с использованием адреса электронной почты - Ольга Макарова <makarova@diadok[.]net>. Получателем письма был сотрудник неназванной российской нефтехимической компании.
— Если проверка подписи прошла успешно, OldGremlin.JsDownloader будет ожидать данных от своего управляющего сервера. А когда вредоносный загрузчик получит данные от сервера, они будут расшифрованы и переданы в функцию eval(), которая позволяет выполнить произвольный JavaScript-код.
#News #Malware #Gremlin #Russia |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23❤7🤔6
Создатель нового инфостилера Styx Stealer случайно скомпрометировал собственный компьютер и слил в сеть свои данные, включая информацию о клиентах и прибылях, а также никнеймы, номера телефонов и адреса электронной почты.
— Styx Stealer, появившийся в апреле 2024 года, представляет собой вариацию стилера Phemedrone и способен похищать данные из браузеров, сессии Telegram и Discord, а также информацию о криптовалютных кошельках жертв.
#News #Stealer #Malware #Fail |
Please open Telegram to view this post
VIEW IN TELEGRAM
😁42👏18🔥8👍3🤔2❤1
Неизвестные развернули на Windows-системе одного из университетов Тайваня бэкдор, для атаки использовалась ранее исправленная RCE-уязвимость: CVE-2024-4577
— Напоминаем, что CVE-2024-4577 (9,8 CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.
DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера.
#News #Malware #PHP #Backdoor |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29🔥5👏4🤔2🤯2🕊1
Эксперты Positive Technologies представили исследование актуальных киберугроз СНГ за 2023 год и первую половину 2024 года
— Согласно отчету, интерес злоумышленников к региону значительно вырос: во втором квартале 2024 года здесь зафиксировано в 2,6 раза больше атак, чем годом ранее, при этом почти три четверти всех этих атак приходятся на долю России
#News #Statistics #Malware #SE |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20😁12👍11🤯9🤔1🕊1
Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S
Производитель заявил об их полной защищенности от всех известных методов взлома
Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты
— В этой автор расскажет захватывающую историю о том, как нашли бэкдор, и разберет катастрофические последствия его внедрения
Этот случай наглядно демонстрирует:
1. Рискованность слепого доверия маркетинговым заявлениям о безопасности
2. Важность независимого аудита критических систем
#Malware #Backdoor #Info |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍8😁3
В этом посте собраны ссылки на опасные вредоносные программы
Они не деактивированы и представляют реальную угрозу. Не скачивайте их, если не уверены в том, что делаете.
— Используйте для исследований только изолированные программные среды
1. theZoo: активно пополняемая коллекция вредоносных программ, собранная специально для исследователей и специалистов по кибербезопасности
2. Malware-Feed: коллекция вредоносных программ от virussamples.com
3. Malware samples: пополняемый github-репозиторий с вредоносами, к которым прилагаются упражнения по анализу вредоносного ПО
4. vx-underground: еще одна обширная и постоянно растущая коллекция бесплатных образцов вредоносных программ
5. Malshare: репозиторий, который помимо образцов малвари предлагает дополнительные данные для YARA
6. MalwareBazaar: проект, целью которого является обмен образцами вредоносного ПО с поставщиками антивирусных программ и сообществом экспертов по информационной безопасности. Поддерживает собственное API
7. VirusShare: большой репозиторий вредоносных программ с обязательной регистрацией
8. The Malware Museum: вирусы, распространявшиеся в 1980-х и 1990-х годах. Практически безобидны на фоне остальных ссылок из этого раздела и представляют скорее историческую ценность
Ссылки предоставляются исключительно в научных и образовательных целях
#Virus #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24🔥10👏4❤3
— После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде
Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена
#WordPress #Vulnerability #Malware #News #CSRF |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤3🔥2😱1
При открытии подобных файлов на устройство жертвы устанавливается зараженное трояном Mamont приложение
— Вирус может считывать push-уведомления, СМС, получать доступ к фотографиям из галереи, а также автоматически рассылать опасный файл всем контактам пользователя в Telegram
#News #Mamont #Trojan #Telegram #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
😁60👍18❤7🔥6