Злоумышленники запустили масштабную кампанию по распространению инфостилера Amatera через поддельные страницы установки Claude Code. Специалисты Push Security обнаружили 17 поддельных доменов, которые продвигаются через рекламу в Google и появляются первыми в выдаче по запросам вроде "Claude Code install". Исследователи назвали эту технику InstallFix, она работает хитрее обычного ClickFix, потому что не требует никаких придуманных предлогов. Пользователь сам хочет установить законный инструмент и добровольно копирует команду с клонированного сайта.
Атакующие создали точные копии официальной страницы Anthropic, с логотипом, документацией и рабочими ссылками. Единственное отличие спрятано внутри команды curl-to-bash (команды установки, которые копируются в терминал): вместо claude.ai она ведёт на сервер злоумышленников. На macOS команда загружает и запускает исполняемый файл через zsh, на Windows цепочка проходит через cmd.exe и mshta.exe. После выполнения страница перенаправляет жертву на настоящий сайт Claude Code, и человек продолжает работу, даже не подозревая о заражении.
Поддельные страницы размещены на реальных площадках, Cloudflare Pages, Squarespace и Tencent EdgeOne, что серьёзно усложняет их автоматическое обнаружение. По данным Jacques Louw из Push Security, четыре из пяти подобных атак приходят именно через поисковые системы, а не через электронную почту.
Amatera Stealer появился в 2025 году как улучшенная версия ACR Stealer и продаётся по подписке. Он крадёт пароли, файлы cookie, токены сеансов и данные криптокошельков, используя для обхода защиты прямые NTSockets, WoW64 Syscalls и маскировку трафика под реальные CDN. Это уже четвёртая волна атак на экосистему Claude за последние три месяца, ранее фиксировались случаи с вредоносными объектами на официальном домене claude.ai, заражёнными npm-пакетами и поддельными установщиками через Bing AI Search.
Устанавливайте Claude Code только с официального сайта claude.ai/code или через проверенный npm-пакет, и обязательно проверяйте URL внутри команд curl-to-bash перед их выполнением.
Hacker's TOYS
Атакующие создали точные копии официальной страницы Anthropic, с логотипом, документацией и рабочими ссылками. Единственное отличие спрятано внутри команды curl-to-bash (команды установки, которые копируются в терминал): вместо claude.ai она ведёт на сервер злоумышленников. На macOS команда загружает и запускает исполняемый файл через zsh, на Windows цепочка проходит через cmd.exe и mshta.exe. После выполнения страница перенаправляет жертву на настоящий сайт Claude Code, и человек продолжает работу, даже не подозревая о заражении.
Поддельные страницы размещены на реальных площадках, Cloudflare Pages, Squarespace и Tencent EdgeOne, что серьёзно усложняет их автоматическое обнаружение. По данным Jacques Louw из Push Security, четыре из пяти подобных атак приходят именно через поисковые системы, а не через электронную почту.
Amatera Stealer появился в 2025 году как улучшенная версия ACR Stealer и продаётся по подписке. Он крадёт пароли, файлы cookie, токены сеансов и данные криптокошельков, используя для обхода защиты прямые NTSockets, WoW64 Syscalls и маскировку трафика под реальные CDN. Это уже четвёртая волна атак на экосистему Claude за последние три месяца, ранее фиксировались случаи с вредоносными объектами на официальном домене claude.ai, заражёнными npm-пакетами и поддельными установщиками через Bing AI Search.
Устанавливайте Claude Code только с официального сайта claude.ai/code или через проверенный npm-пакет, и обязательно проверяйте URL внутри команд curl-to-bash перед их выполнением.
Hacker's TOYS
🔥13❤6👍2👾1
Открытый проект RuView превратил обычные сигналы Wi-Fi в систему наблюдения через стены. В феврале 2026 года репозиторий попал в топ GitHub, набрав больше 31 тысячи звёзд. Для работы достаточно четырёх-шести микроконтроллеров ESP32-S3, которые вместе стоят всего $54. Никаких камер, облачных сервисов или подключения к интернету.
Технология основана на анализе Channel State Information, подробных данных о том, как радиоволны рассеиваются от человеческого тела. Обычный показатель силы сигнала RSSI здесь бесполезен. CSI учитывает амплитуду и фазу по десяткам поднесущих частот одновременно, что даёт гораздо более точную картину. Нейросеть переводит эти изменения в семнадцать ключевых точек человеческого скелета по формату COCO, тому же стандарту, что используют системы компьютерного зрения. Код на Rust обрабатывает 54 тысячи кадров в секунду.
Система видит сквозь стены на расстоянии до восьми метров при использовании нескольких узлов, распознаёт от трёх до пяти человек одновременно и даже фиксирует дыхание и пульс. Научная основа была заложена исследователями из Университета Карнеги-Меллона ещё в 2022 году, их статья показала точность 87,2%, сравнимую с видеокамерами. Но тогда это был лабораторный эксперимент.
RuView делает технологию доступной каждому. Docker-контейнер запускается за полминуты, прошивка для микроконтроллеров находится в открытом доступе. MIT показывал похожую систему RF-Pose ещё в 2018-м, но она требовала дорогого оборудования. Теперь те же возможности умещаются в платы по девять долларов с AliExpress.
Авторы представляют проект как инструмент для мониторинга здоровья и спасательных операций в задымлённых помещениях. Но те же сигналы проходят сквозь гипсокартон, дерево и тридцатисантиметровый бетон. Технически любой человек с базовыми навыками может за $54 собрать систему скрытого наблюдения за передвижениями людей внутри здания.
Hacker's TOYS
Технология основана на анализе Channel State Information, подробных данных о том, как радиоволны рассеиваются от человеческого тела. Обычный показатель силы сигнала RSSI здесь бесполезен. CSI учитывает амплитуду и фазу по десяткам поднесущих частот одновременно, что даёт гораздо более точную картину. Нейросеть переводит эти изменения в семнадцать ключевых точек человеческого скелета по формату COCO, тому же стандарту, что используют системы компьютерного зрения. Код на Rust обрабатывает 54 тысячи кадров в секунду.
Система видит сквозь стены на расстоянии до восьми метров при использовании нескольких узлов, распознаёт от трёх до пяти человек одновременно и даже фиксирует дыхание и пульс. Научная основа была заложена исследователями из Университета Карнеги-Меллона ещё в 2022 году, их статья показала точность 87,2%, сравнимую с видеокамерами. Но тогда это был лабораторный эксперимент.
RuView делает технологию доступной каждому. Docker-контейнер запускается за полминуты, прошивка для микроконтроллеров находится в открытом доступе. MIT показывал похожую систему RF-Pose ещё в 2018-м, но она требовала дорогого оборудования. Теперь те же возможности умещаются в платы по девять долларов с AliExpress.
Авторы представляют проект как инструмент для мониторинга здоровья и спасательных операций в задымлённых помещениях. Но те же сигналы проходят сквозь гипсокартон, дерево и тридцатисантиметровый бетон. Технически любой человек с базовыми навыками может за $54 собрать систему скрытого наблюдения за передвижениями людей внутри здания.
Hacker's TOYS
🔥21👍6❤4👾1
Большие языковые модели научились деанонимизировать множество аккаунтов в соцсетях. Исследователи из ETH Zurich и Anthropic показали это в феврале этого года на примере Hacker News и LinkedIn. ИИ-агент правильно связал 226 из 338 анонимных профилей с реальными людьми, выбирая из списка в 89 тысяч кандидатов. Стоимость одной идентификации — меньше четырёх долларов.
Сначала модель читает посты анонимного пользователя и извлекает биографические детали, город, профессию, интересы, даже кличку собаки или любимый парк. Потом система преобразует профили всех кандидатов в векторные представления и отбирает сотню самых похожих. На финальном этапе другая LLM сверяет совпадения по каждой детали и выдаёт оценку достоверности.
Точность достигла 90%, полнота, 67%. Агент ошибся 25 раз и в 86 случаях воздержался от идентификации. Весь эксперимент обошёлся меньше чем в две тысячи долларов.
Даниэль Палека из ETH Zurich отметил, что удивительно, как мало информации нужно, чтобы связать два аккаунта. Каждый шаг атаки по отдельности выглядит безобидно, и именно поэтому её трудно обнаружить и заблокировать.
Интересно, что Anthropic, один из разработчиков передовых языковых моделей, участвовала в исследовании. Компания предоставила серию анонимизированных интервью со 125 учёными. Несмотря на предварительную очистку от имён и идентификаторов, агент раскрыл девять человек.
С ростом списка кандидатов точность падает, но плавно. На списке в тысячу человек агент дал 68% при той же точности, на 89 тысячах, 55%. Авторы считают, что с улучшением моделей метод останется работоспособным даже на сотнях миллионов пользователей.
Палека добавил, что с каждым новым поколением моделей деанонимизация работает лучше, но разработчики могут замедлить процесс, если научат модели отказывать в таких запросах.
Hacker's TOYS
Сначала модель читает посты анонимного пользователя и извлекает биографические детали, город, профессию, интересы, даже кличку собаки или любимый парк. Потом система преобразует профили всех кандидатов в векторные представления и отбирает сотню самых похожих. На финальном этапе другая LLM сверяет совпадения по каждой детали и выдаёт оценку достоверности.
Точность достигла 90%, полнота, 67%. Агент ошибся 25 раз и в 86 случаях воздержался от идентификации. Весь эксперимент обошёлся меньше чем в две тысячи долларов.
Даниэль Палека из ETH Zurich отметил, что удивительно, как мало информации нужно, чтобы связать два аккаунта. Каждый шаг атаки по отдельности выглядит безобидно, и именно поэтому её трудно обнаружить и заблокировать.
Интересно, что Anthropic, один из разработчиков передовых языковых моделей, участвовала в исследовании. Компания предоставила серию анонимизированных интервью со 125 учёными. Несмотря на предварительную очистку от имён и идентификаторов, агент раскрыл девять человек.
С ростом списка кандидатов точность падает, но плавно. На списке в тысячу человек агент дал 68% при той же точности, на 89 тысячах, 55%. Авторы считают, что с улучшением моделей метод останется работоспособным даже на сотнях миллионов пользователей.
Палека добавил, что с каждым новым поколением моделей деанонимизация работает лучше, но разработчики могут замедлить процесс, если научат модели отказывать в таких запросах.
Hacker's TOYS
🔥16🤯3👾1
Предположительно, русскоязычные хакеры запустили кампанию BlackSanta, нацеленную на HR-специалистов через поддельные резюме. Исследователи из Aryaka обнаружили, что группировка действует больше года и использует изощрённую схему.
Атака начинается с безобидного письма со ссылкой на облачное хранилище вроде Dropbox. Там лежит ISO-образ, замаскированный под резюме кандидата. Когда HR-специалист открывает файл, запускается вредоносный ярлык, активирующий скрытые команды PowerShell. Вредоносный код прячется внутри обычной картинки через стеганографию, антивирусы не замечают угрозы в графическом файле.
Но самое опасное начинается дальше. Вредонос проверяет окружение: если обнаруживает виртуальную машину или песочницу аналитиков, притворяется безвредным. На реальной системе он разворачивает главный компонент, BlackSanta, который работает через приём BYOVD. Загружает старый подписанный драйвер с уязвимостью и через него получает доступ к ядру Windows.
Затем BlackSanta методично выключает антивирусы, отключает системы защиты EDR, ослабляет Defender и подавляет журналирование событий. Поскольку драйвер официально подписан, защитное ПО не видит в нём угрозы. После этого злоумышленники собирают криптокошельки и персональные данные, отправляя всё по зашифрованному каналу.
Эксперты Aryaka отмечают, что за кампанией стоит опытный противник. Он искусно сочетает социальную инженерию, штатные средства операционной системы и действия на уровне ядра. Приём BYOVD набирает популярность, подобные техники использовали группировки RansomHub и другие. BlackSanta отличается от предыдущих атак через поддельные резюме: он сочетает атаку на HR-отдел с глубоким отключением защиты на уровне ядра системы.
Hacker's TOYS
Атака начинается с безобидного письма со ссылкой на облачное хранилище вроде Dropbox. Там лежит ISO-образ, замаскированный под резюме кандидата. Когда HR-специалист открывает файл, запускается вредоносный ярлык, активирующий скрытые команды PowerShell. Вредоносный код прячется внутри обычной картинки через стеганографию, антивирусы не замечают угрозы в графическом файле.
Но самое опасное начинается дальше. Вредонос проверяет окружение: если обнаруживает виртуальную машину или песочницу аналитиков, притворяется безвредным. На реальной системе он разворачивает главный компонент, BlackSanta, который работает через приём BYOVD. Загружает старый подписанный драйвер с уязвимостью и через него получает доступ к ядру Windows.
Затем BlackSanta методично выключает антивирусы, отключает системы защиты EDR, ослабляет Defender и подавляет журналирование событий. Поскольку драйвер официально подписан, защитное ПО не видит в нём угрозы. После этого злоумышленники собирают криптокошельки и персональные данные, отправляя всё по зашифрованному каналу.
Эксперты Aryaka отмечают, что за кампанией стоит опытный противник. Он искусно сочетает социальную инженерию, штатные средства операционной системы и действия на уровне ядра. Приём BYOVD набирает популярность, подобные техники использовали группировки RansomHub и другие. BlackSanta отличается от предыдущих атак через поддельные резюме: он сочетает атаку на HR-отдел с глубоким отключением защиты на уровне ядра системы.
Hacker's TOYS
👍19🔥13❤6🤯2👾1
Forwarded from AnonHaven
893 миллиона фишинговых попыток за 2024 год, более половины скрыты за короткими ссылками. Пошаговый алгоритм проверки, обзор 15 бесплатных инструментов и объяснение, почему наведение курсора на ссылку больше не спасает.
https://anonhaven.com/bezopasnoe-otkrytie-korotkih-ssylok-rukovodstvo/
@Anonhaven | anonhaven.com
https://anonhaven.com/bezopasnoe-otkrytie-korotkih-ssylok-rukovodstvo/
@Anonhaven | anonhaven.com
🔥11❤5👾1
Команда Donjon из Ledger взломала смартфон Nothing CMF Phone 1 за 45 секунд, использовав атаку электромагнитной инъекции ошибок на процессор MediaTek Dimensity 7300. Через катушку рядом с чипом пропустили мощный импульс тока в момент загрузки, что сбило выполнение инструкций процессора и позволило обойти защиту памяти. Добившись привилегий уровня EL3, исследователи восстановили PIN, расшифровали хранилище и извлекли сид-фразы из шести криптокошельков, Trust Wallet, Kraken Wallet, Phantom, Base, Rabby и Tangem.
Уязвимость CVE-2026-20435 находится в Boot ROM процессора, коде, зашитом в кремний на этапе производства. Программным обновлением её полностью устранить невозможно. MediaTek выпустила патч в январе, но он лишь затрудняет эксплуатацию, не устраняя аппаратный дефект. Проблема затрагивает десятки моделей: Motorola Edge 50 Neo и Edge 60, POCO X7, Redmi Note 14 Pro 5G, Oppo Reno12, Realme 14 Pro, Vivo V40e и криптосмартфон Solana Seeker. По оценке Cryptika, под угрозой до 25% Android-устройств на чипах MediaTek с TEE от Trustonic, а процессоры MediaTek стоят примерно в 34% всех смартфонов в мире.
Для атаки нужен физический доступ, смартфон разбирают, достают плату с процессором и подключают к лабораторному оборудованию. Одна попытка занимает секунду, вероятность успеха от 0,1% до 1%, но автоматическое повторение даёт результат за несколько минут. MediaTek оценила уязвимость как «среднюю» и заявила, что EMFI-атаки не учитываются в модели безопасности чипа для массовой электроники. Компании не известно о случаях эксплуатации в реальных атаках, но Ledger подчёркивает: для защиты криптографических ключей обычные смартфоны непригодны, нужны аппаратные кошельки с защищёнными элементами.
Hacker's TOYS
Уязвимость CVE-2026-20435 находится в Boot ROM процессора, коде, зашитом в кремний на этапе производства. Программным обновлением её полностью устранить невозможно. MediaTek выпустила патч в январе, но он лишь затрудняет эксплуатацию, не устраняя аппаратный дефект. Проблема затрагивает десятки моделей: Motorola Edge 50 Neo и Edge 60, POCO X7, Redmi Note 14 Pro 5G, Oppo Reno12, Realme 14 Pro, Vivo V40e и криптосмартфон Solana Seeker. По оценке Cryptika, под угрозой до 25% Android-устройств на чипах MediaTek с TEE от Trustonic, а процессоры MediaTek стоят примерно в 34% всех смартфонов в мире.
Для атаки нужен физический доступ, смартфон разбирают, достают плату с процессором и подключают к лабораторному оборудованию. Одна попытка занимает секунду, вероятность успеха от 0,1% до 1%, но автоматическое повторение даёт результат за несколько минут. MediaTek оценила уязвимость как «среднюю» и заявила, что EMFI-атаки не учитываются в модели безопасности чипа для массовой электроники. Компании не известно о случаях эксплуатации в реальных атаках, но Ledger подчёркивает: для защиты криптографических ключей обычные смартфоны непригодны, нужны аппаратные кошельки с защищёнными элементами.
Hacker's TOYS
🔥16❤5👍2🤯1👾1
Google выпустила экстренный патч для Chrome 13 марта. Обе уязвимости уже эксплуатируются в реальных атаках, детали не раскрывают, чтобы не дать другим хакерам воспроизвести эксплойты до массовой установки обновления.
CVE-2026-3909 бьёт по Skia, библиотеке, которая отрисовывает весь визуальный контент браузера. Ошибка типа out-of-bounds write позволяет через подготовленную HTML-страницу исказить память и запустить произвольный код. CVE-2026-3910 нашли в V8, движке JavaScript. Такие баги открывают злоумышленникам плацдарм внутри песочницы Chrome, а в связке с другими уязвимостями, доступ к операционной системе.
Обе CVE обнаружила сама Google 10 марта, патч вышел через 48 часов. Компания подтвердила активную эксплуатацию, но не раскрыла масштаб и заказчиков атак. Обычно такие 0-day оказываются на вооружении коммерческих производителей шпионского ПО, работающих на государственные структуры. Группа Google TAG в 2025 году раскрыла большинство из восьми 0-day в Chrome, все они использовались для целевой слежки.
Это уже второй и третий 0-day в Chrome за 2026-й. В феврале Google закрыла CVE-2026-2441 (use-after-free в CSSFontFeatureValuesMap), тоже эксплуатируемую через вредоносные страницы. Обновлённые версии: 146.0.7680.75 для Windows/Linux, 146.0.7680.76 для macOS. Установить можно вручную через меню «Справка» → «О браузере». Пользователям Edge, Brave, Opera и Vivaldi стоит проверить патчи от своих вендоров, все они построены на том же движке Chromium.
Hacker's TOYS
CVE-2026-3909 бьёт по Skia, библиотеке, которая отрисовывает весь визуальный контент браузера. Ошибка типа out-of-bounds write позволяет через подготовленную HTML-страницу исказить память и запустить произвольный код. CVE-2026-3910 нашли в V8, движке JavaScript. Такие баги открывают злоумышленникам плацдарм внутри песочницы Chrome, а в связке с другими уязвимостями, доступ к операционной системе.
Обе CVE обнаружила сама Google 10 марта, патч вышел через 48 часов. Компания подтвердила активную эксплуатацию, но не раскрыла масштаб и заказчиков атак. Обычно такие 0-day оказываются на вооружении коммерческих производителей шпионского ПО, работающих на государственные структуры. Группа Google TAG в 2025 году раскрыла большинство из восьми 0-day в Chrome, все они использовались для целевой слежки.
Это уже второй и третий 0-day в Chrome за 2026-й. В феврале Google закрыла CVE-2026-2441 (use-after-free в CSSFontFeatureValuesMap), тоже эксплуатируемую через вредоносные страницы. Обновлённые версии: 146.0.7680.75 для Windows/Linux, 146.0.7680.76 для macOS. Установить можно вручную через меню «Справка» → «О браузере». Пользователям Edge, Brave, Opera и Vivaldi стоит проверить патчи от своих вендоров, все они построены на том же движке Chromium.
Hacker's TOYS
👍8🔥6❤1👾1
Forwarded from AnonHaven
13 марта в базу CVE добавили 124 новые уязвимости, и 67 из них касаются корпоративных продуктов и SOHO-оборудования. Три получили критический балл по CVSS от 9.1 до 9.8. Рекордсмен дня, Veeam с четырьмя уязвимостями, две из которых критические.
Самая опасная, CVE-2024-40711 с оценкой 9.8. Это уязвимость десериализации в Veeam Backup & Replication, которая позволяет выполнить код на сервере вообще без аутентификации. Нашёл её Флориан Хаузер из CODE WHITE ещё в сентябре 2024-го, патч вышел в декабре. Но с октября прошлого года её активно используют группировки Akira, Fog и Frag, они создают через неё админские учётки на серверах жертв. CISA добавила CVE-2024-40711 в каталог эксплуатируемых уязвимостей KEV ещё 17 октября 2024-го.
Ещё три уязвимости в Veeam менее критичны, но тоже неприятны: CVE-2026-21671 (балл 9.1) даёт удалённое выполнение кода администратору резервного копирования, CVE-2025-23120 (8.8) открывает RCE для доменных пользователей, а CVE-2026-21672 (8.8) позволяет локально повысить привилегии на Windows-серверах.
Из нетипичного, CVE-2026-32251 в платформе локализации Tolgee. Это XXE-инъекция через импорт переводов с баллом 9.3. XML-парсеры не отключают внешние сущности, и злоумышленник может читать файлы с сервера и делать SSRF-запросы. Патч есть в версии 3.166.3.
Домашние сети тоже под ударом: в популярном 4G-роутере TP-Link TL-MR6400 v5.3 нашли инъекцию команд через Telnet (CVE-2026-3841, балл 8.5). Злоумышленник с сетевым доступом может выполнить что угодно на устройстве.
@Anonhaven | anonhaven.com
Самая опасная, CVE-2024-40711 с оценкой 9.8. Это уязвимость десериализации в Veeam Backup & Replication, которая позволяет выполнить код на сервере вообще без аутентификации. Нашёл её Флориан Хаузер из CODE WHITE ещё в сентябре 2024-го, патч вышел в декабре. Но с октября прошлого года её активно используют группировки Akira, Fog и Frag, они создают через неё админские учётки на серверах жертв. CISA добавила CVE-2024-40711 в каталог эксплуатируемых уязвимостей KEV ещё 17 октября 2024-го.
Ещё три уязвимости в Veeam менее критичны, но тоже неприятны: CVE-2026-21671 (балл 9.1) даёт удалённое выполнение кода администратору резервного копирования, CVE-2025-23120 (8.8) открывает RCE для доменных пользователей, а CVE-2026-21672 (8.8) позволяет локально повысить привилегии на Windows-серверах.
Из нетипичного, CVE-2026-32251 в платформе локализации Tolgee. Это XXE-инъекция через импорт переводов с баллом 9.3. XML-парсеры не отключают внешние сущности, и злоумышленник может читать файлы с сервера и делать SSRF-запросы. Патч есть в версии 3.166.3.
Домашние сети тоже под ударом: в популярном 4G-роутере TP-Link TL-MR6400 v5.3 нашли инъекцию команд через Telnet (CVE-2026-3841, балл 8.5). Злоумышленник с сетевым доступом может выполнить что угодно на устройстве.
@Anonhaven | anonhaven.com
1❤6👍6🔥3👾1
11 марта 2026 года ФБР, Европол и правоохранительные органы восьми стран закрыли SocksEscort, криминальный прокси-сервис, который семнадцать лет обеспечивал анонимный доступ через заражённые домашние роутеры. Операция Lightning изъяла 34 домена, 23 сервера и заморозила $3,5 млн в криптовалюте. Скомпрометированы были 369 000 устройств в 163 странах, а клиентская база насчитывала 124 000 пользователей.
Сервис начинался с продажи доступа к заражённым компьютерам в 2009 году, но с лета 2020 перешёл на использование ботнета AVrecon. Этот зловред, написанный на C под архитектуры MIPS и ARM, использовал уязвимости удалённого выполнения кода примерно в 1 200 моделях роутеров от Cisco, D-Link, Netgear, TP-Link, Zyxel и других производителей. Особенность AVrecon, исключительная живучесть. Злоумышленники прошивали модифицированную прошивку со встроенной копией малвари и отключали штатные механизмы обновления, из-за чего даже заводской сброс не помогал. Если прошивка оставалась оригинальной, C2-серверы заражали устройство заново через те же уязвимости после каждой перезагрузки.
В декабре 2025 года платформа предлагала 35 900 анонимных IP из 102 стран. Тарифы начинались от $15 за 30 адресов в месяц и доходили до $200 за 5 000. Платежи принимались только в криптовалюте, а Europol оценивает общий оборот в €5 млн.
Europol связывает инфраструктуру с ransomware-атаками, DDoS и распространением материалов насилия над детьми. Black Lotus Labs из Lumen Technologies отслеживала ботнет с 2023 года и называла его «созданным специально для преступников». Пик активности был зафиксирован в январе 2025, более 15 000 заражений в сутки. В июле 2023 года исследователи впервые публично описали AVrecon и заблокировали C2-инфраструктуру внутри сети Lumen, но злоумышленники восстановили работу через 15 новых узлов. На этот раз правоохранительные органы физически изъяли серверы в семи странах, что делает восстановление значительно сложнее.
Расследование SocksEscort продолжается, изъятые серверы дадут дополнительные доказательства для преследования клиентов сервиса.
Hacker's TOYS
Сервис начинался с продажи доступа к заражённым компьютерам в 2009 году, но с лета 2020 перешёл на использование ботнета AVrecon. Этот зловред, написанный на C под архитектуры MIPS и ARM, использовал уязвимости удалённого выполнения кода примерно в 1 200 моделях роутеров от Cisco, D-Link, Netgear, TP-Link, Zyxel и других производителей. Особенность AVrecon, исключительная живучесть. Злоумышленники прошивали модифицированную прошивку со встроенной копией малвари и отключали штатные механизмы обновления, из-за чего даже заводской сброс не помогал. Если прошивка оставалась оригинальной, C2-серверы заражали устройство заново через те же уязвимости после каждой перезагрузки.
В декабре 2025 года платформа предлагала 35 900 анонимных IP из 102 стран. Тарифы начинались от $15 за 30 адресов в месяц и доходили до $200 за 5 000. Платежи принимались только в криптовалюте, а Europol оценивает общий оборот в €5 млн.
Киберпреступность процветает благодаря анонимности, Катрин Де Болль, исполнительный директор Europol.
Europol связывает инфраструктуру с ransomware-атаками, DDoS и распространением материалов насилия над детьми. Black Lotus Labs из Lumen Technologies отслеживала ботнет с 2023 года и называла его «созданным специально для преступников». Пик активности был зафиксирован в январе 2025, более 15 000 заражений в сутки. В июле 2023 года исследователи впервые публично описали AVrecon и заблокировали C2-инфраструктуру внутри сети Lumen, но злоумышленники восстановили работу через 15 новых узлов. На этот раз правоохранительные органы физически изъяли серверы в семи странах, что делает восстановление значительно сложнее.
Расследование SocksEscort продолжается, изъятые серверы дадут дополнительные доказательства для преследования клиентов сервиса.
Hacker's TOYS
🔥18❤8👍1🤔1👾1
Google установила новый рекорд по выплатам исследователям безопасности в 2025 году, $17,1 миллиона для 747 специалистов по всему миру. Это на 40% больше, чем годом ранее, и самая высокая сумма за 15 лет существования программы Vulnerability Reward Program.
Больше всего заработали исследователи в трех направлениях. Chrome VRP выплатил $3,7 миллиона более чем 100 участникам. Максимальная награда за единичную находку достигла $250 000 за демонстрацию полной цепочки выхода из песочницы. Лидер общего рейтинга за год заработал $811 000.
Google Cloud VRP за первый полный год работы распределил $3,5 миллиона между 143 исследователями, которые подали 1 774 отчета. Компания отметила, что часть из них привела к значительным архитектурным изменениям в нескольких продуктах Google Cloud. На Android и устройства Google пришлось более $2,9 миллиона.
Особенно значима новая программа AI VRP, запущенная в октябре 2025 года. Google открыто признала, что обеспечение безопасности продуктов генеративного ИИ требует специализированных исследований, отличных от традиционных подходов к поиску уязвимостей. За неполный год в этой области выплатили $350 000, а суммарно по уязвимостям в ИИ-продуктах, $890 000. Внедрение инструкций и обход ограничений вынесены за рамки программы.
Средняя выплата составила около $22 900 на исследователя, но распределение крайне неравномерное. Google за тот же 2025 год зафиксировала 90 эксплуатируемых уязвимостей нулевого дня, что показывает актуальность программы. Интересно, что суммы вознаграждений растут быстрее числа участников, в 2023-м компания выплатила $10 миллионов 632 исследователям, в 2024-м $11,8 миллиона 660 специалистам, а в 2025-м $17,1 миллиона 747 участникам.
С момента запуска VRP в 2010 году Google суммарно выплатила $81,6 миллиона. В 2026 году компания планирует новые bugSWAT-мероприятия и конференцию по безопасности ESCAL8.
Hacker's TOYS
Больше всего заработали исследователи в трех направлениях. Chrome VRP выплатил $3,7 миллиона более чем 100 участникам. Максимальная награда за единичную находку достигла $250 000 за демонстрацию полной цепочки выхода из песочницы. Лидер общего рейтинга за год заработал $811 000.
Google Cloud VRP за первый полный год работы распределил $3,5 миллиона между 143 исследователями, которые подали 1 774 отчета. Компания отметила, что часть из них привела к значительным архитектурным изменениям в нескольких продуктах Google Cloud. На Android и устройства Google пришлось более $2,9 миллиона.
Особенно значима новая программа AI VRP, запущенная в октябре 2025 года. Google открыто признала, что обеспечение безопасности продуктов генеративного ИИ требует специализированных исследований, отличных от традиционных подходов к поиску уязвимостей. За неполный год в этой области выплатили $350 000, а суммарно по уязвимостям в ИИ-продуктах, $890 000. Внедрение инструкций и обход ограничений вынесены за рамки программы.
Средняя выплата составила около $22 900 на исследователя, но распределение крайне неравномерное. Google за тот же 2025 год зафиксировала 90 эксплуатируемых уязвимостей нулевого дня, что показывает актуальность программы. Интересно, что суммы вознаграждений растут быстрее числа участников, в 2023-м компания выплатила $10 миллионов 632 исследователям, в 2024-м $11,8 миллиона 660 специалистам, а в 2025-м $17,1 миллиона 747 участникам.
С момента запуска VRP в 2010 году Google суммарно выплатила $81,6 миллиона. В 2026 году компания планирует новые bugSWAT-мероприятия и конференцию по безопасности ESCAL8.
Hacker's TOYS
🔥9👍2❤1🌚1
С ноября 2025 по февраль 2026 года macOS столкнулась с тремя волнами атак ClickFix, распространявших инфостилер MacSync. Злоумышленники продвигали поддельные установщики ИИ-приложений через платную рекламу Google, и Sophos зафиксировала более 50 000 переходов на вредоносные страницы в первые дни каждой волны.
ClickFix работает без эксплойтов, злоумышленник просто создаёт повод открыть терминал и вставить замаскированную команду. Первая волна рекламировала поддельный OpenAI Atlas browser через Google Ads, вторая использовала общие диалоги ChatGPT с инструкциями по очистке Mac. Третья волна в феврале применила новый вариант MacSync с загрузчиками на AppleScript, которые выполняются целиком в памяти и крадут учётные данные, связки ключей и seed-фразы криптокошельков.
Push Security ввела термин InstallFix для параллельной тактики: поддельные страницы загрузки реальных продуктов вроде Claude Code на Cloudflare Pages и Squarespace. Пользователь сам хочет установить программу, что устраняет необходимость в поддельных CAPTCHA или системных уведомлениях.
ClickFix уже проник в корпоративные сети. В декабре 2025 года Sophos задокументировала первую известную цепочку от ClickFix до программы-вымогателя Qilin через украденные VPN-учётные данные. Sophos прямо предупредила: FIDO2-аутентификация не защищает от ClickFix, потому что метод работает на уровне конечного устройства.
Главная проблема в том, что curl | sh стал стандартом установки для Homebrew, Rust и nvm. Целое поколение разработчиков привыкло вставлять команды в терминал, не читая их. ClickFix использует именно эту привычку.
Hacker's TOYS
ClickFix работает без эксплойтов, злоумышленник просто создаёт повод открыть терминал и вставить замаскированную команду. Первая волна рекламировала поддельный OpenAI Atlas browser через Google Ads, вторая использовала общие диалоги ChatGPT с инструкциями по очистке Mac. Третья волна в феврале применила новый вариант MacSync с загрузчиками на AppleScript, которые выполняются целиком в памяти и крадут учётные данные, связки ключей и seed-фразы криптокошельков.
Push Security ввела термин InstallFix для параллельной тактики: поддельные страницы загрузки реальных продуктов вроде Claude Code на Cloudflare Pages и Squarespace. Пользователь сам хочет установить программу, что устраняет необходимость в поддельных CAPTCHA или системных уведомлениях.
ClickFix уже проник в корпоративные сети. В декабре 2025 года Sophos задокументировала первую известную цепочку от ClickFix до программы-вымогателя Qilin через украденные VPN-учётные данные. Sophos прямо предупредила: FIDO2-аутентификация не защищает от ClickFix, потому что метод работает на уровне конечного устройства.
Главная проблема в том, что curl | sh стал стандартом установки для Homebrew, Rust и nvm. Целое поколение разработчиков привыкло вставлять команды в терминал, не читая их. ClickFix использует именно эту привычку.
Hacker's TOYS
🔥8❤2👍2
Forwarded from CyberYozh
Ethereum Foundation подняла багбаунти до $1 000 000, и это теперь не акция, а постоянный максимум. В 2021-м баг в Geth расколол больше половины узлов сети. Тогда за такое не платили и близко к миллиону. Сейчас платят. Постоянно. Не две недели перед обновлением, как было с The Merge, а каждый день. Фредрик Свантес из Ethereum Foundation подтвердил: это новая базовая ставка.
Условия жёсткие, уязвимость должна затрагивать 50%+ валидаторов, давать бесконтрольную эмиссию ETH или обрушивать всю сеть одной транзакцией. Всё остальное, до $50 000. Выплаты в ETH или DAI.
В новости все разобрано подробно, кто в рейтинге исследователей, какие клиенты покрыты, как это вписывается в DAO Security Fund на $220 млн.
И да, если после таких новостей вы ловите себя на мысли «а я бы смог?», то ответ зависит от фундамента. Аудит протоколов Layer 1 начинается не с блокчейна, а с Linux, сетей, умения ломать и защищать инфраструктуру. У нас есть курс который как раз даёт эту базу за 12 месяцев, от пентеста до SOC. Не обещаем, что после курса вы заберёте миллион у Бутерина и заставите его плакать. Но без этого фундамента забрать его точно не получится.
Попробую забрать!👉
Условия жёсткие, уязвимость должна затрагивать 50%+ валидаторов, давать бесконтрольную эмиссию ETH или обрушивать всю сеть одной транзакцией. Всё остальное, до $50 000. Выплаты в ETH или DAI.
В новости все разобрано подробно, кто в рейтинге исследователей, какие клиенты покрыты, как это вписывается в DAO Security Fund на $220 млн.
И да, если после таких новостей вы ловите себя на мысли «а я бы смог?», то ответ зависит от фундамента. Аудит протоколов Layer 1 начинается не с блокчейна, а с Linux, сетей, умения ломать и защищать инфраструктуру. У нас есть курс который как раз даёт эту базу за 12 месяцев, от пентеста до SOC. Не обещаем, что после курса вы заберёте миллион у Бутерина и заставите его плакать. Но без этого фундамента забрать его точно не получится.
Попробую забрать!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤2👎2😁2
В каждом iPhone с iOS 15.2 и новее спрятан журнал, который фиксирует все обращения приложений к камере, микрофону, местоположению, контактам и фотографиям за последние семь дней. Функция называется «Отчёт о конфиденциальности приложений» и по умолчанию выключена, данные начинают собираться только после активации.
Включить отчёт можно в «Настройки» → «Конфиденциальность и безопасность» → «Отчёт о конфиденциальности приложений». Первые записи появятся через день-два, полная картина сложится через неделю. Все данные хранятся только на устройстве в зашифрованном виде, Apple их не получает.
Самый важный раздел показывает, какое приложение, когда и сколько раз обращалось к датчикам. Можно нажать на каждую строку и увидеть точное время всех обращений. Второй раздел отображает сетевую активность, к каким доменам обращались приложения.
Стоит насторожиться, если калькулятор запрашивает местоположение, игра обращается к контактам десятки раз в день, а камера активна ночью, когда телефон лежал без дела.
Если приложение вызывает подозрения, разрешение можно отозвать в настройках конфиденциальности. Программа продолжит работать, но потеряет доступ к датчику. В крайнем случае приложение можно удалить, предварительно сохранив скриншот отчёта.
iOS также показывает активность датчиков в реальном времени: зелёная точка в правом верхнем углу означает работу камеры, оранжевая, микрофона. Индикаторы появились в iOS 14 и работают для всех приложений.
Для экстренных ситуаций в разделе «Конфиденциальность и безопасность» есть функция «Проверка безопасности» (iOS 16 и новее). Кнопка «Экстренный сброс» мгновенно отзывает все разрешения и прекращает передачу данных о местоположении.
Hacker's TOYS
Включить отчёт можно в «Настройки» → «Конфиденциальность и безопасность» → «Отчёт о конфиденциальности приложений». Первые записи появятся через день-два, полная картина сложится через неделю. Все данные хранятся только на устройстве в зашифрованном виде, Apple их не получает.
Самый важный раздел показывает, какое приложение, когда и сколько раз обращалось к датчикам. Можно нажать на каждую строку и увидеть точное время всех обращений. Второй раздел отображает сетевую активность, к каким доменам обращались приложения.
Стоит насторожиться, если калькулятор запрашивает местоположение, игра обращается к контактам десятки раз в день, а камера активна ночью, когда телефон лежал без дела.
Если приложение вызывает подозрения, разрешение можно отозвать в настройках конфиденциальности. Программа продолжит работать, но потеряет доступ к датчику. В крайнем случае приложение можно удалить, предварительно сохранив скриншот отчёта.
iOS также показывает активность датчиков в реальном времени: зелёная точка в правом верхнем углу означает работу камеры, оранжевая, микрофона. Индикаторы появились в iOS 14 и работают для всех приложений.
Для экстренных ситуаций в разделе «Конфиденциальность и безопасность» есть функция «Проверка безопасности» (iOS 16 и новее). Кнопка «Экстренный сброс» мгновенно отзывает все разрешения и прекращает передачу данных о местоположении.
Hacker's TOYS
🔥16👍7❤3
This media is not supported in your browser
VIEW IN TELEGRAM
Энтузиаст запустил культовую игру Doom на цифровом тесте на беременность. Он разобрал устройство и подключил его к внешнему оборудованию, которое обрабатывает игру, маленький экран теста просто отображает изображение.
Эксперимент быстро стал вирусным и пополнил длинный список устройств, на которых умельцы запускают Doom.
Hacker's TOYS
Эксперимент быстро стал вирусным и пополнил длинный список устройств, на которых умельцы запускают Doom.
Hacker's TOYS
😁21🔥3👎1🥱1
В британском реестре компаний Companies House обнаружили серьёзную уязвимость, которая пять месяцев позволяла любому авторизованному пользователю получать доступ к конфиденциальным данным чужих компаний. Под угрозой оказались записи до пяти миллионов британских бизнесов, злоумышленники могли видеть домашние адреса директоров, даты рождения и электронную почту.
Проблема оказалась почти банальной, после обновления в октябре 2025 года система WebFiling проверяла только сам факт входа в систему, но не права доступа к конкретным компаниям. Эксплуатация была примитивной, достаточно было начать подачу документов за другую фирму, ввести её регистрационный номер, получить запрос двухфакторной аутентификации и просто несколько раз нажать кнопку «назад» в браузере. После этого система открывала панель управления чужой компании.
Хуже того, можно было не только смотреть, но и менять данные. Тестовая попытка изменить юридический адрес сработала, а подтверждение пришло на почту постороннего человека, а не реального владельца. Как отметил основатель Tax Policy Associates Дэн Нейдл, этих данных достаточно для серьёзного мошенничества, злоумышленники могли выдавать себя за компанию и открывать банковские счета от её имени.
Сервис закрыли 13 марта и вернули в строй только через 67 часов после устранения проблемы. Companies House, которая пять месяцев внедряла новые полномочия по борьбе с корпоративным мошенничеством, теперь предстоит уведомить миллионы пострадавших бизнесов.
Ошибки контроля доступа занимают первое место в рейтинге OWASP Top 10 с 2021 года, и этот инцидент наглядно показывает почему.
Hacker's TOYS
Проблема оказалась почти банальной, после обновления в октябре 2025 года система WebFiling проверяла только сам факт входа в систему, но не права доступа к конкретным компаниям. Эксплуатация была примитивной, достаточно было начать подачу документов за другую фирму, ввести её регистрационный номер, получить запрос двухфакторной аутентификации и просто несколько раз нажать кнопку «назад» в браузере. После этого система открывала панель управления чужой компании.
Хуже того, можно было не только смотреть, но и менять данные. Тестовая попытка изменить юридический адрес сработала, а подтверждение пришло на почту постороннего человека, а не реального владельца. Как отметил основатель Tax Policy Associates Дэн Нейдл, этих данных достаточно для серьёзного мошенничества, злоумышленники могли выдавать себя за компанию и открывать банковские счета от её имени.
Сервис закрыли 13 марта и вернули в строй только через 67 часов после устранения проблемы. Companies House, которая пять месяцев внедряла новые полномочия по борьбе с корпоративным мошенничеством, теперь предстоит уведомить миллионы пострадавших бизнесов.
Ошибки контроля доступа занимают первое место в рейтинге OWASP Top 10 с 2021 года, и этот инцидент наглядно показывает почему.
Hacker's TOYS
🔥18❤3😁2👾1
С 1 сентября в России меняются правила регистрации доменов в национальных зонах. Анонимно зарегистрировать или продлить домен .ru, .рф или .su больше не получится, теперь это возможно только после подтверждения личности через «Госуслуги». Закон был принят Госдумой ещё в декабре 2025 года.
Главное изменение, обязательная идентификация через ЕСИА для всех владельцев доменов. Регистраторы обязаны проверять личность каждого администратора доменного имени, и без этой проверки запись в реестр просто не внесут. Это касается как физических, так и юридических лиц.
Изменения затронут и сам рынок регистраторов. Правительство создаст специальный перечень аккредитованных компаний, и только они смогут работать с национальными доменами. Эксперты предполагают, что это может привести к укрупнению рынка, небольшие регистраторы рискуют не пройти аккредитацию.
Интересный момент для тех, у кого домены уже есть: предусмотрен переходный период. Владельцам старых доменов тоже нужно будет подтвердить личность через «Госуслуги», хотя конкретные сроки пока не установлены.
Закон разрабатывался больше года и направлен против мошенников, которые создавали фишинговые сайты-однодневки на поддельные документы. Правда, юристы отмечают важный нюанс: меняется сам правовой режим доменов. Раньше для изъятия домена обычно требовалось решение суда, теперь же отсутствие подтверждения личности может стать основанием для удаления записи из реестра без суда.
Владельцам доменов стоит заранее проверить наличие подтверждённой учётки на «Госуслугах» и уточнить у своего регистратора его планы по аккредитации. Остаётся открытым вопрос: переместятся ли мошенники просто в зарубежные зоны вроде .com или .net?
Hacker's TOYS
Главное изменение, обязательная идентификация через ЕСИА для всех владельцев доменов. Регистраторы обязаны проверять личность каждого администратора доменного имени, и без этой проверки запись в реестр просто не внесут. Это касается как физических, так и юридических лиц.
Изменения затронут и сам рынок регистраторов. Правительство создаст специальный перечень аккредитованных компаний, и только они смогут работать с национальными доменами. Эксперты предполагают, что это может привести к укрупнению рынка, небольшие регистраторы рискуют не пройти аккредитацию.
Интересный момент для тех, у кого домены уже есть: предусмотрен переходный период. Владельцам старых доменов тоже нужно будет подтвердить личность через «Госуслуги», хотя конкретные сроки пока не установлены.
Закон разрабатывался больше года и направлен против мошенников, которые создавали фишинговые сайты-однодневки на поддельные документы. Правда, юристы отмечают важный нюанс: меняется сам правовой режим доменов. Раньше для изъятия домена обычно требовалось решение суда, теперь же отсутствие подтверждения личности может стать основанием для удаления записи из реестра без суда.
Владельцам доменов стоит заранее проверить наличие подтверждённой учётки на «Госуслугах» и уточнить у своего регистратора его планы по аккредитации. Остаётся открытым вопрос: переместятся ли мошенники просто в зарубежные зоны вроде .com или .net?
Hacker's TOYS
👍15🤯7😁5👎1🔥1
Вчера исследователи из Google, Lookout и iVerify раскрыли DarkSword, набор из шести уязвимостей iOS, три из которых были 0-day. Эксплойт работает через одно посещение вредоносной веб-страницы в Safari и даёт полный контроль над iPhone. Затронуты версии iOS 18.4–18.7, жертвы обнаружены в Саудовской Аравии, Турции, Малайзии и на Украине.
Три независимые группы использовали DarkSword одновременно. UNC6748 атаковал через фишинговый сайт под Snapchat в Саудовской Аравии, турецкий производитель PARS Defense действовал в Турции и Малайзии, а группа UNC6353 заражала украинские сайты. В коде последних обнаружили комментарии на русском языке.
Атака начинается с уязвимостей в JavaScriptCore, пробивает песочницу Safari через графический слой ANGLE, затем через системную службу mediaplaybackd (системная службакоторая отвечает за воспроизведение медиаконтента) получает доступ к ядру iOS. Весь эксплойт выполняется на чистом JavaScript без записи файлов на устройство.
Каждая группа устанавливала свой вредоносный софт. GHOSTKNIFE собирал сообщения и записи с микрофона, GHOSTSABER поддерживал более 16 команд включая SQL-запросы к любым базам на устройстве, а GHOSTBLADE работал по принципу «ударил и ушёл», за минуты выгружая всё, от iMessage до кошельков криптовалют, после чего удалял следы.
Интересная деталь, аналитики нашли признаки использования больших языковых моделей при написании кода. А образец GHOSTBLADE содержал полные записи отладки и ссылку на нереализованную функцию startSandworm(), возможно, кодовое название другого инструмента.
Hacker's TOYS
Три независимые группы использовали DarkSword одновременно. UNC6748 атаковал через фишинговый сайт под Snapchat в Саудовской Аравии, турецкий производитель PARS Defense действовал в Турции и Малайзии, а группа UNC6353 заражала украинские сайты. В коде последних обнаружили комментарии на русском языке.
Атака начинается с уязвимостей в JavaScriptCore, пробивает песочницу Safari через графический слой ANGLE, затем через системную службу mediaplaybackd (системная службакоторая отвечает за воспроизведение медиаконтента) получает доступ к ядру iOS. Весь эксплойт выполняется на чистом JavaScript без записи файлов на устройство.
Каждая группа устанавливала свой вредоносный софт. GHOSTKNIFE собирал сообщения и записи с микрофона, GHOSTSABER поддерживал более 16 команд включая SQL-запросы к любым базам на устройстве, а GHOSTBLADE работал по принципу «ударил и ушёл», за минуты выгружая всё, от iMessage до кошельков криптовалют, после чего удалял следы.
Интересная деталь, аналитики нашли признаки использования больших языковых моделей при написании кода. А образец GHOSTBLADE содержал полные записи отладки и ссылку на нереализованную функцию startSandworm(), возможно, кодовое название другого инструмента.
Hacker's TOYS
🔥14❤3
Немного истории. Это Готтфрид Свартхольм, сооснователь The Pirate Bay и один из тех людей, кто по-настоящему верил, что информация должна быть свободной. Он стоял у истоков создания крупнейшего торрент-сайта в мире, который в какой-то момент стал не просто платформой с миллионами пользователей, а настоящим символом цифрового сопротивления.
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
❤23🔥12👍8
Злоумышленники перестали применять технические взломы, теперь они просто убеждают жертву совершить нужное действие. Push Security опубликовала отчёт о шести методах атак через браузер, которые обходят даже двухфакторную защиту. По данным Microsoft, 47% атак в последний год использовали ClickFix, когда пользователя обманом заставляют «исправить ошибку», скопировав и выполнив вредоносную команду. CrowdStrike зафиксировал рост поддельных CAPTCHA-приманок на 563% за 2025 год. Но самая опасная эволюция этого метода, ConsentFix.
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
Пользователям не нужно отдавать пароль или код MFA. Они просто вставляют URL. И пользователей не учат остерегаться именно этого.
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
🔥13👍2
27-летний аналитик данных Кэмерон Карри получил обвинительный приговор за вымогательство у компании Brightly Software, подразделения Siemens. Вердикт вынесен 18 марта 2026 года по шести пунктам, каждый из которых может дать до двух лет тюрьмы.
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
👍8🔥5
Жена сняла на камеру сид-фразу мужа и вывела 2 323 биткоина. Высокий суд Англии и Уэльса разрешил продолжить разбирательство по делу о краже 2 323 биткоинов стоимостью $172 млн. Судья Коттер 10 марта оценил шансы истца на победу как «крайне высокие». История выглядит как сценарий триллера. Пин Фай Юэн хранил все монеты на одном аппаратном кошельке Trezor, защищённом только PIN-кодом и сид-фразой из 24 слов. Его жена Фан Юнг Ли установила скрытые камеры в их доме в Брайтоне и записала момент, когда муж вводил фразу восстановления. 2 августа 2023 года все $60 млн (на тот момент) ушли на 71 адрес.
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
🔥12😁6❤2🤔1