Малварь WinDealer внедряется в легитимный трафик жертв

Исследователи «Лаборатории Касперского» обнаружили, что для распространения малвари WinDealer китайскоговорящая хак-группа LuoYu способна проводить атаки типа «человек на стороне» (man-on-the-side). Такие атаки доступны лишь наиболее «ресурсным» злоумышленникам и подразумевают, что вредоносное ПО внедряется в легитимный сетевой трафик жертвы.

https://xakep.ru/2022/06/03/windealer/

Обновление Replicant, полностью свободной Android-прошивки https://opennet.ru/57298/

Apple анонсирует собственный поисковик в январе 2023 года

Инсайдер Робертс Скобл сообщил в своем Twitter-аккаунте о том, что Apple анонсирует собственный поисковик в январе 2023 года. Скобл отметил, что его сообщение основано на беседе с источником, близким к Apple, а также на собственных догадках.

По его словам, компания намерена создать конкурента для Google-поиска, который по-большей части является монополистом на рынке поисковых систем. Apple также может разрабатывать поисковик только для того, чтобы расширить возможности ассистента Siri.

Впервые о собственном поисковике Apple стало известно в 2020 году. Тогда в iOS 14 Apple стала выдавать пользователю собственные результаты поискового запроса с прямыми ссылками на искомые веб-сайты, а не результаты поиска Google, как это было раньше.

Кроме того, возросла и активность Applebot, малоизвестного поискового робота Apple. Этот алгоритм используется для создания обширной базы данных онлайн-материалов, составляющих основу любой поисковой системы.

FIFA оказалась в центре скандала

— Коалиция групп защиты прав детей призвала Федеральную торговую комиссию (Federal Trade Commission, FTC) провести расследование в отношении Electronic Arts после коллективной жалобы на то, что популярная видеоигра FIFA эксплуатирует детей и подростков.

— Группы требуют расследовать факт недобросовестной и вводящей в заблуждение практики EA при разработке лутбоксов.

— По словам Коалиции, вероятность разблокировки лучших предметов неясна и получение самых желанных карт может стоить тысячи долларов.
https://www.securitylab.ru/news/532095.php

Гріхи Червоного Хреста

OSINT-спільнота Molfar у кооперації із «Новинами Здорової Людини» детально проаналізували та підсумували головні факапи Міжнародного Комітету Червоного Хреста, які вкотре підтверджують, що ця організація – не найкращий вибір для пожертви.

👉 Наша спільна публікація в Instagram
👉 Детальніше і більше подробиць на сайті Molfar.Global
👉 Теж на сайті, але англійською

Хочемо нагадати, що Міжнародний Комітет Червоного Хреста – це зовсім не те саме що Червоний Хрест Україна. Але ж риба, наскільки ми всі добре знаємо, гниє з голови. І міжнародна гілка отримує найбільші донати. Тому такі дослідження важливі. І тому ми продовжуємо працювати над розповсюдженням цієї інформації.

Будь ласка, донатьте тільки перевіреним українським фондам.

#FactChecking #StandWithUkraine

Molfar

GitLab releases patch for a critical account takeover vulnerability (CVE-2022-1680) affecting all versions of Enterprise Edition from 11.10 before 14.9.5, all versions from 14.10 before 14.10.4, and all versions from 15.0 before 15.0.1.

Read: https://thehackernews.com/2022/06/gitlab-issues-security-patch-for.html

Неисправленный 0-day баг в Atlassian Confluence уже находится под атаками

Разработчики Atlassian предупредили, что Confluence Server и Data Center подвержены критической уязвимости (CVE-2022-26134), которую несколько хакерских групп уже используют для установки веб-шеллов. Патчей для свежего бага пока нет.

https://xakep.ru/2022/06/03/atlassian-0day/

​​Очищаем динамики смартфона от воды

Динамики в смартфоне могут загрязниться от пыли, крошек и воды. К счастью, это легко исправить, причём не придётся нести смартфон в ремонт, менять динамик или даже разбирать корпус.

Fix My Speakers - онлайн-севрис, который спасет ваши динамики от влаги. Он работает так же, как и встроенная функция выброса воды Apple Watch. Сервис проигрывает звуковые волны определенного тона, которые вызывают выброс воды.

Для корректного использования сервиса сначала прибавьте звук на максимум, затем перейдите на сайт и нажмите кнопку «💨💦». Телефон начнет воспроизводить очищающие звуки, которые создают направленное давление и вытесняют капли воды.

Стоит иметь в виду, что чистится только динамик, который используется при воспроизведении медиафайлов, а не разговорный, если он не задействован в данной модели телефона.

#полезно #сервис

6 июня стартует практический курс «Python для новичков»

6 июня 2022 года стартует «Python для новичков» — практический курс «Хакера» по Python, направленный на изучение основ и базовых концепций программирования. Спеши зарегистрироваться, осталось всего несколько дней!

https://xakep.ru/2022/06/03/python-for-noobs/

Компания Paragon Software возобновила сопровождение модуля NTFS3 в ядре Linux https://opennet.ru/57299/

Hacking Connected Cars
Alissa Knight
2020

Hacking Connected Cars разбирает тактики, методы и процедуры (TTP), используемые для взлома подключенных автомобилей и автономных транспортных средств, чтобы помочь вам выявить и смягчить уязвимости, затрагивающие киберфизические транспортные средства.

В этой книге показано, как можно использовать уязвимости в беспроводных сетях, Bluetooth и GSM, чтобы повлиять на конфиденциальность, целостность и доступность подключенных автомобилей.

#hacking #eng

Hacking Connected Cars
Alissa Knight
2020

#hacking #eng

💬 true story... Враг внутри: как я попался на инсайдерском редтиминге.

🖖🏻 Приветствую тебя user_name.

• У меня были все преимущества. Я уже был внутри сети. Я был вне подозрений. Но они обнаружили мой взлом, выкинули из сети… и выследили физически.

• Многие тестирования на проникновение начинаются снаружи, чтобы проверить, как можно преодолеть периметр. На этот раз заказчик хотел посмотреть, насколько далеко может зайти атакующий, который уже сумел оказаться внутри организации. Разве они могли бы остановить меня, если я уже был в сети?

• Итак, они тайком провели меня в офис, замаскировав под нового работника. Мне дали рабочий компьютер, бейджик, учётку в системе… чёрт, у меня даже была своя кабинка с вымышленным именем на ней. Единственным человеком, знавшим, кто я на самом деле, был их директор по информационной безопасности. Все остальные думали, что я Джереми из Маркетинга.....

🧷 Читать статью.

Твой S.E. #Пентест #Red_Team

Операторы ботнета Clipminer «заработали» более 1,7 млн долларов

По информации исследователей Symantec, вредонос Clipminer уже принес своим операторам не менее 1,7 млн долларов, перехватывая чужие транзакции и добывая криптовалюту на зараженных машинах.

https://xakep.ru/2022/06/03/clipminer/

Неспящий iPhone. Как выключенный iPhone может шпионить за своим владельцем

Apple может воспользоваться не только владелец телефона, но и злоумышленники. Как? Давай разбираться.

Спе­циалис­ты из гер­ман­ской лабора­тории Secure Mobile Networking Lab опуб­ликова­ли боль­шое иссле­дова­ние с гром­ким заголов­ком, гла­сящим, что в iPhone могут завес­тись вре­доно­сы, которые оста­ются активны­ми даже пос­ле вык­лючения питания девай­са. Одна­ко если вдум­чиво про­читать все один­надцать стра­ниц док­лада, выяс­нится, что такие вре­доно­сы сущес­тву­ют исклю­читель­но в вос­пален­ном вооб­ражении этих самых гер­ман­ских иссле­дова­телей. На самом деле речь идет о том, что в мобиль­ных устрой­ствах под управле­нием iOS име­ется нес­коль­ко чипов, про­дол­жающих работать, даже ког­да питание телефо­на отсутс­тву­ет. Так, при вык­лючении iPhone поль­зователь все рав­но мож­но най­ти его с помощью фун­кции Find My Phone.

Life hack👈