#news На ютубе занятная малварь-кампания, нацеленная на геймеров. Туториалы про читы для полудюжины популярных игр содержат ссылки на зловред для кражи паролей, кредиток, крипты и майнер в придачу. Но после скачивания он делает, что называется, про-геймерский ход.
Один экзешник в архиве тянет куки из браузера. Второй скачивает с гитхаба пресловутое видео. А третий логинится в ютуб-аккаунт жертвы и загружает ролик, отправляя ссылку в дискорд злоумышленнику. Получается такой вот любопытный видео-червь, активно расползающийся за счёт легитимных аккаунтов.
@tomhunter
Один экзешник в архиве тянет куки из браузера. Второй скачивает с гитхаба пресловутое видео. А третий логинится в ютуб-аккаунт жертвы и загружает ролик, отправляя ссылку в дискорд злоумышленнику. Получается такой вот любопытный видео-червь, активно расползающийся за счёт легитимных аккаунтов.
@tomhunter
🔥12💩4😁3❤1
#news Число криптоскамов в первом полугодии выросло в три раза. В 2022-м это больше двух тысяч доменов с аудиторией в 30 миллионов посетителей. Во многом из-за простоты создания: на активном рынке всю схему вместе с сайтом, ютуб-аккаунтами и дипфейками можно собрать за тысячу-две баксов.
Помимо Илона Маска и Кэти Вуд встречаются и более экзотичные варианты фейков. Биткоин сделали нацвалютой в Сальвадоре — его президент оказался на сайтах мошенников щедрым Крипто Клаусом. Роналду подписал контракт с Бинанс — заодно стал и лицом скам-кампании. В общем, мошенники колеблются вместе с трендами так же стремительно, как курсы крипты.
@tomhunter
Помимо Илона Маска и Кэти Вуд встречаются и более экзотичные варианты фейков. Биткоин сделали нацвалютой в Сальвадоре — его президент оказался на сайтах мошенников щедрым Крипто Клаусом. Роналду подписал контракт с Бинанс — заодно стал и лицом скам-кампании. В общем, мошенники колеблются вместе с трендами так же стремительно, как курсы крипты.
@tomhunter
🔥14❤3
#news В сеть утекли 90 видео от разработчиков GTA VI после взлома Slack-сервера и Confluence-вики Rockstar. Хакер также стянул исходники пятой и шестой частей и выставил ресурсы предыдущей части игры на продажу. И якобы ведёт переговоры с компанией о выкупе за остальное. В том числе за тестовый билд шестёрки.
Утечка тянет на одну из крупнейших в истории видеоигр. Что занятно, взломщик утверждает, что он же на днях взломал Uber, и почерк похожий. Rockstar поспешно забрасывает видео копирайтом, но они расползаются по сети вместе с кусками слитых исходников. Так что особо любопытные могут подсмотреть, как будет выглядеть новая часть франшизы.
@tomhunter
Утечка тянет на одну из крупнейших в истории видеоигр. Что занятно, взломщик утверждает, что он же на днях взломал Uber, и почерк похожий. Rockstar поспешно забрасывает видео копирайтом, но они расползаются по сети вместе с кусками слитых исходников. Так что особо любопытные могут подсмотреть, как будет выглядеть новая часть франшизы.
@tomhunter
🔥18🤬2🤯1
#news Продвинутая проверка правописания в Google Chrome и Microsoft Edge оказалась продвинута в сливе данных. Она отсылает в Гугл и Майкрософт данные формы вплоть до паролей, если юзер кликнет «показать пароль». Услужливая функция исправно сливает логин и пароль на крупнейших сайтах, тех же Фейсбуке и Алибабе. А потенциально может скомпрометировать и чей-нибудь доступ к базе данных или облаку.
Вектор атаки окрестили spell-jacking, и AWS с LastPass уже закрыли вопрос, отключив спеллчек в форме пароля. Гугл тоже сообщил, что добавит её в исключения. Тем временем их продвинутый спеллчекер прямо сообщает, что шлёт всё набранное в браузере в Гугл. Что сказать, не врёт.
@tomhunter
Вектор атаки окрестили spell-jacking, и AWS с LastPass уже закрыли вопрос, отключив спеллчек в форме пароля. Гугл тоже сообщил, что добавит её в исключения. Тем временем их продвинутый спеллчекер прямо сообщает, что шлёт всё набранное в браузере в Гугл. Что сказать, не врёт.
@tomhunter
🔥13❤4
Сегодня на повестке дня у нас вопрос: «Как выбрать себе VPN». Этой статьей мы начинаем цикл «Бытовой инфобез», в котором постараемся дать относительно простые ответы на вопросы личной информационной безопасности. По возможности постараемся не углубляться в сильные дебри, чтобы человеку, не связанному с ИБ и IT, было максимально понятно. Приятного чтения )
❤11🔥5💩1
#news Возвращение подростковых утех на киберпреступную сцену: Uber утверждает, что взломавший их юный хакер связан с группировкой Lapsus$. А вектором атаки стала набравшая популярность MFA fatigue — внешнего подрядчика Uber забросали запросами по двухфакторке, пока один из них не был принят.
Компания заявила, что их кодовая база и личные данные пользователей никак не затронуты, но подтвердилась утечка репортов с HackerOne. Так что теперь им придётся спешно патчить все незакрытые уязвимости наперегонки со взломщиками, так как стянутые отчёты вполне могли уже уйти с молотка.
@tomhunter
Компания заявила, что их кодовая база и личные данные пользователей никак не затронуты, но подтвердилась утечка репортов с HackerOne. Так что теперь им придётся спешно патчить все незакрытые уязвимости наперегонки со взломщиками, так как стянутые отчёты вполне могли уже уйти с молотка.
@tomhunter
🔥11🤡2😁1🎉1
#news С полей Интернета доносится вой с характерным повизгиванием. Судя по всему, утекла база данных китайских операторов сотовой связи на 1,5 миллиарда строк. Состав базы данных: IMEI - номер мобильного телефона. Весь массив весит 90 Гб.
@tomhunter
@tomhunter
🔥11🎉2❤1💩1
#news В Android есть скрытая функция Sensors Off или «Датчики отключены», которая позволяет защитить смартфон от прослушки. Об этом «Газете.Ru» рассказал руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. При активации функции Sensors Off в смартфоне ограничивается доступ приложений к микрофону и камерам.
Для включения функции Sensors Off пользователю сначала нужно активировать так называемый «Режим разработчика». Делается это так: откройте настройки, прокрутить меню до строки «О телефоне» и в этом пункте несколько раз нажать на пункт «Номер сборки». После минимум пятикратного тапа смартфон попросит ввести код разблокировки экрана – его ввод включит «Режим разработчика».
Затем, возвращаемся на главную страницу настроек и выбираем: «Система» > «Параметры разработчика» > «Элементы быстрых настроек». Далее нужно выбрать пункт Sensors Off или «Датчики отключены» и активировать его. Теперь, когда вы потянете шторку уведомлений, вы увидите новую плитку под названием «Датчики отключены» или «Sensors Off». Кто не понял - ловите видеоинструкцию.
@tomhunter
Для включения функции Sensors Off пользователю сначала нужно активировать так называемый «Режим разработчика». Делается это так: откройте настройки, прокрутить меню до строки «О телефоне» и в этом пункте несколько раз нажать на пункт «Номер сборки». После минимум пятикратного тапа смартфон попросит ввести код разблокировки экрана – его ввод включит «Режим разработчика».
Затем, возвращаемся на главную страницу настроек и выбираем: «Система» > «Параметры разработчика» > «Элементы быстрых настроек». Далее нужно выбрать пункт Sensors Off или «Датчики отключены» и активировать его. Теперь, когда вы потянете шторку уведомлений, вы увидите новую плитку под названием «Датчики отключены» или «Sensors Off». Кто не понял - ловите видеоинструкцию.
@tomhunter
🤔8💩6❤3🤡3
#news Пополнение в рядах криптокраж: у маркетмейкера Wintermute украли $162 миллиона их DeFi-активов после взлома. Компания предложила взломщику обернуться белошляпочником и вернуть украденное. Да только в кошельке у него осталась уже всего четверть суммы.
Что интересно, предполагают, что причина взлома — уязвимость в генераторе криптоадресов Profanity. А именно возможность брутфорснуть приватный ключ к его адресам с помощью солидного стака видеокарт. Если теория верна, какая-нибудь оставшаяся без дела после слияния ETH криптоферма сейчас может вовсю трудиться над взломом уязвимых кошельков. Что сказать, соблазн велик — это явно прибыльнее её распродажи на eBay.
@tomhunter
Что интересно, предполагают, что причина взлома — уязвимость в генераторе криптоадресов Profanity. А именно возможность брутфорснуть приватный ключ к его адресам с помощью солидного стака видеокарт. Если теория верна, какая-нибудь оставшаяся без дела после слияния ETH криптоферма сейчас может вовсю трудиться над взломом уязвимых кошельков. Что сказать, соблазн велик — это явно прибыльнее её распродажи на eBay.
@tomhunter
🔥8❤1🤯1
#news С утечкой из Rockstar занятно совпал взлом её побратима: службу поддержки 2K Games взломали и рассылали через неё малварь для кражи инфы RedLine. Игроки получили письма якобы в ответ на открытые ими тикеты со ссылками на скачивание архива со зловредом.
Пока неясно, связаны ли взломы друг с другом, но известно, что злоумышленники угнали аккаунт для доступа к платформе. Так что в ход опять могла пойти гениальная социальная инженерия от юных звёзд хакинг-сцены. А сайт поддержки 2К отключили от греха подальше, пока разбираются с последствиями взлома.
@tomhunter
Пока неясно, связаны ли взломы друг с другом, но известно, что злоумышленники угнали аккаунт для доступа к платформе. Так что в ход опять могла пойти гениальная социальная инженерия от юных звёзд хакинг-сцены. А сайт поддержки 2К отключили от греха подальше, пока разбираются с последствиями взлома.
@tomhunter
🔥9🤔6
#news Приятные новости об одиозной группировке LockBit: в сеть слили билдер для их новейшего шифровальщика, включая декриптор. Их либо взломали, либо недовольный соучастниками разработчик слил всё в качестве мести. В любом случае для злоумышленников настали непростые времена.
Теперь любой желающий может воспользоваться их билдером для атак. А как было и в случае с Conti, чьи исходники использовали в дуболомных атаках на всё подряд, это привлечёт к себе немало внимания органов. «Сделать рансомварь великой снова» Локбиту теперь будет непросто. Удачи в следующий раз желать не будем.
@tomhunter
Теперь любой желающий может воспользоваться их билдером для атак. А как было и в случае с Conti, чьи исходники использовали в дуболомных атаках на всё подряд, это привлечёт к себе немало внимания органов. «Сделать рансомварь великой снова» Локбиту теперь будет непросто. Удачи в следующий раз желать не будем.
@tomhunter
🔥9😁4💩1
#news Занятные итоги расследования по следам взлома иранцами госсистем Албании: хакеры имели доступ к их сетям около 14 месяцев. Всё это время они периодически заходили как к себе домой и стягивали переписку с государственных почтовых ящиков. А потом заслали им рансомварь и вайпер, положив кучу госсервисов и служб.
В ответ на разрыв отношений между странами иранские хакеры с помпой слили украденные из албанских сетей документы и начали повторные атаки. В общем, потрясающий пример того, каким не должен быть инфобез на государственном уровне.
@tomhunter
В ответ на разрыв отношений между странами иранские хакеры с помпой слили украденные из албанских сетей документы и начали повторные атаки. В общем, потрясающий пример того, каким не должен быть инфобез на государственном уровне.
@tomhunter
🔥14😁3🤯1🤡1
#news Атаки на подстановку учётных данных, украденных на других ресурсах, становятся всё заметнее. А именно треть от всего логин-трафика. В некоторых странах таких атак гораздо больше, чем легитимных попыток логина от юзеров. А в онлайн-магазинах трудолюбивые ботнеты и вовсе занимают больше 80 процентов трафика по авторизации. В финансовом секторе — больше пятидесяти.
На фоне этого отказ от использования одинаковых паролей должен быть базовым инфобез-навыком любого юзера, и уж тем более компании. Иначе стянутая с древнего аккаунта на Neopets учётка сотрудницы может в один миг стать серьёзной уязвимостью.
@tomhunter
На фоне этого отказ от использования одинаковых паролей должен быть базовым инфобез-навыком любого юзера, и уж тем более компании. Иначе стянутая с древнего аккаунта на Neopets учётка сотрудницы может в один миг стать серьёзной уязвимостью.
@tomhunter
🔥7❤5🤯2🎉1🤡1
#news Ожидаемая новость: в Великобритании арестовали подростка, подозреваемого во взломах Uber и Rockstar. Причём ему всего 17 лет. Как и раньше, всё это связывают с группировкой Lapsus$. Ранее в апреле арестовали семь их юных дарований от 16 до 21 года. Теперь вот пополнение. Что занятно, товарищ pompompurin утверждает, что недавние взломы связаны с главой Lapsus$ по кличке White. Ранее его отпустили под залог, так как пацан несовершеннолетний. Может, взялся за старое.
В принципе, арест предсказуемый. Как только появилось подростковое хвастовство после взломов, было ясно, что его быстро примут. Мама, я ломаю Rockstar! Какой уж там опсек.
@tomhunter
В принципе, арест предсказуемый. Как только появилось подростковое хвастовство после взломов, было ясно, что его быстро примут. Мама, я ломаю Rockstar! Какой уж там опсек.
@tomhunter
🔥12😁4🎉3🤡1
#news Апдейт по следам падения массивного ботнета RSOCKS. В Болгарии ещё в июне арестовали 36-летнего омича Дениса Емельянцева по запросу из штатов. Теперь суд удовлетворил его просьбу об экстрадации в США, чтобы «адвокаты скорее сняли с него необоснованные обвинения».
Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в на днях рассекреченном США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «необоснованными обвинениями» в попытке заключить сделку со следствием у товарища будет жаркой.
@tomhunter
Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в на днях рассекреченном США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «необоснованными обвинениями» в попытке заключить сделку со следствием у товарища будет жаркой.
@tomhunter
🔥10🤡3
T.Hunter
#news #OSINT Школота минирует Россию... И снова про виртуальное минирование. Тем более, что раскидка ложных сообщений о терактах ожидается днями в таких российских городах, как: Ангарск, Алушта, Арзамас, Артём, Архангельск, Астрахань, Балашиха, Биробиджан…
Скорбим вместе с родителями Ижевска... Нет слов...
😢43🤡9😁4🤔2🎉2🤯1🤬1💩1
#news Продолжаем следить за новостями с киберфронтов: в арсенал хакеров затесалась доставка малвари через файлы PowerPoint. Для заражения машины достаточно погладить в нём курсором гиперссылку. Вредоносных макросов атака не требует.
При активации PowerShell-скрипт тянет jpeg-файлы с OneDrive, дешифрует их и грузит dll-ки в память. В качестве малвари идёт Graphite, абьюзящий Graph API для связи с C2-сервером на OneDrive, затем его используют для загрузки иного зловреда. Шпионская кампания свежая, сентябрьская. А цель у неё — оборонный и правительственный сектора стран ЕС и Восточной Европы. И таких любопытных новинок в эти неспокойные дни, скорее всего, нам предстоит увидеть ещё немало.
@tomhunter
При активации PowerShell-скрипт тянет jpeg-файлы с OneDrive, дешифрует их и грузит dll-ки в память. В качестве малвари идёт Graphite, абьюзящий Graph API для связи с C2-сервером на OneDrive, затем его используют для загрузки иного зловреда. Шпионская кампания свежая, сентябрьская. А цель у неё — оборонный и правительственный сектора стран ЕС и Восточной Европы. И таких любопытных новинок в эти неспокойные дни, скорее всего, нам предстоит увидеть ещё немало.
@tomhunter
🔥14🤔4
#news Что бывает с неудачливыми хакерами, не рассчитавшими свои силы? Они начинают удалять украденные данные, снимать их с продажи и слёзно извиняться.
Так произошло с товарищем, недавно взломавшим Optus, второго крупнейшего мобильного оператора Австралии. Он сначала угрожал, что сольёт данные на 11 миллионов их клиентов, если не получит миллион долларов. Потом начал рассылать смс жертвам взлома, требуя две штуки австралийских баксов на свой счёт в банке. Ну а как полиция объявила «Операцию Ураган» по поимке злоумышленников, вышло то, что на скриншоте. «Простите, пожалуйста, мы больше не будем» в хакерском исполнении. Милые ребята.
@tomhunter
Так произошло с товарищем, недавно взломавшим Optus, второго крупнейшего мобильного оператора Австралии. Он сначала угрожал, что сольёт данные на 11 миллионов их клиентов, если не получит миллион долларов. Потом начал рассылать смс жертвам взлома, требуя две штуки австралийских баксов на свой счёт в банке. Ну а как полиция объявила «Операцию Ураган» по поимке злоумышленников, вышло то, что на скриншоте. «Простите, пожалуйста, мы больше не будем» в хакерском исполнении. Милые ребята.
@tomhunter
😁22🤡3❤1🔥1
#news Занятный пример нового дроппера, который одним словом можно описать как избыточный: NullMixer инфицирует машины одновременно парой десятков зловредов. От Redline и Racoon Stealer’ов до PseudoManuscrypt — в списке найдётся что угодно, и на скрине только часть коллекции.
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
🔥12
#news На хакерских форумах всплыл взломанный фреймворк для постэксплуатации Brute Ratel. Продвинутый набор для пентеста теперь свободно распространяют, и злоумышленники уже активно его изучают.
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
🔥12🤯2❤1
#news Пятничная новость про смекалистых сисадминов. Уволенный на Гавайях администратор крупной финкомпании очень хотел свою работу обратно и зарплату повыше. Поэтому он зашёл под старыми данными доступа и поковырялся в настройках, нарушив работу сайта и переправив траффик и почту компании на внешние машины. А заодно и лишил IT-отдел фирмы доступа к админпанели, чтобы наверняка.
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
😁17🔥5🎉1