#news Занятный пример нового дроппера, который одним словом можно описать как избыточный: NullMixer инфицирует машины одновременно парой десятков зловредов. От Redline и Racoon Stealer’ов до PseudoManuscrypt — в списке найдётся что угодно, и на скрине только часть коллекции.
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
🔥12
#news На хакерских форумах всплыл взломанный фреймворк для постэксплуатации Brute Ratel. Продвинутый набор для пентеста теперь свободно распространяют, и злоумышленники уже активно его изучают.
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
🔥12🤯2❤1
#news Пятничная новость про смекалистых сисадминов. Уволенный на Гавайях администратор крупной финкомпании очень хотел свою работу обратно и зарплату повыше. Поэтому он зашёл под старыми данными доступа и поковырялся в настройках, нарушив работу сайта и переправив траффик и почту компании на внешние машины. А заодно и лишил IT-отдел фирмы доступа к админпанели, чтобы наверняка.
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
😁17🔥5🎉1
Сентябрь 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
🤡9🔥3❤1
#news Образцовый пример работы с утечками данных от австралийской полиции. Часть жертв недавнего взлома мобильного оператора, чьи данные успели слить в сеть, попадут под особую программу защиты. Это чуть больше 10к человек. О них обещают оповестить все релевантные службы, мониторить форумы и дарквеб на предмет эксплойта данных, отслеживать по ним подозрительную активность в финсекторе и другие плюшки. Сам оператор также поднял отдельный портал со всей инфой по взлому.
Тем временем наши компании, сливающие данные десятков и сотен миллионов своих клиентов, могут предложить разве что глубокие извинения. Почувствуйте разницу, так сказать.
@tomhunter
Тем временем наши компании, сливающие данные десятков и сотен миллионов своих клиентов, могут предложить разве что глубокие извинения. Почувствуйте разницу, так сказать.
@tomhunter
🔥22❤4😢4🎉1
#news После атак браузер-в-браузере mr.d0x представляет эксплойт для режима приложений в Хромиуме. Он позволяет создать фишинговые окна для логина, почти не отличимые от оригинальных. В атаке используется ярлык, который абьюзит параметр командной строки --app, чтобы вести на фишинговый сайт. Базовые навыки HTML/CSS у злоумышленника для клонирования страницы, кликнувший по ярлыку пользователь, и готово — перед ним фейковое окно логина, любезно предоставленное Хромиумом.
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. С соответствующими командами и браузерами эксплойт работает под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал.
@tomhunter
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. С соответствующими командами и браузерами эксплойт работает под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал.
@tomhunter
🔥9❤2
#news Уютный мир Microsoft Exchange слегка потряхивает новым тандемом нулевых уязвимостей с тем же паттерном, что и у ProxyShell: одна на подделку запроса на стороне сервера, вторая – на произвольное исполнение кода. Атака разве что требует авторизации хотя бы на уровне юзера, так что вектор получил меткое название ProxyNotShell. И предложенное Мелкософтом временное решение легко обходится.
Пока безопасники ждут патчей и роста числа атак, в которых в августе уже были замечены китайские хакеры, не дремлют и скамеры. На Гитхабе с полдюжины репозиториев с фейковыми проверками концепции к атаке на продажу от лица именитых ИБ-исследователей. Всего 420 баксов в битках за одну-единственную копию! Видимо, то, что Zerodium выплачивает от четверти миллиона долларов за RCE нулевого дня в MS Exchange, находчивых мошенников не смущает.
@tomhunter
Пока безопасники ждут патчей и роста числа атак, в которых в августе уже были замечены китайские хакеры, не дремлют и скамеры. На Гитхабе с полдюжины репозиториев с фейковыми проверками концепции к атаке на продажу от лица именитых ИБ-исследователей. Всего 420 баксов в битках за одну-единственную копию! Видимо, то, что Zerodium выплачивает от четверти миллиона долларов за RCE нулевого дня в MS Exchange, находчивых мошенников не смущает.
@tomhunter
🔥12
#news Трюк формата «Как заскамить скамера» от злоумышленника под позывным Water Labbu. Крипторынок богат на подставные инвестиционные сайты под майнинг ликвидности, которые просто крадут крипту с кошельков. Но нашему антигерою лень создавать собственные. Поэтому он просто инджектит в них Javascript-код, обчищающий кошельки жертв раньше, чем это сделает сайт.
Скрипт оценивает баланс кошелька и затем засылает на мобильники запрос на транзакцию, а под винду — через оверлей на скам-сайте юзер получает бэкдор под видом апдейта Flash. Так или иначе жертва лишается средств, уходящих на кошельки злоумышленника. Заражены не менее 45 подставных сайтов и украдены больше 300 тысяч долларов. Для несостоявшихся инвесторов разницы никакой, а вот скамеры со всей своей социнженерией вылетают в трубу.
@tomhunter
Скрипт оценивает баланс кошелька и затем засылает на мобильники запрос на транзакцию, а под винду — через оверлей на скам-сайте юзер получает бэкдор под видом апдейта Flash. Так или иначе жертва лишается средств, уходящих на кошельки злоумышленника. Заражены не менее 45 подставных сайтов и украдены больше 300 тысяч долларов. Для несостоявшихся инвесторов разницы никакой, а вот скамеры со всей своей социнженерией вылетают в трубу.
@tomhunter
🔥19😁7
#news Рансомварь-история с несчастливым концом. Для злоумышленника. Ранее осуждённый в Канаде почти на семь лет оператор рансомвари Netwalker Себастьен Вашон-Дежарден после экстрадиции в США получил двадцаточку срока. И штраф в $21,5 миллиона.
Малварь Netwalker была одной из самых активных угроз в 2020-м, от которой пострадали не менее 305 компаний в 27 странах мира, в том числе 203 в США. Так что экстрадиция была вопросом времени. И американская фемида традиционно оказалась суровее канадской. Ну или сказалось то, что в штатах Netwalker успели взломать в десяток раз больше компаний.
@tomhunter
Малварь Netwalker была одной из самых активных угроз в 2020-м, от которой пострадали не менее 305 компаний в 27 странах мира, в том числе 203 в США. Так что экстрадиция была вопросом времени. И американская фемида традиционно оказалась суровее канадской. Ну или сказалось то, что в штатах Netwalker успели взломать в десяток раз больше компаний.
@tomhunter
🔥8🎉3😁2
Всем привет! Подоспел наш традиционный дайджест самых горячих новостей информационной безопасности за ушедший месяц. Осень началась с заметных происшествий на геополитической арене, так что у нас сегодня немало инфобез-интриг на государственном уровне: иранцы взламывают Албанию, Черногории мерещатся вездесущие русские хакеры, португальцы упускают важные происшествия в перерыве на послеобеденный сон… Помимо этого, расскажем о громких взломах, затронувших Uber и Rockstar, и о падении зубров от мира киберпреступного рынка.
За подробностями добро пожаловать на Хабр.
За подробностями добро пожаловать на Хабр.
❤6🔥2
#news Недавний взлом мобильного оператора Optus в Австралии отметился рассылкой смс по слитым в сэмле контактам. В ней некий злоумышленник вымогал 2 тысячи австралийских долларов на свой счёт, угрожая продать данные хакерам. Увы, шалость не удалась, и в Сиднее арестовали 19-летнего пацана, подавшегося в шантажисты.
Он успел разослать такие запросы 93 жертвам, но, как ни странно, никто ему деньги не перечислил. Поймать его тоже оказалось несложно – наш герой не стал заморачиваться и просто указал в смс свой счёт в банке. По местным законам за шантаж грозит до 10 лет. Но, полагаю, к юному гению проявят снисхождение. Всё же киберпреступник из него так себе.
@tomhunter
Он успел разослать такие запросы 93 жертвам, но, как ни странно, никто ему деньги не перечислил. Поймать его тоже оказалось несложно – наш герой не стал заморачиваться и просто указал в смс свой счёт в банке. По местным законам за шантаж грозит до 10 лет. Но, полагаю, к юному гению проявят снисхождение. Всё же киберпреступник из него так себе.
@tomhunter
😁12🔥2
#news Текущая новостная повестка постоянно становится предметом фишинга. Но на этот раз особо отличилась группировка XDSpy: у них в ходу фишинговая кампания на тему частичной мобилизации.
Несколько сотен писем по российским компаниям с правдоподобно выглядящими документами, ссылками на УК и угрозами штрафов да сроков. По ссылке в письме WSF-архив со зловредом и пдфкой под повестку для отвода глаз. Целью кампании является шпионаж, кража файлов и взлом корпоративных ящиков. Что сказать, актуальность зашкаливает. Средний сотрудник по такому тревожному письму кликнет раньше, чем успеет что-нибудь сообразить.
@tomhunter
Несколько сотен писем по российским компаниям с правдоподобно выглядящими документами, ссылками на УК и угрозами штрафов да сроков. По ссылке в письме WSF-архив со зловредом и пдфкой под повестку для отвода глаз. Целью кампании является шпионаж, кража файлов и взлом корпоративных ящиков. Что сказать, актуальность зашкаливает. Средний сотрудник по такому тревожному письму кликнет раньше, чем успеет что-нибудь сообразить.
@tomhunter
🤯7🤬3❤2😁2🔥1
#news Криптовзломщики добрались и до Binance: с их кроссчейн-моста BSC Token Hub пытались стянуть 2 миллиона BNB, что эквивалентно 566 миллионам долларов. Хакеры успели вывести около $100 миллионов, остальное повисло на вовремя остановленном мосте. Подробностей эксплойта пока нет, известно только, что дополнительные токены были созданы через подделку низкоуровнего пруфа.
Средства юзеров не затронуты, аккаунт злоумышленника будет заблокирован, и разработчики пока решают, замораживать ли висящую в сети BNB Chain украденную крипту. Если бы средства удалось вывести, кража шла бы вплотную с рекордным весенним взломом Ronin на $620 миллионов. И товарищ Ким Чен Ын мог бы профинансировать ещё пару ракетных запусков в сторону Японии.
@tomhunter
Средства юзеров не затронуты, аккаунт злоумышленника будет заблокирован, и разработчики пока решают, замораживать ли висящую в сети BNB Chain украденную крипту. Если бы средства удалось вывести, кража шла бы вплотную с рекордным весенним взломом Ronin на $620 миллионов. И товарищ Ким Чен Ын мог бы профинансировать ещё пару ракетных запусков в сторону Японии.
@tomhunter
🔥9😁5
#news Произошла утечка более 400 Гб конфиденциальных данных компании Bombardier, касающихся разработок и иная внутренняя документация.
@tomhunter
@tomhunter
🔥12😁5
#news Владеющая Facebook компания, которую нельзя называть, сообщила о 400 выявленных приложениях для кражи данных доступа к соцсети. Из них 355 под андроид, и ещё 47 под iOS. Потенциально пострадали не меньше миллиона пользователей.
Фонарики, мобильные игры, фоторедакторы – полный набор. Причём почти половина приложений из последней категории, около трети – это фейковые VPN и утилиты для бизнеса, остальное по мелочи. Тем временем компания доверительно советует насторожиться, если фонарик вдруг попросит залогиниться в фейсбук. Ну, хотя бы не в госуслуги, и то добро.
@tomhunter
Фонарики, мобильные игры, фоторедакторы – полный набор. Причём почти половина приложений из последней категории, около трети – это фейковые VPN и утилиты для бизнеса, остальное по мелочи. Тем временем компания доверительно советует насторожиться, если фонарик вдруг попросит залогиниться в фейсбук. Ну, хотя бы не в госуслуги, и то добро.
@tomhunter
😁15🔥4❤2
#news Занятные сводки с киберфронтов: пророссийские хакеры из KillNet ддосят сайты аэропортов в Штатах, причём относительно успешно. Некоторые недоступны или еле грузятся, включая крупнейшие аэропорты в Лос-Анджелесе и Атланте. Счёт идёт на десяток работающих с перебоями веб-порталов.
Список доменов для ддоса группировка сегодня выложила в телеграм-канале. Прежде KillNet в основном были нацелены на европейские страны, но последнее время переключились на цель покрупнее, атакуя и правительственные сайты в Штатах. Такой вот хактивизм в эпоху масштабных геополитических треволнений.
@tomhunter
Список доменов для ддоса группировка сегодня выложила в телеграм-канале. Прежде KillNet в основном были нацелены на европейские страны, но последнее время переключились на цель покрупнее, атакуя и правительственные сайты в Штатах. Такой вот хактивизм в эпоху масштабных геополитических треволнений.
@tomhunter
🔥33🤡8🤬6😁4💩2❤1
#news Сервисы для самых маленьких злоумышленников продолжают эволюционировать. Новая фишинговая платформа Caffeine предлагает регистрацию и разные подписочные планы всем желающим – никаких инвайтов и сумрачных форумных подворотен. Вместе с тем сервис также богат и на фичи.
Динамичные URL с генератором страниц под жертв, тонкая настройка, редиректы и сами фишинговые страницы, IP-фильтры. Вплоть до встроенной PHP-утилиты для рассылки писем. И шаблоны под российские и китайские платформы вместо привычных западных. Если авторы добавят больше шаблонов, сервис рискует стать серьёзной головной болью, так как порог вхождения совсем низкий. Зачем учить основы HTML/CSS, когда большие киберпреступные дяди всё накодили за тебя.
@tomhunter
Динамичные URL с генератором страниц под жертв, тонкая настройка, редиректы и сами фишинговые страницы, IP-фильтры. Вплоть до встроенной PHP-утилиты для рассылки писем. И шаблоны под российские и китайские платформы вместо привычных западных. Если авторы добавят больше шаблонов, сервис рискует стать серьёзной головной болью, так как порог вхождения совсем низкий. Зачем учить основы HTML/CSS, когда большие киберпреступные дяди всё накодили за тебя.
@tomhunter
🤯11🔥2
#news Не всякая рансомварь одинаково продвинута, и пока у одних в ходу прерывистое шифрование, другие идут более незамысловатым путём. В нашем случае липовые сайты для взрослых скачивают юзеру экзешник “SexyPhotos.JPG”, который засылает любителю клубнички зловред и якобы шифрует файлы. С рансомварь-запиской о краже данных и требованием 300 баксов в битках.
На деле же малварь просто однотипно переименовывает файлы по списку расширений и путей, чтобы их нельзя было распознать. Нет ни шифрования, ни, видимо, «декриптора» – вредонос нигде старые названия не хранит. Более того, он ещё и запускает вайпер, который должен удалить все разделы, кроме С:\. Но автор опечатался в названии скрипта, и он не срабатывает. Что ж, полбалла товарищу за попытку и жирную двойку за исполнение.
@tomhunter
На деле же малварь просто однотипно переименовывает файлы по списку расширений и путей, чтобы их нельзя было распознать. Нет ни шифрования, ни, видимо, «декриптора» – вредонос нигде старые названия не хранит. Более того, он ещё и запускает вайпер, который должен удалить все разделы, кроме С:\. Но автор опечатался в названии скрипта, и он не срабатывает. Что ж, полбалла товарищу за попытку и жирную двойку за исполнение.
@tomhunter
😁13
#news Прокуратура начала вручать пользователям предостережения за посты в Facebook* и Instagram* (*запрещены в России, принадлежат Meta, которая признана в РФ экстремистской).
@tomhunter
совершение действий по привлечению пользователей в социальные сети Facebook и Instagram, а также размещение там материалов, в том числе рекламных, могут рассматриваться как форма участия в экстремистской организации и склонения к участию в ней неопределенного круга лиц...
@tomhunter
💩21🔥7🤡5🤬3🎉1
#news Toyota сообщила о возможной утечке данных пользователей. Однако в этот раз их никто не взламывал. Просто ключ доступа к базе данных приложения T-Connect по ошибке опубликовали на Гитхабе вместе с куском исходников сайта. Где он благополучно и провисел пять лет в открытом доступе.
В базе были только почтовые ящики и клиентские номера на 300 тысяч пользователей; имена, телефоны и кредитки в ней не хранились. Тойота не отрицает, что данные могли утечь, но винит в произошедшем стороннего разработчика. Что ж, хотя бы ключи к базе они сменили. Лучше поздно, чем никогда.
@tomhunter
В базе были только почтовые ящики и клиентские номера на 300 тысяч пользователей; имена, телефоны и кредитки в ней не хранились. Тойота не отрицает, что данные могли утечь, но винит в произошедшем стороннего разработчика. Что ж, хотя бы ключи к базе они сменили. Лучше поздно, чем никогда.
@tomhunter
😁11🔥2
#news Пока товарищ Дуров напоминает о незащищённости WhatsApp, неофициальные версии мессенджера берут новые высоты. Так, новая версия YoWhatsApp не только предлагает юзерам заманчивые функции, но и скачивает троян Triada. С рекламой, скрытыми премиальными подписками и кражей ключей доступа к оригинальному приложению.
В неофициальные клиенты WhatsApp нередко попадает вредоносная начинка за счёт их установки через APK. А ранее в октябре три китайские компании и вовсе пошли под суд, своими форками мессенджера взломавшие больше миллиона аккаунтов для рассылки малвари. Тем временем где-то вдалеке посмеивается один ехидный российский разработчик.
@tomhunter
В неофициальные клиенты WhatsApp нередко попадает вредоносная начинка за счёт их установки через APK. А ранее в октябре три китайские компании и вовсе пошли под суд, своими форками мессенджера взломавшие больше миллиона аккаунтов для рассылки малвари. Тем временем где-то вдалеке посмеивается один ехидный российский разработчик.
@tomhunter
😁20🤔3