#news В идущей рансомварь-кампании злоумышленники используют JavaScript-файлы для заражения домашних машин. И её успешность, похоже, объясняется тем, что файлы обходят веб-метку безопасности на винде. Файлы подписаны искажённой цифровой подписью и, получая метку при скачивании, не отображают предупреждение при открытии файла.
Исследователям удалось воспроизвести нулевой день, и появился он в десятке и старше – что-то не так с новой фичей SmartScreen. При переключении на легаси-MoTW, баг не срабатывает. В последней винде подписанные таким образом файлы обходят защиту при открытии только из архива, в десятке – в любом виде. Как выяснилось, эксплойт работает с любыми файлами с цифровой подписью, в том числе и экзешниками – достаточно изменить пару байтов hex-редактором, чтобы исказить подпись. Так что натасканный на окошко с предупреждением юзер Павлова рискует остаться в простаках.
@tomhunter
Исследователям удалось воспроизвести нулевой день, и появился он в десятке и старше – что-то не так с новой фичей SmartScreen. При переключении на легаси-MoTW, баг не срабатывает. В последней винде подписанные таким образом файлы обходят защиту при открытии только из архива, в десятке – в любом виде. Как выяснилось, эксплойт работает с любыми файлами с цифровой подписью, в том числе и экзешниками – достаточно изменить пару байтов hex-редактором, чтобы исказить подпись. Так что натасканный на окошко с предупреждением юзер Павлова рискует остаться в простаках.
@tomhunter
😁11🔥4
#news На просторах сети масштабная тайпсквот-кампания под Винду и Андроид. Исследователи насчитали больше двухсот доменов, мимикрирующих под популярный софт. В активе у злоумышленников двадцать семь брендов от Тиктока и Пейпала до криптокошельков и браузеров. Вплоть до фейкового сайта Notepad++, доставляющего юзеру 700 метров раздутого для обхода анализа вредоноса Vidar Stealer.
На малварь они тоже не поскупились: банковский троян ERMAC, удалённый доступ, кража инфы, кошельков, nft и сид-фраз, кейлоггер – проверяют, от чего будет больше толку. Так что у невнимательных юзеров есть возможность ненароком поучаствовать в эксперименте с подбором вредоноса поэффективнее.
@tomhunter
На малварь они тоже не поскупились: банковский троян ERMAC, удалённый доступ, кража инфы, кошельков, nft и сид-фраз, кейлоггер – проверяют, от чего будет больше толку. Так что у невнимательных юзеров есть возможность ненароком поучаствовать в эксперименте с подбором вредоноса поэффективнее.
@tomhunter
🔥13🤯2
#news Пока новое воплощение Racoon Stealer набирает обороты, один из злоумышленников оказался в местах не столь отдалённых. Согласно раскрытым документам, украинца Марка Соколовского, он же raccoonstealer, Photix, и black21jack77777, арестовали в Нидерландах ещё в марте, его ждёт экстрадиция в Штаты. Его называют одним из ключевых администраторов малвари.
Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали совсем иное. Похоже, тогда они свернулись по гораздо более прозаичным причинам. Между тем у ФБР на руках часть украденных Racoon Stealer данных в количестве 50 млн. единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, где все желающие могут проверить, не затесался ли в архив с наворованным енотом его имейл.
@tomhunter
Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали совсем иное. Похоже, тогда они свернулись по гораздо более прозаичным причинам. Между тем у ФБР на руках часть украденных Racoon Stealer данных в количестве 50 млн. единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, где все желающие могут проверить, не затесался ли в архив с наворованным енотом его имейл.
@tomhunter
🔥12😁3❤2
#news Очередной чудесный пример из серии «Как не надо заниматься инфобезом». Крупнейший агрегатор билетов See Tickets с охватом в 6-9 миллионов посещений в месяц сообщает, что в их системах был скиммер, кравший данные карт юзеров. На протяжение 2,5 лет. О взломе им сообщили в апреле 2021-го, до января компания решала проблему и под конец года уведомляет пользователей. Что сказать, своевременно.
Между тем пишут, в одном только Техасе 90 тысяч жертв скиммера, так что счёт может идти на сотни тысяч. Утекли ФИО, адреса и вся инфа с банковских карт. И никаких мер по защите данных компания не предложила, только пожелала юзерам держаться и хорошего настроения. Билеты вижу. Прорехи эпических масштабов в своих системах не вижу.
@tomhunter
Между тем пишут, в одном только Техасе 90 тысяч жертв скиммера, так что счёт может идти на сотни тысяч. Утекли ФИО, адреса и вся инфа с банковских карт. И никаких мер по защите данных компания не предложила, только пожелала юзерам держаться и хорошего настроения. Билеты вижу. Прорехи эпических масштабов в своих системах не вижу.
@tomhunter
😁14🔥2🤬1
#news Любопытный образчик масштабного фриджекинга для майнинга крипты. Злоумышленник использует тысячи бесплатных CI/CD-аккаунтов на GitHub, Heroku и Buddy. Linuxapp-контейнер в качестве C2-сервера, shell-скрипт для создания аккаунтов, репозиториев и Github Actions. Образы на Docker Hub для доставки майнера с обходом бот-защиты от VPN под каждый аккаунт до нескольких инструментов распознавания капчи. Больше техдеталей в отчёте.
Работа по автоматизации и обфускации проделана впечатляющая, но финансовый выхлоп от мелкой крипты невысок. Возможно, автор только тестирует систему. Если бы он переключился на майнинг Monero, по подсчётам исследователей, одна монетка обходилась бы сервисам больше чем в $100 тысяч. Либо это может быть заход на угон очередной DeFi-платформы через большинство в сети. Тогда сумрачный гений ещё всплывёт в новостях.
@tomhunter
Работа по автоматизации и обфускации проделана впечатляющая, но финансовый выхлоп от мелкой крипты невысок. Возможно, автор только тестирует систему. Если бы он переключился на майнинг Monero, по подсчётам исследователей, одна монетка обходилась бы сервисам больше чем в $100 тысяч. Либо это может быть заход на угон очередной DeFi-платформы через большинство в сети. Тогда сумрачный гений ещё всплывёт в новостях.
@tomhunter
🔥11🤯2🤡1
#news Британского хакера Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Он же был разработчиком малвари GovRAT.
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
❤12🔥3😁2🤔1
#news В сетевых дебрях замечен новый метод управления малварью. Вместо C2-серверов злоумышленники из The Cranefly используют IIS-логи. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд.
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
🔥19🤯2😁1
#news Один безопасник написал опенсорсовый инструмент, который сканирует публичные AWS S3 бакеты и ищет случайно оказавшихся в общем доступе ключи, токены и прочее пикантное. В общем, автоматизированный grayhatwarfare. Сканер заточен под неверно настроенные хранилища и проверку текстовых файлов в них на предмет секретов. Скачанное он прогоняет через Trufflehog3.
S3crets Scanner пригодится компаниям для пентеста своих бакетов на коленке во избежание неловких историй с утечками. Все желающие также могут нацепить белую шляпу и пройтись сканером по сети в поисках дырявых ведёр, пока до них не добрался кто-нибудь более предприимчивый и злонамеренный. И оставить держателям сердечное послание в духе примера из статьи: «Дорогой владелец, твой бакет открыт на чтение/запись, но так как Bug Bounty программы ты не завёз, я просто оставлю это здесь. Скорее чини. Всегда твой, белошляпочник».
@tomhunter
S3crets Scanner пригодится компаниям для пентеста своих бакетов на коленке во избежание неловких историй с утечками. Все желающие также могут нацепить белую шляпу и пройтись сканером по сети в поисках дырявых ведёр, пока до них не добрался кто-нибудь более предприимчивый и злонамеренный. И оставить держателям сердечное послание в духе примера из статьи: «Дорогой владелец, твой бакет открыт на чтение/запись, но так как Bug Bounty программы ты не завёз, я просто оставлю это здесь. Скорее чини. Всегда твой, белошляпочник».
@tomhunter
🔥8😁4🤯1
#news Кребс нарыл новых занятных подробностей о Марке Соколовском, арестованном в марте ключевом разработчике Racoon Stealer. На момент известных событий товарищ проживал в Харькове, но вскоре сбежал, судя по всему, подкупив пограничников. Однако наш антигерой не знал, что за ним давно следило ФБР.
Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но пару дней спустя его приняли в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.
@tomhunter
Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но пару дней спустя его приняли в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.
@tomhunter
🔥12🎉3🤯1🤡1
Октябрь 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
🤔5❤3
#news Dropbox сообщил о взломе: в середине октября злоумышленники украли 130 репозиториев с одного из их Гитхаб-аккаунтов. В некоторых API-ключи разработчиков, помимо кода утекли несколько тысяч имён и ящиков работников и клиентов сервиса. Компания утверждает, что критичные репозитории не затронуты. В утёкших сторонние библиотеки, часть внутренних прототипов, инструменты и конфиги их безопасников.
Причиной взлома стала фишинговая атака по работникам Дропбокса от лица платформы CircleCI; ранее в сентябре так уже угоняли аккаунты на Гитхабе. По следам утечки Dropbox обещает повсеместно перейти на «золотой стандарт» в виде WebAuthn с токенами и биометрией. Но заодно оговаривается, что со всеми фишинговыми атаками не справится и самый бдительный профессионал. Так, на всякий случай.
@tomhunter
Причиной взлома стала фишинговая атака по работникам Дропбокса от лица платформы CircleCI; ранее в сентябре так уже угоняли аккаунты на Гитхабе. По следам утечки Dropbox обещает повсеместно перейти на «золотой стандарт» в виде WebAuthn с токенами и биометрией. Но заодно оговаривается, что со всеми фишинговыми атаками не справится и самый бдительный профессионал. Так, на всякий случай.
@tomhunter
🔥7🤔2🤯2
#news В Гугле замечена занятная реклама Гимпа. В ней юзер видит ссылку на актуальный сайт редактора (
Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
gіmp.org), но вместо него попадает на подставной с доменным именем gilimp.org. На котором получает раздутый до 700 метров инфостилер VIDAR. Неделю назад писал об активной тайпсквот-кампании по его распространению.Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
😁15🤬3🔥2🤔2
#news На просторах сети всплыл продвинутый клиппер-как-услуга для криптоадресов. Вместо простой подмены кошелька он генерирует похожий на тот, что у жертвы. Судя по тестам, одинаковые в них первые и последние несколько символов. Как новинка это делает, неясно. Возможно, заранее сгенерированный огромный массив адресов.
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
🔥13🤯5❤1🎉1
#news Если кто помнит, был такой финский паренёк Юлиус Кивимяки, он же Ryan и Zeekill. В 2015-м его обвинили в более чем 50 тысячах киберпреступлений, но 17-летний шельмец отделался двумя годами условно. И как выяснилось, он же под ником ransom_man шантажировал онлайн-сервис психотерапии Vastaamo, который обанкротился после встряхнувшей Финляндию шумихи.
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
😁30🔥2
#news Занятные новости из Великобритании: правительство начало сканировать все хостящиеся в стране устройства на предмет уязвимостей. Заявленной целью программы является оценить, насколько системы защищены от атак, и уведомить владельцев о прорехах в безопасности. Сканеры настроены на самые распространённые и критические уязвимости, собирают HTTP-ответы, включая заголовки, и в целом всю информацию по подключению к сервисам и веб-серверам.
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
🔥11😁8🤔1
Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!
🔥7❤2
#news Исследователи обнаружили, что через
Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
@tomhunter
urlscan.io утекает куча чувствительной информации. Страницы для сброса пароля, API-ключи, инвойсы, расшаренные доки, инвайты, ссылки для отслеживания посылок – полный набор.Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
urlscan.io может стать и вектором атаки, скажем, если злоумышленник перехватит ссылки для сброса пароля. А также раздольем для спамеров и фишеров. Вот и посканировали.@tomhunter
🔥12🤯2❤1💩1
#news На заре криптовалютной эпохи в 2012-м с небезызвестной дарквеб-площадки Silk Road украли 50,000 биткоинов. Злоумышленник воспользовался багом в процедуре возврата средств, стянул крипту 140 транзакциями, и дальше её след затерялся на 10 лет. Ну а теперь загадка разрешилась: вора нашли, и он пошёл под суд в штатах. Ему грозит до 20 лет тюрьмы.
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
🔥10🤔3💩1
#news Что получается у злоумышленников, которые просто хотят видеть мир в огне? Рансомварь Азов. Точнее, вайпер: зловред забивает каждые вторые 666 байт файлов мусором и заражает экзешники, а контактов автора в записке нет. Вместо них невнятная солянка по мотивам текущей новостной повестки. Более того, в качестве авторов указаны известные безопасники и журналисты с Bleeping Computer – видимо, для создания инфоповода.
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
🤔15🔥3💩2🤡1
#news Малоизвестный факт, но в России есть свой аналог Тик Тока – соцсеть YAPPY. И в новости он сегодня залетает взломом: в открытом доступе база с четырьмя таблицами. ФИО юзеров, почты, телефоны, хешированные пароли, сведения об устройствах и прочие техдетали. Больше двух с половиной миллионов пользователей, 2,2 миллиона уникальных телефонов. Инфа актуальна на 1 июля этого года.
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
🤡17😁10❤3
Про Google доркинг написано и сказано немало. С помощью расширенных операторов поиска можно найти абсолютно все что Google проиндексировал. А проиндексировал он очень и очень много…И в данной статье мы решили углубиться в тему доркинга и рассмотреть вопрос его практического применения при проверке контрагентов. Вот так можно применять Google Dorking не только в стезе этичного хакинга) Приятного чтения!
🔥14