#news К новинкам от мира кражи данных с изолированных от сети систем. Исследователи из Университета Корё в Сеуле разработали атаку с применением встроенного динамика компьютера. CASPER, как назвали атаку, использует ультразвук для передачи двоичного кода или азбуки Морзе. В качестве приёмника выступает смартфон или ноутбук на расстоянии до полутора метров. Ранее такой же метод они разработали для внешних динамиков, которые в отличие от внутренних на режимных объектах встречаются редко.
Как обычно, атака требует установки малвари на изолированный компьютер. Далее зловред может искать по системе нужные для передачи файлы или использоваться в качестве кейлоггера. Передача 2048-bit RSA-ключа займёт ~1,5 минуты, файла в 10 килобайт – больше часа, так как возможности передачи данных по звуку ограничены. Тем не менее, в компании шпионских атак вроде ETHERLED, COVID-bit и SATAn интересное пополнение. Подробнее о CASPER по ссылке.
@tomhunter
Как обычно, атака требует установки малвари на изолированный компьютер. Далее зловред может искать по системе нужные для передачи файлы или использоваться в качестве кейлоггера. Передача 2048-bit RSA-ключа займёт ~1,5 минуты, файла в 10 килобайт – больше часа, так как возможности передачи данных по звуку ограничены. Тем не менее, в компании шпионских атак вроде ETHERLED, COVID-bit и SATAn интересное пополнение. Подробнее о CASPER по ссылке.
@tomhunter
🔥9😁3🤡1💯1
#news Исследователи обнаружили новую кампанию по криптоджекингу на уязвимых кластерах Kubernetes. Что в ней примечательно, так это впервые зарегистрированный майнинг Dero, конкурента Monero в плане анонимности и защищённости с большей доходностью от майнинга. Злоумышленники ищут куберы с открытым анонимным доступом к API и засылают майнер для угона ресурсов нод в кластере.
Что занятно, пока исследователи изучали под лупой этот случай криптоджекинга, они застали оператора Monero, зашедшего угнать те же ресурсы. Конкурент удалил майнер Dero и поставил свой, причём с более агрессивным перехватом кластера с эскалацией до хоста и, соответственно, с майнингом на больших ресурсах. Такие вот забавные разборки за территорию среди злоумышленников в цифровую эпоху. Это наш куб! И мы его доим!
@tomhunter
Что занятно, пока исследователи изучали под лупой этот случай криптоджекинга, они застали оператора Monero, зашедшего угнать те же ресурсы. Конкурент удалил майнер Dero и поставил свой, причём с более агрессивным перехватом кластера с эскалацией до хоста и, соответственно, с майнингом на больших ресурсах. Такие вот забавные разборки за территорию среди злоумышленников в цифровую эпоху. Это наш куб! И мы его доим!
@tomhunter
😁13
#news NordVPN опенсорснул исходники своего клиента под Линукс и связанных с ним библиотек LibDrop и Libtelio. Первая библиотека служит для передачи файлов через приватные тоннели, а вторая лежит в основе всех приложений NordVPN и отвечает за создание защищённых сетей в MeshNet. Собственно, в свободном доступе всё это оказалось по следам анонса фичи MeshNet для всех желающих и без подписки – достаточно поставить клиент.
Компания выложила всё это на потеху линуксоидам под эгидой прозрачности и, судя по всему, для борьбы с параноидальными настроениями среди убеждённых шифропанков. Все исходники можно скачивать, компилировать и модифицировать под себя. NordVPN также рассчитывает, что энтузиасты прошерстят код на предмет багов и уязвимостей. В их BB-программе заложены суммы от 10 до 50 тысяч долларов за критические уязвимости. Желающие поковыряться в коде могут отправиться на Гитхаб компании.
@tomhunter
Компания выложила всё это на потеху линуксоидам под эгидой прозрачности и, судя по всему, для борьбы с параноидальными настроениями среди убеждённых шифропанков. Все исходники можно скачивать, компилировать и модифицировать под себя. NordVPN также рассчитывает, что энтузиасты прошерстят код на предмет багов и уязвимостей. В их BB-программе заложены суммы от 10 до 50 тысяч долларов за критические уязвимости. Желающие поковыряться в коде могут отправиться на Гитхаб компании.
@tomhunter
🔥18❤1
#news Под нож ФБР отправился ChipMixer – один из крупнейших криптомиксеров в дарквебе, проработавший с 2017-го года. Платформа позволяла перегонять крипту в неотслеживаемые чипы, которые позже выводились на чистые криптоадреса для дальнейшего вывода в твёрдую валюту. Проще говоря, ландромат для киберпреступников без всяких оговорок про законность и прочих реверансов.
Через ChipMixer отмывали деньги LockBit, Dharma, Suncrypt и другие рансомварщики. А также наркомаркеты, контрабандисты, педофилы и криптоворы. Европол сообщает, что через платформу прогнали до 152 тысяч битков, что по нынешнему курсу тянет почти на три миллиарда евро. И нет, не подумайте, её владельцем не оказался очередной наш соотечественник. Вслед за перехватом сайта был арестован 49-летний гражданин Вьетнама, предполагаемый создатель и оператор ChipMixer. Что ж, ближайшие лет двадцать ему предстоит месить совсем не крипту.
@tomhunter
Через ChipMixer отмывали деньги LockBit, Dharma, Suncrypt и другие рансомварщики. А также наркомаркеты, контрабандисты, педофилы и криптоворы. Европол сообщает, что через платформу прогнали до 152 тысяч битков, что по нынешнему курсу тянет почти на три миллиарда евро. И нет, не подумайте, её владельцем не оказался очередной наш соотечественник. Вслед за перехватом сайта был арестован 49-летний гражданин Вьетнама, предполагаемый создатель и оператор ChipMixer. Что ж, ближайшие лет двадцать ему предстоит месить совсем не крипту.
@tomhunter
😁8😢4❤1🔥1🤡1
#news Исследователи опубликовали проверку концепции под критическую уязвимость на эскалацию привилегий в Microsoft Outlook, CVE-2023-23397. Исправленный на днях нулевой день с рейтингом 9.8 используется в атаках как минимум с апреля 2022-го. И позволяет красть учётные данные NTLM, просто отправив жертве письмо. Эксплойту достаточно, чтобы Outlook был открыт и напоминалка о письме триггернулась в системе. Соответственно, юзер в атаке не задействован.
Эксплойт пересылает злоумышленнику хешированные NTLM-данные, которые позже могут быть использованы в relay-атаках. При этом в нём задействована пара элементарных параметров, что было обнаружено после разбора выпущенного Майкрософт скрипта. Так что число атак под эту уязвимость теперь быстро пойдёт вверх. Читайте подробнее по ссылке и не забывайте накатывать патчи.
@tomhunter
Эксплойт пересылает злоумышленнику хешированные NTLM-данные, которые позже могут быть использованы в relay-атаках. При этом в нём задействована пара элементарных параметров, что было обнаружено после разбора выпущенного Майкрософт скрипта. Так что число атак под эту уязвимость теперь быстро пойдёт вверх. Читайте подробнее по ссылке и не забывайте накатывать патчи.
@tomhunter
❤8🔥2
#news Пятничная новость о находчивых сотрудниках техподдержки Майкрософт. Один пользователь обратился в саппорт, после того как у него десятка не активировалась купленным ключом. И был крайне удивлён, когда сотрудник заглянул к нему через Quick Assist и активировал винду… с помощью кряка. На глазах у озадаченного юзера смекалистый товарищ просто подключился к репозиторию
Между тем в тематических чатах сообщают, что видят такое от техподдержи Майкрософт не впервые. Что ж, их несложно понять: работа в саппорте располагает к поиску самых оригинальных решений. Ты мне тикет дал? Дал. Я тебе его закрыл? Закрыл. А остальное уже несущественные детали.
@tomhunter
massgrave.dev и скачал активатор.Между тем в тематических чатах сообщают, что видят такое от техподдержи Майкрософт не впервые. Что ж, их несложно понять: работа в саппорте располагает к поиску самых оригинальных решений. Ты мне тикет дал? Дал. Я тебе его закрыл? Закрыл. А остальное уже несущественные детали.
@tomhunter
😁34🔥2❤1
#news BreachForums по-прежнему доступен в Интернете, и из просмотра чата в реальном времени на домашней странице сайта видно, что активные пользователи форума только сейчас осознали, что их администратор — и база данных сайта — теперь, вероятно, в руках ФБР.
Напомню, что 15 марта ФБР задержало жителя Нью-Йорка Конора Брайана Фицпатрика, по подозрению в том, что он является владельцем форума BreachForums, выступающим под ником «Pompompurin». BreachForums считается реинкарнацией RaidForums, закрытого ФБР в 2022 году.
@tomhunter
Напомню, что 15 марта ФБР задержало жителя Нью-Йорка Конора Брайана Фицпатрика, по подозрению в том, что он является владельцем форума BreachForums, выступающим под ником «Pompompurin». BreachForums считается реинкарнацией RaidForums, закрытого ФБР в 2022 году.
@tomhunter
🤯8❤3😢3
#news Недавно вышедший из спячки ботнет Emotet оперативно обновили под реалии 2023-го. Привычная рассылка с макросами под Word и Excel результата ожидаемо не принесла, и операторы переключились на хит сезона – вложения в OneNote. Вот вам и новые трюки.
Как и в остальных подобных атаках, в файле под заманчивой плашкой «Кликни меня» скрывается вредоносный VBScript. Скрипт качает dll-ку с ботнетом, а там уже привычные кража почтовых ящиков, контактов и закрепление в сети. Майкрософт обещает закрыть лазейку с OneNote, через которую пускают одну малварь-кампанию за другой, но конкретных сроков не называют. Так что пока остаётся только блокировать доставку OneNote-файлов юзерам вручную.
@tomhunter
Как и в остальных подобных атаках, в файле под заманчивой плашкой «Кликни меня» скрывается вредоносный VBScript. Скрипт качает dll-ку с ботнетом, а там уже привычные кража почтовых ящиков, контактов и закрепление в сети. Майкрософт обещает закрыть лазейку с OneNote, через которую пускают одну малварь-кампанию за другой, но конкретных сроков не называют. Так что пока остаётся только блокировать доставку OneNote-файлов юзерам вручную.
@tomhunter
🔥10🤔1
#news Профильные агентства в Штатах выпустили сводку по LockBit 3.0. Тактики, техники, индикаторы компрометации и прочие детали одной из самых активных и успешных рансомварь-брендов на сегодняшний день. На счету группировки ~1000 жертв по всему миру и более $100 миллионов выкупов. Злоумышленники также в числе наиболее активно атакующих критическую инфраструктуру вместе с Hive и BlackCat.
Из любопытного, локали в исключениях их рансомвари – молдавская, сирийская и татарская. Занятный набор. Версия 3.0 вышла более модульной и скрытной, чем предыдущие, и в коде схожести со зловредом Blackmatter и BlackCat. Группировка не сбавляет обороты несмотря на слитый полгода назад билдер. Подробнее о работе LockBit 3.0 читайте по ссылке.
@tomhunter
Из любопытного, локали в исключениях их рансомвари – молдавская, сирийская и татарская. Занятный набор. Версия 3.0 вышла более модульной и скрытной, чем предыдущие, и в коде схожести со зловредом Blackmatter и BlackCat. Группировка не сбавляет обороты несмотря на слитый полгода назад билдер. Подробнее о работе LockBit 3.0 читайте по ссылке.
@tomhunter
❤8🔥4
#news У Mandiant вышел отчёт по эксплойту нулевых дней за прошлый год. Суммарно 55 уязвимостей были в активном ходу у злоумышленников, в основном в продуктах Майкрософт, Гугл и Эппл – операционки, браузеры и сетевые решения. Почти все на эскалацию привилегий или удалённый код.
Активней всего нулевые дни эксплуатируют в кибершпионаже с китайскими госхакерами во главе. Следом идут рансомварщики. Кроме того, ушедший год выдался рекордным по числу активно эксплуатируемых нулевых дней, и исследователи ожидают, что в 2023-м тренд продолжится. Но переход на облачные сервисы может снизить число раскрытых поставщиками уязвимостей, так как облака обычно не спешат делать их публичными. Подробнее о нулевых днях 2022-го и местах их обитания читайте в отчёте.
@tomhunter
Активней всего нулевые дни эксплуатируют в кибершпионаже с китайскими госхакерами во главе. Следом идут рансомварщики. Кроме того, ушедший год выдался рекордным по числу активно эксплуатируемых нулевых дней, и исследователи ожидают, что в 2023-м тренд продолжится. Но переход на облачные сервисы может снизить число раскрытых поставщиками уязвимостей, так как облака обычно не спешат делать их публичными. Подробнее о нулевых днях 2022-го и местах их обитания читайте в отчёте.
@tomhunter
❤8🔥3
#news Хакерский форум Breached был отключён из опасений, что ФБР получило доступ к серверам. Неделю назад небезызвестный товарищ Pompompurin был арестован в Нью-Йорке, после чего Breached ещё оставался онлайн с юзерами, размышляющими над своей дальнейшей судьбой в общем чате.
Ранее Pompompurin утверждал, что даже в случае его ареста Breached продолжит работу. Тем не менее, оставшийся в админке некто Baphomet отказался от изначального плана перенести сайт на новую инфраструктуру ради восстановления опсека и продолжения работы форума. Как сообщает финальный апдейт, есть основания считать, что люди в чёрном получили доступ к компьютерам Pompompurin’a – кто-то на днях логинился на один из серверов. Видимо, гроза всех шифропанков, мистер паяльник от добродушного агента ФБР, в том или ином виде возымел эффект. Дальнейшая судьба форума туманна. Остаётся ждать новой итерации хаба киберпреступных ковбоев, как было с Breached, пришедшим на смену RaidForums.
@tomhunter
Ранее Pompompurin утверждал, что даже в случае его ареста Breached продолжит работу. Тем не менее, оставшийся в админке некто Baphomet отказался от изначального плана перенести сайт на новую инфраструктуру ради восстановления опсека и продолжения работы форума. Как сообщает финальный апдейт, есть основания считать, что люди в чёрном получили доступ к компьютерам Pompompurin’a – кто-то на днях логинился на один из серверов. Видимо, гроза всех шифропанков, мистер паяльник от добродушного агента ФБР, в том или ином виде возымел эффект. Дальнейшая судьба форума туманна. Остаётся ждать новой итерации хаба киберпреступных ковбоев, как было с Breached, пришедшим на смену RaidForums.
@tomhunter
🔥6❤2🤔2
#news В инструменте «Ножницы» под Windows 11 обнаружилась занятная уязвимость. Исходные данные PNG-изображения сохраняются в файле после редактирования, если перезаписать оригинальный файл обрезанной версией. Так что изображение можно частично восстановить с помощью простенького скрипта. Уязвимость остроумно окрестили «Acropalypse». Исследователи сообщают, что эксплойт можно подогнать и под JPG-файлы.
Не смейтесь, но ножницы от Мелкософта элементарно не обрезают неиспользованные данные в картинке после её перезаписи. Они так и висят в файле после куска кода IEND в отредактированном изображении. У тебя была одна задача, Snipping Tool. Только одна задача.
@tomhunter
Не смейтесь, но ножницы от Мелкософта элементарно не обрезают неиспользованные данные в картинке после её перезаписи. Они так и висят в файле после куска кода IEND в отредактированном изображении. У тебя была одна задача, Snipping Tool. Только одна задача.
@tomhunter
😁20❤5🔥4😢2🤡1
#news Гугл забанил приложение гигантского китайского маркетплейса Pinduoduo из-за малвари в нём. За невинным заголовком любопытная история: приложение использует уязвимости под Андроид для эскалации привилегий и кражи пользовательских данных. А заодно закрепляется в системе и препятствует удалению.
О цепочке эксплойтов на доступ к файловой системе в неназванном коммерческом приложении писали с ноября прошлого года. И раньше прочих его раскрыли внезапно на Breached: любознательный юзер почившего форума нашёл в приложении Pinduoduo кусок вредоносного кода, который ранее показывали исследователи. Между тем у приложения маркетплейса в Китае почти миллиард пользователей. К вопросу о том, почему США считают Китай главной киберугрозой. Ну а у нас в скором времени приложение AliExpress, видимо, начнёт зачитывать нетленное «Я простой рабочий Иван город Тверь…»
@tomhunter
О цепочке эксплойтов на доступ к файловой системе в неназванном коммерческом приложении писали с ноября прошлого года. И раньше прочих его раскрыли внезапно на Breached: любознательный юзер почившего форума нашёл в приложении Pinduoduo кусок вредоносного кода, который ранее показывали исследователи. Между тем у приложения маркетплейса в Китае почти миллиард пользователей. К вопросу о том, почему США считают Китай главной киберугрозой. Ну а у нас в скором времени приложение AliExpress, видимо, начнёт зачитывать нетленное «Я простой рабочий Иван город Тверь…»
@tomhunter
🤔10😁5🤯3
#news В софте для управления сервером CloudPanel обнаружили ворох уязвимостей. Так, установочный скрипт сбрасывает ufw-правила и ставит менее строгие. Закрывший доступ с левых айпишников админ обнаружит порты открытыми всем желающим. Незапароленный при установке аккаунт суперюзера делу тоже не поможет. Ну а чтобы злоумышленники легко нашли уязвимые сервера, CloudPanel идёт со статичным SSL-сертификатом с одним ключом на всех.
В итоге цепочка уязвимостей позволяет перехватить сервер, пока CloudPanel деплоят. Между тем софт рассчитан на энтузиастов с собственным хостингом. И Shodan находит почти 6,000 серверов с ним на дефолтном сертификате. «Одержимость простотой» на пользу панели не пошла. О безопасности тоже стоило подумать.
@tomhunter
В итоге цепочка уязвимостей позволяет перехватить сервер, пока CloudPanel деплоят. Между тем софт рассчитан на энтузиастов с собственным хостингом. И Shodan находит почти 6,000 серверов с ним на дефолтном сертификате. «Одержимость простотой» на пользу панели не пошла. О безопасности тоже стоило подумать.
@tomhunter
🔥6😁3❤1🤯1
#news До Квон добрался аж до Балкан. Человека с фальшивыми документами, похожего на создателя печально известного токена TerraUSD (UST), задержали в аэропорту черногорской Подгорицы.
В мае прошлого года стейблкоин UST обвалился вместе с LUNA, к которой был привязан. Уже в сентябре южнокорейский суд выдал ордер на арест местного косплеера Мавроди, и тот оперативно скрылся. Прокуратура парой месяцев спустя начала предполагать, что пропавший скрывается в Сербии — судя по всему, они были не так уж и далеки от истины.
Что ж, если это действительно До Квон, ему придётся теперь разбираться с $42 миллиардами потерь бывших держателей его монеток. А остальным алгоритмическим стейблкоинам пожелаем больше удачи и меньше громких обещаний.
@tomhunter
В мае прошлого года стейблкоин UST обвалился вместе с LUNA, к которой был привязан. Уже в сентябре южнокорейский суд выдал ордер на арест местного косплеера Мавроди, и тот оперативно скрылся. Прокуратура парой месяцев спустя начала предполагать, что пропавший скрывается в Сербии — судя по всему, они были не так уж и далеки от истины.
Что ж, если это действительно До Квон, ему придётся теперь разбираться с $42 миллиардами потерь бывших держателей его монеток. А остальным алгоритмическим стейблкоинам пожелаем больше удачи и меньше громких обещаний.
@tomhunter
😁13
#news Гитхаб сменил свой приватный SSH-ключ, после того как тот был нечаянно опубликован в публичном репозитории. В посте по следам события доверительно сообщают, что ключ был в открытом доступе совсем недолго, нет причин полагать, что его кто-либо абьюзил, а сменили его вообще от чрезмерной предосторожности.
При этом ключ-то менять нужно независимо от. И что занятно, конкретные временные рамки, сколько он так провисел, Гитхаб не называет, хотя это всё это должно быть в логах и истории коммитов. И его собственная фича по сканированию публичных репозиториев увидела релиз всего три недели назад… Так что всё это звучит немного подозрительно. Впрочем, даже если за всем этим и правда скрывается неловкий гитхабовый конфуз, есть повод и порадоваться: фичу со сканированием разрабатывали-то совсем не зря!
@tomhunter
При этом ключ-то менять нужно независимо от. И что занятно, конкретные временные рамки, сколько он так провисел, Гитхаб не называет, хотя это всё это должно быть в логах и истории коммитов. И его собственная фича по сканированию публичных репозиториев увидела релиз всего три недели назад… Так что всё это звучит немного подозрительно. Впрочем, даже если за всем этим и правда скрывается неловкий гитхабовый конфуз, есть повод и порадоваться: фичу со сканированием разрабатывали-то совсем не зря!
@tomhunter
😁14🔥1🤔1
#news С Гитхаба по запросу из Твиттера удалили репозиторий с частью исходников их кода. Его выложил некий FreeSpeechEnthusiast – скорее всего, недовольный увольнением сотрудник. Как сообщают, в коде была инфа об эксплойтах. При этом сколько он провисел в сети – неясно. Возможно, и несколько месяцев, пока компания это не заметила.
Между тем в Твиттере такой выкрутас не оценили. Они мало того, что требуют от Гитхаба через суд раскрыть личность опубликовавшего код юзера. Но ещё и запросили данные пользователей, просмотревших и скопировавших код. Теперь, видимо, ненароком заглянувшим в дебри индусского поделия стоит ждать Твиттер-киберполицию на пороге. Ни Твиттер, ни Гитхаб, кстати, этот конфуз никак не комментируют. Энтузиазма по поводу свободы слова, так сказать, не завезли.
@tomhunter
Между тем в Твиттере такой выкрутас не оценили. Они мало того, что требуют от Гитхаба через суд раскрыть личность опубликовавшего код юзера. Но ещё и запросили данные пользователей, просмотревших и скопировавших код. Теперь, видимо, ненароком заглянувшим в дебри индусского поделия стоит ждать Твиттер-киберполицию на пороге. Ни Твиттер, ни Гитхаб, кстати, этот конфуз никак не комментируют. Энтузиазма по поводу свободы слова, так сказать, не завезли.
@tomhunter
😁15🔥3❤1🤬1
#news Ещё одна занятная ультразвуковая атака, на этот раз с чернозеркальным подтекстом вместо шпионских страстей по Мордекаю Гюри. NUIT-атака (Near-Ultrasound Inaudible Trojan) от исследователей из Штатов рассчитана на угон устройств с голосовыми ассистентами – смартфонов, колонок и прочих девайсов из интернета вещей.
Атака подразумевает проигрываемое на близком к ультразвуковому уровню сообщение. Так, вредоносный сайт с ним или видео на Ютубе – вплоть до звонка в Зуме – могут передать команду на устройство. Исследователи демонстрируют это на примере колонок. На видео Алекса парой ультразвуков длиной меньше секунды переводится в тихий режим и отпирает входную или гаражную дверь. Из 17 популярных ассистентов подставили владельца все, кроме яблочной Сири с идентификацией по образцу голоса. Матёрый безопасник из бородатого анекдота, готовый выпустить обойму в подозрительно запиликавший принтер, явно что-то знал.
@tomhunter
Атака подразумевает проигрываемое на близком к ультразвуковому уровню сообщение. Так, вредоносный сайт с ним или видео на Ютубе – вплоть до звонка в Зуме – могут передать команду на устройство. Исследователи демонстрируют это на примере колонок. На видео Алекса парой ультразвуков длиной меньше секунды переводится в тихий режим и отпирает входную или гаражную дверь. Из 17 популярных ассистентов подставили владельца все, кроме яблочной Сири с идентификацией по образцу голоса. Матёрый безопасник из бородатого анекдота, готовый выпустить обойму в подозрительно запиликавший принтер, явно что-то знал.
@tomhunter
🔥19❤2😁2💩2
#news В Ванкувере завершилось ежегодное хакерское соревнование Pwn2Own 2023. За три дня хакеры унесли 1,035,000 долларов и Tesla Model 3 за 27 нулевых дней и взлом самой Теслы. Половина суммы и машина досталась умельцам из команды Synacktiv.
Эксплойты к нулевым дням в этот раз были в Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox. Эскалация привилегий через TOCTOU-атаку под макось, переполнение кучи под Теслу, цепочки из трёх багов на эскалацию под Oracle VirtualBox, UAF-уязвимость в полностью патченной Windows 11 и многое другое от виртуозов-белошляпочников. Как обычно, у компаний есть 90 дней для выпуска патчей, прежде чем Zero Day Initiative раскроет подробности нулевых дней. Подробнее о Pwn2Own 2023 читайте по ссылке, а также есть видеообзор по следам события.
@tomhunter
Эксплойты к нулевым дням в этот раз были в Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox. Эскалация привилегий через TOCTOU-атаку под макось, переполнение кучи под Теслу, цепочки из трёх багов на эскалацию под Oracle VirtualBox, UAF-уязвимость в полностью патченной Windows 11 и многое другое от виртуозов-белошляпочников. Как обычно, у компаний есть 90 дней для выпуска патчей, прежде чем Zero Day Initiative раскроет подробности нулевых дней. Подробнее о Pwn2Own 2023 читайте по ссылке, а также есть видеообзор по следам события.
@tomhunter
❤11🔥3
#news К новинкам малвари. На этот раз у нас занятный MaaS-инфостилер под Макось – редкость на рынке, в основном работающему по Винде. MacStealer крадёт данные доступа с iCloud KeyChain, браузеров, кошельков и ворох файлов по расширениям. Жертва получает DMG-файл со зловредом и в случае его запуска и ввода пароля в фейковом окне запускает команду на стягивание данных с устройства. Функционал на схеме.
Малварь рассчитана под версии от Catalina до Ventura, самой свежей. При этом она пока находится в активной разработке и идёт без билдера и панели по сто баксов со злоумышленника за бета-версию. Так что вполне можно ожидать, что MacStealer доработают во что-то большее. А с погоней киберпреступников за криптокошельками спрос на работающие по ним инфостилеры под Макось будет только расти. Подробнее о MacStealer с IOCs, серверами и прочим в отчёте.
@tomhunter
Малварь рассчитана под версии от Catalina до Ventura, самой свежей. При этом она пока находится в активной разработке и идёт без билдера и панели по сто баксов со злоумышленника за бета-версию. Так что вполне можно ожидать, что MacStealer доработают во что-то большее. А с погоней киберпреступников за криптокошельками спрос на работающие по ним инфостилеры под Макось будет только расти. Подробнее о MacStealer с IOCs, серверами и прочим в отчёте.
@tomhunter
❤6🔥1
Если со мной говорят от лица истины в конечной инстанции, я сразу понимаю, что имею дело с идиотом. Передаю привет каналу Метла, администратор которого использует эстонский номер мобильного телефона Теле2 +3725551****, электронную почту tuisupea****@gmail.com и аккаунт ВК https://vk.com/id60****416. В миру, администратор откликается на имя Настя. Полные данные не публикую, поскольку чту требования 152-ФЗ и GDPR. Благодарю за интерес к нашим разработкам!
@tomhunter
@tomhunter
😁58🔥7🤡5💩4🤯2💯2❤1🤔1