#news С Гитхаба по запросу из Твиттера удалили репозиторий с частью исходников их кода. Его выложил некий FreeSpeechEnthusiast – скорее всего, недовольный увольнением сотрудник. Как сообщают, в коде была инфа об эксплойтах. При этом сколько он провисел в сети – неясно. Возможно, и несколько месяцев, пока компания это не заметила.
Между тем в Твиттере такой выкрутас не оценили. Они мало того, что требуют от Гитхаба через суд раскрыть личность опубликовавшего код юзера. Но ещё и запросили данные пользователей, просмотревших и скопировавших код. Теперь, видимо, ненароком заглянувшим в дебри индусского поделия стоит ждать Твиттер-киберполицию на пороге. Ни Твиттер, ни Гитхаб, кстати, этот конфуз никак не комментируют. Энтузиазма по поводу свободы слова, так сказать, не завезли.
@tomhunter
Между тем в Твиттере такой выкрутас не оценили. Они мало того, что требуют от Гитхаба через суд раскрыть личность опубликовавшего код юзера. Но ещё и запросили данные пользователей, просмотревших и скопировавших код. Теперь, видимо, ненароком заглянувшим в дебри индусского поделия стоит ждать Твиттер-киберполицию на пороге. Ни Твиттер, ни Гитхаб, кстати, этот конфуз никак не комментируют. Энтузиазма по поводу свободы слова, так сказать, не завезли.
@tomhunter
😁15🔥3❤1🤬1
#news Ещё одна занятная ультразвуковая атака, на этот раз с чернозеркальным подтекстом вместо шпионских страстей по Мордекаю Гюри. NUIT-атака (Near-Ultrasound Inaudible Trojan) от исследователей из Штатов рассчитана на угон устройств с голосовыми ассистентами – смартфонов, колонок и прочих девайсов из интернета вещей.
Атака подразумевает проигрываемое на близком к ультразвуковому уровню сообщение. Так, вредоносный сайт с ним или видео на Ютубе – вплоть до звонка в Зуме – могут передать команду на устройство. Исследователи демонстрируют это на примере колонок. На видео Алекса парой ультразвуков длиной меньше секунды переводится в тихий режим и отпирает входную или гаражную дверь. Из 17 популярных ассистентов подставили владельца все, кроме яблочной Сири с идентификацией по образцу голоса. Матёрый безопасник из бородатого анекдота, готовый выпустить обойму в подозрительно запиликавший принтер, явно что-то знал.
@tomhunter
Атака подразумевает проигрываемое на близком к ультразвуковому уровню сообщение. Так, вредоносный сайт с ним или видео на Ютубе – вплоть до звонка в Зуме – могут передать команду на устройство. Исследователи демонстрируют это на примере колонок. На видео Алекса парой ультразвуков длиной меньше секунды переводится в тихий режим и отпирает входную или гаражную дверь. Из 17 популярных ассистентов подставили владельца все, кроме яблочной Сири с идентификацией по образцу голоса. Матёрый безопасник из бородатого анекдота, готовый выпустить обойму в подозрительно запиликавший принтер, явно что-то знал.
@tomhunter
🔥19❤2😁2💩2
#news В Ванкувере завершилось ежегодное хакерское соревнование Pwn2Own 2023. За три дня хакеры унесли 1,035,000 долларов и Tesla Model 3 за 27 нулевых дней и взлом самой Теслы. Половина суммы и машина досталась умельцам из команды Synacktiv.
Эксплойты к нулевым дням в этот раз были в Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox. Эскалация привилегий через TOCTOU-атаку под макось, переполнение кучи под Теслу, цепочки из трёх багов на эскалацию под Oracle VirtualBox, UAF-уязвимость в полностью патченной Windows 11 и многое другое от виртуозов-белошляпочников. Как обычно, у компаний есть 90 дней для выпуска патчей, прежде чем Zero Day Initiative раскроет подробности нулевых дней. Подробнее о Pwn2Own 2023 читайте по ссылке, а также есть видеообзор по следам события.
@tomhunter
Эксплойты к нулевым дням в этот раз были в Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox. Эскалация привилегий через TOCTOU-атаку под макось, переполнение кучи под Теслу, цепочки из трёх багов на эскалацию под Oracle VirtualBox, UAF-уязвимость в полностью патченной Windows 11 и многое другое от виртуозов-белошляпочников. Как обычно, у компаний есть 90 дней для выпуска патчей, прежде чем Zero Day Initiative раскроет подробности нулевых дней. Подробнее о Pwn2Own 2023 читайте по ссылке, а также есть видеообзор по следам события.
@tomhunter
❤11🔥3
#news К новинкам малвари. На этот раз у нас занятный MaaS-инфостилер под Макось – редкость на рынке, в основном работающему по Винде. MacStealer крадёт данные доступа с iCloud KeyChain, браузеров, кошельков и ворох файлов по расширениям. Жертва получает DMG-файл со зловредом и в случае его запуска и ввода пароля в фейковом окне запускает команду на стягивание данных с устройства. Функционал на схеме.
Малварь рассчитана под версии от Catalina до Ventura, самой свежей. При этом она пока находится в активной разработке и идёт без билдера и панели по сто баксов со злоумышленника за бета-версию. Так что вполне можно ожидать, что MacStealer доработают во что-то большее. А с погоней киберпреступников за криптокошельками спрос на работающие по ним инфостилеры под Макось будет только расти. Подробнее о MacStealer с IOCs, серверами и прочим в отчёте.
@tomhunter
Малварь рассчитана под версии от Catalina до Ventura, самой свежей. При этом она пока находится в активной разработке и идёт без билдера и панели по сто баксов со злоумышленника за бета-версию. Так что вполне можно ожидать, что MacStealer доработают во что-то большее. А с погоней киберпреступников за криптокошельками спрос на работающие по ним инфостилеры под Макось будет только расти. Подробнее о MacStealer с IOCs, серверами и прочим в отчёте.
@tomhunter
❤6🔥1
Если со мной говорят от лица истины в конечной инстанции, я сразу понимаю, что имею дело с идиотом. Передаю привет каналу Метла, администратор которого использует эстонский номер мобильного телефона Теле2 +3725551****, электронную почту tuisupea****@gmail.com и аккаунт ВК https://vk.com/id60****416. В миру, администратор откликается на имя Настя. Полные данные не публикую, поскольку чту требования 152-ФЗ и GDPR. Благодарю за интерес к нашим разработкам!
@tomhunter
@tomhunter
😁58🔥7🤡5💩4🤯2💯2❤1🤔1
#news В протоколе Wi-Fi IEEE 802.11 нашли критическую уязвимость, позволяющую перехватывать сетевые фреймы в виде незашифрованного текста. В сущности это ставит под удар всевозможные устройства на множестве операционок, так как позволяет угонять TCP-соединения, перехватывать пакеты и инджектить в них зловред.
Уязвимость кроется в механизме энергосбережения протокола, позволяющего отправлять в буфер/очередь фреймы для устройств в спящем режиме. В нём отсутствует адекватная защита для фреймов и ограничения по их хранению в буфере. И подмена MAC-адреса сспящего устройства с фреймами аутентификации позволяет перенаправить их с точки доступа на атакующее устройство в незашифрованном виде. Первой уязвимость прокомментировали в Cisco, но назвали атаку ситуативной и с минимальным эффектом на защищённые сети. Подробнее об атаке в отчёте исследователей и комментарии от Cisco.
@tomhunter
Уязвимость кроется в механизме энергосбережения протокола, позволяющего отправлять в буфер/очередь фреймы для устройств в спящем режиме. В нём отсутствует адекватная защита для фреймов и ограничения по их хранению в буфере. И подмена MAC-адреса сспящего устройства с фреймами аутентификации позволяет перенаправить их с точки доступа на атакующее устройство в незашифрованном виде. Первой уязвимость прокомментировали в Cisco, но назвали атаку ситуативной и с минимальным эффектом на защищённые сети. Подробнее об атаке в отчёте исследователей и комментарии от Cisco.
@tomhunter
🔥9😁2❤1
#news Эксперты призвали приостановить разработку ИИ-систем. Более тысячи человек обратились с призывом немедленно прекратить разработку систем мощнее GPT-4 как минимум на полгода, пока не будут проработаны протоколы безопасности для дальнейшей работы искусственного уже–почти-не-болванчика. Среди подписантов именитые разработчики и пионеры ИИ, Илон Маск и прочие известные личности. В случае отсутствия консенсуса, подписанты просят правительства вмешаться и наложить мораторий на разработку.
Между тем опасения совсем не беспочвенны: от написанной за секунды малвари до всевозможных аудио- и фотофейков — в считанные месяцы GPT приоткрыл дверь в тревожный мир цифровой пост-правды, о котором предупреждали футорологи-алармисты. Не говоря уже о стремительном развитии ИИ-моделей, грозящих резко превзойти человека во многих сферах. Ждёт ли нас «лето ИИ» из письма или его безжалостная поступь по миру, узнаем уже совсем скоро.
@tomhunter
Между тем опасения совсем не беспочвенны: от написанной за секунды малвари до всевозможных аудио- и фотофейков — в считанные месяцы GPT приоткрыл дверь в тревожный мир цифровой пост-правды, о котором предупреждали футорологи-алармисты. Не говоря уже о стремительном развитии ИИ-моделей, грозящих резко превзойти человека во многих сферах. Ждёт ли нас «лето ИИ» из письма или его безжалостная поступь по миру, узнаем уже совсем скоро.
@tomhunter
🔥9🤡6🤯1🤬1
#news По поставщику IP-телефонии 3CX ударила атака на цепочку поставок – в их десктопное приложение затесалась малварь. Скомпрометированы шесть версий приложения под Windows и MacOS. Компания подтвердила происходящее: первые следы компрометации заметили 22 марта, а к атаке злоумышленники готовились ещё с февраля.
В версиях под Винду замечен перехват DLL’ок с вредоносом на Гитхабе в виде инфостилера ICONIC. Под Макось тянет неизвестную малварь с лежащего сейчас сервера. Между тем у 3CX 600 тысяч компаний клиентуры и 12 миллионов пользователей ежедневно. Масштабы атаки пока неизвестны. Что занятно, атаку с высокой уверенностью приписали Labyrinth Chollima, подразделению небезызвестной Lazarus. Видимо, северокорейские стахановцы решили отвлечься от громких криптокраж и переключиться на второе своё любимое развлечение – шпионаж.
@tomhunter
В версиях под Винду замечен перехват DLL’ок с вредоносом на Гитхабе в виде инфостилера ICONIC. Под Макось тянет неизвестную малварь с лежащего сейчас сервера. Между тем у 3CX 600 тысяч компаний клиентуры и 12 миллионов пользователей ежедневно. Масштабы атаки пока неизвестны. Что занятно, атаку с высокой уверенностью приписали Labyrinth Chollima, подразделению небезызвестной Lazarus. Видимо, северокорейские стахановцы решили отвлечься от громких криптокраж и переключиться на второе своё любимое развлечение – шпионаж.
@tomhunter
🤔8🔥3❤1🤬1
#news Пошёл первый запрет ChatGPT – его использование запретила Италия. Это пока не связано с алармистскими предупреждениями ИИ-разработчиков: по мнению итальянских властей, нейросеть нарушает законодательство о персональных данных. И не проверяет возраст юзеров несмотря на маркировку 13+.
Компанию ждёт оборотный штраф до 4% от годового или до 20 миллионов евро. У разработчиков 20 дней на выполнение требований регулятора и оплату штрафа, а до тех пор обработка ChatGPT данных в Италии запрещена. Между тем прецедент интересный: до этого ИИ-модель запрещали только локально, в школах Нью-Йорка, техкомпаниях Китая. На работу модели на территории целой страны до этого запреты не встречались. Что ж, будем дальше следить за развитием событий вокруг опальной технологии, встряхивающей сеть чуть ли не каждый день.
@tomhunter
Компанию ждёт оборотный штраф до 4% от годового или до 20 миллионов евро. У разработчиков 20 дней на выполнение требований регулятора и оплату штрафа, а до тех пор обработка ChatGPT данных в Италии запрещена. Между тем прецедент интересный: до этого ИИ-модель запрещали только локально, в школах Нью-Йорка, техкомпаниях Китая. На работу модели на территории целой страны до этого запреты не встречались. Что ж, будем дальше следить за развитием событий вокруг опальной технологии, встряхивающей сеть чуть ли не каждый день.
@tomhunter
🔥7❤1🤯1🤬1
#news Рансомварь-операции – дело непростое, так что злоумышленники рангом пониже из Midnight Group обходятся малым. Они рассылают фейковые уведомления о взломе в компании в расчёте, что хватит одной социнженерии в так называемых Phantom Incident Extortions. Группировка угрожает опубликовать несуществующие украденные данные и задудосить тех, кто откажется платить.
В идущей несколько недель кампании злоумышленники выдают себя за осколок Conti, Luna Moth, чтобы придать вес своим угрозам. Жертвами мошенников часто становятся компании, ранее действительно пострадавшие от рансомвари. Судя по тому, что о некоторых атаках не было информации в публичном доступе, здесь может идти сотрудничество с группировками, стоявшими за реальными атаками. Между тем вымогатели периодически совсем забывают делать домашнюю работу. Так, одно письмо пришло сотруднику компании, в которой он уже больше полгода как не работал. Должно быть, угрозы его не сильно впечатлили.
@tomhunter
В идущей несколько недель кампании злоумышленники выдают себя за осколок Conti, Luna Moth, чтобы придать вес своим угрозам. Жертвами мошенников часто становятся компании, ранее действительно пострадавшие от рансомвари. Судя по тому, что о некоторых атаках не было информации в публичном доступе, здесь может идти сотрудничество с группировками, стоявшими за реальными атаками. Между тем вымогатели периодически совсем забывают делать домашнюю работу. Так, одно письмо пришло сотруднику компании, в которой он уже больше полгода как не работал. Должно быть, угрозы его не сильно впечатлили.
@tomhunter
🔥8😁2❤1🤬1
#news По следам недавней атаки по 3CX выяснилось, что злоумышленники закидывали бэкдор в криптокомпании. Исследователи обнаружили Gopuram, визитную карточку северокорейских хакеров, на некоторых заражённых машинах. При этом их меньше десятка, так что бэкдор засылали с хирургической точностью. На фоне этого массовая рассылка инфостилера выглядит как разведоперация для поиска нужных целей с полноценным бэкдором в качестве конечной нагрузки.
Каким образом Lazarus скомпрометировали сети 3CX, пока неясно. Пока очевидно, что троянизированные версии софта как-то попали в их девелоперскую среду в духе печально известного инцидента с SolarWinds. Между тем анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Так что будем следить за развитием событий.
@tomhunter
Каким образом Lazarus скомпрометировали сети 3CX, пока неясно. Пока очевидно, что троянизированные версии софта как-то попали в их девелоперскую среду в духе печально известного инцидента с SolarWinds. Между тем анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Так что будем следить за развитием событий.
@tomhunter
🤯8🔥3🤬1
#news Год назад я уже поднимал тему лучших бесплатных инструментов для #OSINT, которые используются в нашем департаменте расследований. Прошлый год был тяжелый, но интересный. Некоторые разработки перестали работать в России. Многие, напротив, были созданы в нашей стране. В этой статье мы рассмотрим инструменты, каждый день находящие свое применение в нашей компании. Итак, поехали!
@tomhunter
@tomhunter
Хабр
ТОП бесплатных OSINT-инструментов по версии компании T.Hunter в 2023-м году
Год назад я уже поднимал тему лучших бесплатных инструментов для OSINT, которые используются в нашем департаменте расследований. Прошлый год был тяжелый, но интересный. Некоторые разработки перестали...
❤7🔥4🤔1🤯1🤬1
#news ФБР перехватило домены Genesis Market, крупного маркета по торговле паролями и данными, украденными инфостилерами с миллионов компьютеров по всему миру. Маркет торговал ботами с логами, куки и отпечатками браузеров со скомпрометированных устройств. На март 2023-го на продажу были выставлены почти полмиллиона ботов. Самыми дорогими, естественно, были устройства с доступом к Coinbase и прочим финансовым платформам.
Genesis Market отметился несколькими инновациями и громкими взломами. Так, взлом EA в июне 2021-го и стянутые исходники произошёл благодаря боту с маркета за 10 баксов с доступом к Slack-аккаунту компании. Но теперь его история подошла к концу: прямо сейчас в США и других странах выдают десятки ордеров на арест операторов и брокеров маркета. Ну а заглушка от любителей чертовски хорошего кофе жизнерадостно призывает всех желающих сдать ФБР администраторов сайта. Операция «Cookie Monster» полностью состоялась.
@tomhunter
Genesis Market отметился несколькими инновациями и громкими взломами. Так, взлом EA в июне 2021-го и стянутые исходники произошёл благодаря боту с маркета за 10 баксов с доступом к Slack-аккаунту компании. Но теперь его история подошла к концу: прямо сейчас в США и других странах выдают десятки ордеров на арест операторов и брокеров маркета. Ну а заглушка от любителей чертовски хорошего кофе жизнерадостно призывает всех желающих сдать ФБР администраторов сайта. Операция «Cookie Monster» полностью состоялась.
@tomhunter
🔥10❤1🤬1🎉1
#news К любопытным новинкам от мира рансомвари. Недавно обнаруженный вредонос Rorschach обладает уникальными фичами, среди которых частичная автономность и скорость шифрования. С объёмом данных, шифруемым LockBit 3.0 за 7 минут, новичок справился за 4.5 минуты. В сущности самый быстрый из отслеживаемых на сегодня энкрипторов.
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
🤯8❤5🔥3
#news Пока ФБР и Интерпол регулярно кладут маркетплейсы, форумы и прочие киберпрестные площадки, среди злоумышленников идёт тренд на децентрализацию. Так, Телеграм наводнили продавцы инструментов для фишинга. И спектр услуг довольно широк: готовые киты под всевозможные площадки, фейковые страницы для криптоскама, подписки на гайды, техподдержка и многое другое.
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
🔥7❤1😁1
#news Занятные подробности о разработке автопилота Tesla. В компании годами сидели специалисты, которые просматривали тысячи фото и видео с камер машин для распознания объектов. А так как коллектив был молодой и задорный, они делились в корпоративных и личных чатах кадрами и роликами. Смешные мемчики из животных и падающих прохожих. Несмешные сбитые дети. Совсем несмешные записи из гаражей, где машины стояли припаркованными и выключенными.
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
🔥7😁7
#news Встречайте кандидата на замену почившему Breached: на фоне вакуума, возникшего после его отключения, занять его стремится группировка ARES. Их платформа ARES Leaks в верхнем интернете используется для продажи всевозможной информации, от почтовых ящиков и паспортов до баз данных и правительственных утечек. И на поднятый ими в начале этого года форум LeakBase пошёл активный поток осиротевших злоумышленников с Breached.
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
❤6🔥3
#news MSI на днях подтвердила рансомварь-атаку, новости о которой появились на прошлой неделе. За ней стояла новая группировка Money Message, информация о которой появилась совсем недавно. Злоумышленники утверждают, что стянули 1,5TB документов, ключей и исходников, включая прошивку. Группировка требует $4 миллиона, иначе на этой неделе утечка пойдёт на их сайт.
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
🔥6😢5❤1
На Хабре вышел наш традиционный дайджест по следам ушедшего месяца. Так что если вы пропустили самые громкие новости марта, у нас в программе закрытие Breached и ещё одной киберпреступной платформы, ультразвуковые атаки, страсти по GPT-4 от экспертов и правительств, релиз исходников NordVPN и другие горячие события первого весеннего месяца. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥10❤1
#news Злоумышленники затопили репозиторий NPM пустыми пакетами с ссылками на вредоносные сайты для эксплойта запросов в поисковиках. Причём поток шёл такой, что число опубликованных версий скакнуло с ~800 тысяч до 1,42 миллиона пакетов, а сам репозиторий периодически был недоступен от такой импровизированной DoS-атаки.
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
🤔9😁7❤1🔥1
#news Майкрософт исправила нулевой день, активно используемый в атаках. Критическая уязвимость CVE-2023-28252 на эскалацию привилегий в драйвере CLFS затрагивает все поддерживаемые клиентские и серверные версии Windows и используется в простых атаках без участия юзера. Эксплойт ведёт к повышению прав до System со всем из этого вытекающим.
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
❤6🔥3😁1