#news Продолжая тему занятных отношений японцев с цифровым миром. Центр кибербезопасности Японии был взломан. Хакеры получили доступ к почтовому серверу организации, ответственной, собственно, за национальную информационную безопасность. И взлом заметили только 9 месяцев спустя: возможная утечка шла с октября 2022-го по июнь 2023-го года.
Как считают, за взломом стоят китайские госхакеры, у которых, как известно, партия требует более внятных отношений с инфобезом. Вероятно, был скомпрометирован аккаунт одного из сотрудников. Инцидент ставит под вопрос отношения Японии с союзниками на фоне роста военного сотрудничества – если у вас безопасников ломают, как тогда с остальными? Между тем в Японии на всё киберподразделение 900 человек. Это на фоне 6200 в США и ~30 тысяч у китайцев. Но у киберсамурая нет цели иметь качественный инфобез – только путь к нему. Долгий и тернистый.
@tomhunter
Как считают, за взломом стоят китайские госхакеры, у которых, как известно, партия требует более внятных отношений с инфобезом. Вероятно, был скомпрометирован аккаунт одного из сотрудников. Инцидент ставит под вопрос отношения Японии с союзниками на фоне роста военного сотрудничества – если у вас безопасников ломают, как тогда с остальными? Между тем в Японии на всё киберподразделение 900 человек. Это на фоне 6200 в США и ~30 тысяч у китайцев. Но у киберсамурая нет цели иметь качественный инфобез – только путь к нему. Долгий и тернистый.
@tomhunter
😁11🤯3🔥2
#news Команда безопасников BlackBerry выпустила отчёт о кибератаках на основе анализа данных со своего ИБ-софта за 90-дневный период. Цифры внушительные. За это время они зафиксировали ~1,5 миллиона атак малварью, из которых 200 тысяч пришлось на ранее неизвестную. И среднее число атак за день – ни много ни мало 17,820. То есть каждую минуту по 12 приветов от вредоноса.
Из их клиентов активней всего злоумышленники нацелены на финансовый сектор, следом идут медицинская отрасль и ритейл. Помимо этого, доклад от фирмы затрагивает группировки и основную малварь у них в ходу. Так, ссылаясь на свою телеметрию, BlackBerry утверждает, что относительно свежий загрузчик PrivateLoader используют всё активнее и следует ожидать частых незваных визитов вредоноса через него в будущем. Подробнее о результатах анализа 90 дней с малварью в 30-страничном отчёте 2023 BlackBerry Global Threat intelligence Report.
@tomhunter
Из их клиентов активней всего злоумышленники нацелены на финансовый сектор, следом идут медицинская отрасль и ритейл. Помимо этого, доклад от фирмы затрагивает группировки и основную малварь у них в ходу. Так, ссылаясь на свою телеметрию, BlackBerry утверждает, что относительно свежий загрузчик PrivateLoader используют всё активнее и следует ожидать частых незваных визитов вредоноса через него в будущем. Подробнее о результатах анализа 90 дней с малварью в 30-страничном отчёте 2023 BlackBerry Global Threat intelligence Report.
@tomhunter
❤4🔥1
#news Платформа Sourcegraph сообщает о взломе своего сайта. 28 августа некий злоумышленник получил доступ к админке, создал админский аккаунт и экспериментировал с API и LLM сайта. Изобретательный товарищ поднял прокси-приложение, позволявшее юзерам напрямую обращаться к API Sourcegraph. Затем с бесплатных аккаунтов они направляли запросы экспериментатору на выдачу кучи токенов доступа, халявщикам не положенных.
В Sourcegraph заметили странную активность по API в тот же день и обрубили этот аккаунт. Говорят, что утечки данных не было: у злоумышленника был доступ к ключам, именам и ящикам юзеров, но следов копирования инфы нет. Ну а как товарищ получил доступ к сайту? 14 июля админский токен случайно утёк в pull request’e при коммите кода одним из разработчиков. Чем некто и воспользовался. Классика. Хотя бы в этот раз без громких сливов – просто какой-то весельчак потыкал в их API палочкой. Что сказать, повезло.
@tomhunter
В Sourcegraph заметили странную активность по API в тот же день и обрубили этот аккаунт. Говорят, что утечки данных не было: у злоумышленника был доступ к ключам, именам и ящикам юзеров, но следов копирования инфы нет. Ну а как товарищ получил доступ к сайту? 14 июля админский токен случайно утёк в pull request’e при коммите кода одним из разработчиков. Чем некто и воспользовался. Классика. Хотя бы в этот раз без громких сливов – просто какой-то весельчак потыкал в их API палочкой. Что сказать, повезло.
@tomhunter
😁6🔥1
#news Пятничная новость про трудные будни рансомварщика. Исследователи из EclecticIQ выложили декриптор под рансомварь от Key Group. Русскоязычная, финансово мотивированная группировка начала атаки в начале года, но с энкриптором у них не задалось. Как выяснилось, шифровал он статичным паролем со статичной же солью. Так что с расшифровкой файлов справляется простенький скрипт на Питоне.
Что забавно, исследователи не стесняются в выражениях в отношении горе-группировки. И энкриптор у них напичкан кучей криптографических ошибок, и сами они просто пиарятся громкими фразами про «алгоритм шифрования по армейским стандартам». По итогам работы над рансомварью от Key Group безопасники делают неутешительный вывод, обозвав группировку «незамысловатыми злоумышленниками». Какой, должно быть, удар по самолюбию. Подробнее о Key Group и их активности в отчёте.
@tomhunter
Что забавно, исследователи не стесняются в выражениях в отношении горе-группировки. И энкриптор у них напичкан кучей криптографических ошибок, и сами они просто пиарятся громкими фразами про «алгоритм шифрования по армейским стандартам». По итогам работы над рансомварью от Key Group безопасники делают неутешительный вывод, обозвав группировку «незамысловатыми злоумышленниками». Какой, должно быть, удар по самолюбию. Подробнее о Key Group и их активности в отчёте.
@tomhunter
😁8❤1
#cve Опубликовали топ самых интересных CVE за август 2023-го. В подборке на этот раз засветились уязвимости в браузерах Firefox и Chrome, ворох эксплойтов в продуктах от Logitec, критическая уязвимость в полудюжине маршрутизаторов от Elecom с рекомендациями отправить их в утиль. И другие баги, требующие срочных исправлений. Так что если хотите подвести итоги последнего месяца ушедшего лета от мира CVE, добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
❤4🔥1😁1🤔1
#news Исследователи разработали занятный способ красть пароли из Хрома. И подгрузили в его магазин расширение для проверки концепции. Тащит пароли оно прямиком из исходного кода сайтов. Приложение может захватывать HTML-исходники, извлекать пароли через функцию .value и подменять защищённые поля ввода на уязвимые.
Кроме того, обнаружились и тысячи сайтов, хранящих пароли простым текстом в HTML-коде страниц. Из топа 10к сайтов от Tranco 1,100 грешат этим и ещё 7,300 уязвимы к атакам через DOM API. В группе риска в том числе такие порталы, как Gmail, Cloudflare, Facebook и Amazon. Около 17,300 расширений имеют доступ к конфиденциальным данным. И наконец, 190 расширений – часть со скачиваниями за 100к – запрашивают доступ к полям паролей и хранящимся переменным. Что может указывать на идущий эксплойт проблемы. Это просто праздник какой-то. Но не для разработчиков из Гугла и Амазона, в которых уже нервно тычут палочкой. Подробнее об уязвимости в статье.
@tomhunter
Кроме того, обнаружились и тысячи сайтов, хранящих пароли простым текстом в HTML-коде страниц. Из топа 10к сайтов от Tranco 1,100 грешат этим и ещё 7,300 уязвимы к атакам через DOM API. В группе риска в том числе такие порталы, как Gmail, Cloudflare, Facebook и Amazon. Около 17,300 расширений имеют доступ к конфиденциальным данным. И наконец, 190 расширений – часть со скачиваниями за 100к – запрашивают доступ к полям паролей и хранящимся переменным. Что может указывать на идущий эксплойт проблемы. Это просто праздник какой-то. Но не для разработчиков из Гугла и Амазона, в которых уже нервно тычут палочкой. Подробнее об уязвимости в статье.
@tomhunter
🤯12🔥2😁2
#news Возвращаясь к нетленной теме утечек данных российских сервисов. На этот раз у руля сливов оказалась платформа для работы водителем такси, грузотакси и автокурьером «Рулю.ру». Сервис доступен в 450 городах России и является одним из крупнейших партнёров Яндекс Go и Uber.
В открытом доступе дамп на 430 тысяч записей. Причём слив солидный: ФИО, дата рождения, документ при регистрации, город, номер банковской карты простым текстом, ~430 тысяч уникальных телефонов и немного электронных почт. Плюс технические детали. База актуальна на март 2023-го года. Всё это удовольствие одним JSON-файлом. В общем, дамп удачно дополняет всевозможные сливы, которыми отличились российские компании за последние года полтора. Можно делать ставки, через сколько на каждого россиянина будет по слитой в открытый доступ записи из какого-нибудь дырявого сервиса. Остались-то считанные проценты.
@tomhunter
В открытом доступе дамп на 430 тысяч записей. Причём слив солидный: ФИО, дата рождения, документ при регистрации, город, номер банковской карты простым текстом, ~430 тысяч уникальных телефонов и немного электронных почт. Плюс технические детали. База актуальна на март 2023-го года. Всё это удовольствие одним JSON-файлом. В общем, дамп удачно дополняет всевозможные сливы, которыми отличились российские компании за последние года полтора. Можно делать ставки, через сколько на каждого россиянина будет по слитой в открытый доступ записи из какого-нибудь дырявого сервиса. Остались-то считанные проценты.
@tomhunter
🤬6🔥2😁2
#news LockBit взломала фирму-поставщика ограждений для британских военных баз и выкачала 10GB данных, потенциально с чувствительной информацией по военным и исследовательским объектам. Компания отрицает утечку конфиденциальных данных, но исследователи полагают, что инфа на их клиентов могла быть скомпрометирована. А как группировка попала в их системы? Через компьютер с Windows 7.
Поддержка ОС, напомню, поэтапно закончилась в 2015-м и 2020-м годах, а в этом её отключили от жизнеобеспечения. Что не мешало компании держать старичка в своих сетях, крутить на нём софт к станкам и не изолировать его от интернета. Либо просто безалаберность, либо, как обычно, промышленное ПО, последнее обновление заставшее ещё до выхода самой семёрки. И неработающее на всём, старше нулевых. Журналисты же обратились в Министерство Обороны Великобритании, но там их завернули: «Комментариев по безопасности МО не даёт». Хотя, казалось бы, тема им близкая.
@tomhunter
Поддержка ОС, напомню, поэтапно закончилась в 2015-м и 2020-м годах, а в этом её отключили от жизнеобеспечения. Что не мешало компании держать старичка в своих сетях, крутить на нём софт к станкам и не изолировать его от интернета. Либо просто безалаберность, либо, как обычно, промышленное ПО, последнее обновление заставшее ещё до выхода самой семёрки. И неработающее на всём, старше нулевых. Журналисты же обратились в Министерство Обороны Великобритании, но там их завернули: «Комментариев по безопасности МО не даёт». Хотя, казалось бы, тема им близкая.
@tomhunter
😁5❤2🔥2
#news Рубрика «Их нравы». В Швеции оштрафовали страховую компанию Trygg-Hansa за утечку данных клиентов. Back-end база данных на их сайте в течение двух лет была доступна всем желающим: злоумышленники могли просмотреть личные документы юзеров, просто меняя ID клиента в ссылках – а они были порядковыми. Потенциально были затронуты 650 тысяч человек и их персональные данные, но точно выявлены ~200 случаев неавторизованного доступа.
Цена вопроса? Три миллиона долларов. Регулятор счёл, что два года утечки – срок великоватый, особенно с учётом того, что компании сообщали об уязвимости. Извините, господа хорошие, но времени на фикс у вас было достаточно – получите штраф, распишитесь. В общем, фирма оказалась не застрахована от такого фиаско. Ну а нам остаётся вспомнить царские 500 баксов, которые российские гиганты платят за масштабные утечки, попутно готовясь обходить грядущие оборотные штрафы, и печально вздохнуть.
@tomhunter
Цена вопроса? Три миллиона долларов. Регулятор счёл, что два года утечки – срок великоватый, особенно с учётом того, что компании сообщали об уязвимости. Извините, господа хорошие, но времени на фикс у вас было достаточно – получите штраф, распишитесь. В общем, фирма оказалась не застрахована от такого фиаско. Ну а нам остаётся вспомнить царские 500 баксов, которые российские гиганты платят за масштабные утечки, попутно готовясь обходить грядущие оборотные штрафы, и печально вздохнуть.
@tomhunter
😁8❤4😢1
#news Помните взломы LastPass и утечку в прошлом году? Пошли крайне тревожные звоночки: эксперты полагают, что злоумышленники активно ломают хранилища. Более того, волну взломов криптокошельков на MetaMask связывают с утечкой. Более 150 жертв, больше $35 миллионов украдено. И общий паттерн среди пострадавших – почти все пользовались LastPass для хранения сид-фраз.
Дальше больше. По следам краж, IoCs и опроса жертв становится понятно, что это не просто спекуляции, а уже в сущности подтверждённая схема. Так, один товарищ лишился $3,4 миллионов в крипте и 10 лет пользовался LastPass, в том числе хранил там сид-фразы за 8-значным паролем с числами и символами. А неделю назад некто залогинился в его кошелёк и вывел все средства. В общем, если вы пользовались LastPass, меняйте явки, пароли и кошельки, если ещё этого не сделали. Подробнее о происходящем в лонгриде от Брайана Кребса.
@tomhunter
Дальше больше. По следам краж, IoCs и опроса жертв становится понятно, что это не просто спекуляции, а уже в сущности подтверждённая схема. Так, один товарищ лишился $3,4 миллионов в крипте и 10 лет пользовался LastPass, в том числе хранил там сид-фразы за 8-значным паролем с числами и символами. А неделю назад некто залогинился в его кошелёк и вывел все средства. В общем, если вы пользовались LastPass, меняйте явки, пароли и кошельки, если ещё этого не сделали. Подробнее о происходящем в лонгриде от Брайана Кребса.
@tomhunter
🤯9🔥1😁1
#news В клиенте Atlas VPN 1.0.3 под Линукс обнаружили занятную уязвимость. Она позволяет простеньким запросом на пару десятков строчек кода отключить юзеру VPN при его заходе на сайт. И, соответственно, узнать его реальный айпишник. Что как бы лишает впн его единственной функции.
Эксплойт работает по одной конечной точке API Atlas VPN, слушающей localhost через порт 8076. А она допускает неверифицированный доступ. Проверка концепции от исследователя отправляет на неё запрос на терминацию сессии, и приехали. PoC лежит на Реддите, а в комментариях слёзно извиняется сам глава IT-департамента Atlas VPN. Простите мол, товарищ исследователь, что запоздало выходим на связь, это неприемлимо. Видимо, до публикации репорт они игнорировали. Уязвимость спешно починят, всех уведомят, всё порешают. Ну а пока линуксоидам нужен новый VPN.
@tomhunter
Эксплойт работает по одной конечной точке API Atlas VPN, слушающей localhost через порт 8076. А она допускает неверифицированный доступ. Проверка концепции от исследователя отправляет на неё запрос на терминацию сессии, и приехали. PoC лежит на Реддите, а в комментариях слёзно извиняется сам глава IT-департамента Atlas VPN. Простите мол, товарищ исследователь, что запоздало выходим на связь, это неприемлимо. Видимо, до публикации репорт они игнорировали. Уязвимость спешно починят, всех уведомят, всё порешают. Ну а пока линуксоидам нужен новый VPN.
@tomhunter
😁15❤1🔥1
#news Курьёзная история от Rockstar Games: обнаружилось, что компания решила не возиться с печально известной в прошлом антипиратской защитой DRM на своих старых играх при их продаже в Steam. И просто распространяла их с кряками от Razor1911.
У старичков Max Payne 2, Manhunt и Midnight Club 2 в стимовских файлах нашли старые-добрые патчи за подписью почётных же динозавров, ломавших игры с бородатого 1985-го. Пикантности ситуации добавляет то, что Rockstar чуть ли не активней всех боролась с пиратством, попутно создавая игрокам немало проблем с DRM. Более того, из-за кряка игры в Steam крашились ввиду конфликта со стимовской защитой на версиях от Висты и старше. Почётные пенсионеры из Razor1911, ушедшие на покой в 2012-м, тоже оценили иронию, прокомментировав ситуацию: «Кхе-кхе, первое правило: не барыжьте варезом». Rockstar сконфуженно молчит. Ну а мы пока можем послушать демку от Razor1911 ностальгии ради.
@tomhunter
У старичков Max Payne 2, Manhunt и Midnight Club 2 в стимовских файлах нашли старые-добрые патчи за подписью почётных же динозавров, ломавших игры с бородатого 1985-го. Пикантности ситуации добавляет то, что Rockstar чуть ли не активней всех боролась с пиратством, попутно создавая игрокам немало проблем с DRM. Более того, из-за кряка игры в Steam крашились ввиду конфликта со стимовской защитой на версиях от Висты и старше. Почётные пенсионеры из Razor1911, ушедшие на покой в 2012-м, тоже оценили иронию, прокомментировав ситуацию: «Кхе-кхе, первое правило: не барыжьте варезом». Rockstar сконфуженно молчит. Ну а мы пока можем послушать демку от Razor1911 ностальгии ради.
@tomhunter
😁17❤3🤡1
#digest По следам последнего летнего месяца подводим его итоги дайджестом самых горячих новостей от мира инфобеза за август. Сегодня у нас в эфире кампания по взлому аккаунтов на LinkedIn, потерявший все данные клиентов хостинг, пара неприятных взломов с родных просторов. А также отправившиеся под нож киберпреступные сервисы, такие как Anonfiles и QakBot, ворох отчётов по ситуации с инфобезом в разных областях и несколько громких судебных дел над киберпреступниками, в числе которых оказались наши соотечественники, основавшие TornadoCash. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
❤5🔥1
#news Продолжаем следить за приключениями сумрачного японского гения инфобеза. Неделю назад у Toyota встали 12 из 14 сборочных заводов в Японии. Ударили ли по ним кибератакой? Вновь виной облако, годами висевшее без пароля? Опять баги у них в API? А вот и нет.
27 августа на заводах шло плановое обслуживание IT-систем. Но пошло оно, как водится, не по плану. Во время оптимизации базы данных на жёстких закончилось место, и вся система чуточку прилегла. А так как и основные сервера, и резервные крутились в одной системе, переключаться было некуда – всё легло. Через два дня вдумчивые японские айтишники подключили сервер с жёсткими пожирнее, чтобы вместить все данные. И конвейеры, о чудо, начали делать новенькие тойоты. Цена простоя и за один день – 13 тысяч несобранных авто.
План был с изъяном.
Хандра в осеннем цеху.
Грустит самурай.
@tomhunter
27 августа на заводах шло плановое обслуживание IT-систем. Но пошло оно, как водится, не по плану. Во время оптимизации базы данных на жёстких закончилось место, и вся система чуточку прилегла. А так как и основные сервера, и резервные крутились в одной системе, переключаться было некуда – всё легло. Через два дня вдумчивые японские айтишники подключили сервер с жёсткими пожирнее, чтобы вместить все данные. И конвейеры, о чудо, начали делать новенькие тойоты. Цена простоя и за один день – 13 тысяч несобранных авто.
План был с изъяном.
Хандра в осеннем цеху.
Грустит самурай.
@tomhunter
😁15❤2🎉1
#news Утро начинается не с кофе, а с очередной утечки данных россиян. Чему там ещё утекать, спросите вы? Базе данных пользователей МТС-банка. В открытом доступе часть утечки, три файла. Миллион строк с ФИО, номерами телефонов, датами рождения, ИНН. Три миллиона строк частичных номеров карт и их дат. Почти два миллиона уникальных номеров телефона и 50 тысяч электронных почт.
И как утверждают хакеры, в руках у них база на 21 миллион строк, которую они планируют выставить на продажу. Ответственность за взлом взяла на себя пресловутая проукраинская NLB, причастная к десяткам других сливов. Подлинность слива подтвердили и независимые эксперты, и пресс-служба МТС-банка. Утечка, предположительно, произошла у ритейлера или поставщика цифровых сервисов. Ну а в качестве утешения предлагают сохранность банковской тайны и безопасность счетов. И на том спасибо. Наверное.
@tomhunter
И как утверждают хакеры, в руках у них база на 21 миллион строк, которую они планируют выставить на продажу. Ответственность за взлом взяла на себя пресловутая проукраинская NLB, причастная к десяткам других сливов. Подлинность слива подтвердили и независимые эксперты, и пресс-служба МТС-банка. Утечка, предположительно, произошла у ритейлера или поставщика цифровых сервисов. Ну а в качестве утешения предлагают сохранность банковской тайны и безопасность счетов. И на том спасибо. Наверное.
@tomhunter
🔥10🤬3❤2😁2🤔1
#news В новом отчёте по угрозам из Восточной Азии Microsoft делится занятными подробностями работы хакеров из КНДР по России. Речь идёт о взломах российских правительственных и оборонных учреждений с начала этого года. Так что не «НПО Машиностроения» единым.
Как утверждает Майкрософт, несколько группировок работали по нашим объектам с целью сбора разведданных. Так, в марте 2023-го Ruby Steel скомпрометировала сети неназванного аэрокосмического исследовательского института. Кроме того, также в марте шла рассылка фишинговых писем по российским дипломатическим учреждениям. Госхакеры из Северной Кореи также активно работают по оборонным объектам со всего мира: от Польши и Германии до Бразилии и Израиля. Так что северокорейские братушки не делают разницы между проклятыми империалистами, где бы они ни обитали. Партия говорит «Ким Чен Ыну нужна новая военная игрушка» – хакеры отвечают «Да, наш солнцеликий вождь».
@tomhunter
Как утверждает Майкрософт, несколько группировок работали по нашим объектам с целью сбора разведданных. Так, в марте 2023-го Ruby Steel скомпрометировала сети неназванного аэрокосмического исследовательского института. Кроме того, также в марте шла рассылка фишинговых писем по российским дипломатическим учреждениям. Госхакеры из Северной Кореи также активно работают по оборонным объектам со всего мира: от Польши и Германии до Бразилии и Израиля. Так что северокорейские братушки не делают разницы между проклятыми империалистами, где бы они ни обитали. Партия говорит «Ким Чен Ыну нужна новая военная игрушка» – хакеры отвечают «Да, наш солнцеликий вождь».
@tomhunter
🔥10😁5❤1🤔1💩1
#news Financial Times пишет о занятных последствиях отъезда российских айтишников за рубеж. Отчалившие целыми компаниями айти-господа не только поднимают ВВП соседних стран. В частности, в Турции с их приездом скакнула киберпреступность: понаехавшие объединились с турецкими хакерами для плодотворного сотрудничества.
Начав с мелкого онлайн-мошенничества и кражи данных Redline Stealer’ом, российские киберпреступные дарования повышают ставки. Так, они обучают турков работе с крупными массивами данных, а те помогают им с конвертацией украденной крипты и легализацией в Турции. Что любопытно, по утверждениям издания, выдающихся хакеров там нет, но они очень продуктивные. Очевидно, живительный заряд центробежной силы от отвешенного самим себе пинка под зад из страны у товарищей ещё не иссяк. Такой вот он многогранный, российский айтишник. Может ВВП поднять. А может и статистику по киберпреступности.
@tomhunter
Начав с мелкого онлайн-мошенничества и кражи данных Redline Stealer’ом, российские киберпреступные дарования повышают ставки. Так, они обучают турков работе с крупными массивами данных, а те помогают им с конвертацией украденной крипты и легализацией в Турции. Что любопытно, по утверждениям издания, выдающихся хакеров там нет, но они очень продуктивные. Очевидно, живительный заряд центробежной силы от отвешенного самим себе пинка под зад из страны у товарищей ещё не иссяк. Такой вот он многогранный, российский айтишник. Может ВВП поднять. А может и статистику по киберпреступности.
@tomhunter
😁19❤2🔥1🤬1
#news К новинкам малвари. В сетевых дебрях замечен новый загрузчик HijackLoader. Впервые он всплыл в июле 2023-го, через него распространяют DanaBot, SystemBC и Redline Stealer. В качестве ноу-хау в загрузчике модульная архитектура под инъекцию и выполнение кода, что для такого вредоноса – редкость.
Для обхода обнаружения HijackLoader использует системные вызовы и отложенное выполнение кода до 40 секунд. Плюс блок-лист под определённые процессы защитных решений. При этом особо продвинутых фич у загрузчика нет и качеством кода он не отличается. Но с уходом Emotet и QakBot злоумышленники активно ищут альтернативы, переключаясь и на HijackLoader. Так что и такое поделие может занять освободившуюся нишу, в дальнейшем получив обновление кривоватого кода. Подробнее о загрузчике с IoCs и прочим в отчёте.
@tomhunter
Для обхода обнаружения HijackLoader использует системные вызовы и отложенное выполнение кода до 40 секунд. Плюс блок-лист под определённые процессы защитных решений. При этом особо продвинутых фич у загрузчика нет и качеством кода он не отличается. Но с уходом Emotet и QakBot злоумышленники активно ищут альтернативы, переключаясь и на HijackLoader. Так что и такое поделие может занять освободившуюся нишу, в дальнейшем получив обновление кривоватого кода. Подробнее о загрузчике с IoCs и прочим в отчёте.
@tomhunter
❤3😁1
#news Исследователи разработали атаку для кражи числовых паролей через Wi-Fi. Названная WiKI-Eve атака может перехватывать пароли простым текстом со смартфонов с точностью до 90 процентов. 6-значные расшифровывает с точностью до 85%, более сложные от приложений – около 66%. При этом в 16 из 20 самых распространённых паролей только цифры.
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter
🤯5🔥4❤2
#news 2023-й продолжает тренд на инфостилеры под MacOS: на киберпреступном рынке очередная новинка, MetaStealer. Написан на Go, с обфускацией, тянет данные со связки ключей iCloud, сохранённые пароли и файлы с устройства жертвы. В некоторых версиях есть функционал под кражу инфы с приложений Telegram и Meta.
MetaStealer распространяют через социнженерию под видом DMG- и Adobe-файлов, а также установочников под Photoshop. Кроме того, его подают под видом приложения TradingView, как и Atomic Stealer. А это наводит исследователей на мысли, что за обоими вредоносами могут стоять одни и те же злоумышленники. Могут, впрочем, и не стоять. Что занятно, основная цель кампании по распространению MetaStealer – бизнес-юзеры. Так что пользующиеся новинкой товарищи метят высоко – прямиком в корпоративные сети. В общем, стремятся окучивать непуганых работников по стильным офисам с ровными рядками аймаков. Подробнее о MetaStealer читайте в блоге от SentinelOne.
@tomhunter
MetaStealer распространяют через социнженерию под видом DMG- и Adobe-файлов, а также установочников под Photoshop. Кроме того, его подают под видом приложения TradingView, как и Atomic Stealer. А это наводит исследователей на мысли, что за обоими вредоносами могут стоять одни и те же злоумышленники. Могут, впрочем, и не стоять. Что занятно, основная цель кампании по распространению MetaStealer – бизнес-юзеры. Так что пользующиеся новинкой товарищи метят высоко – прямиком в корпоративные сети. В общем, стремятся окучивать непуганых работников по стильным офисам с ровными рядками аймаков. Подробнее о MetaStealer читайте в блоге от SentinelOne.
@tomhunter
🔥6❤3
#news Эпидемия сим-своппинга за океаном добралась и до криптонебожителей: 9 сентября взломали аккаунт в Твиттере небезызвестного создателя Etherium Виталика Бутерина. Немного социнженерии по печально известной такими событиями T-mobile, и хакеры сбросили пароль к аккаунту эфирного криптокороля. По следам взлома запоздало рекомендуют отвязывать телефоны от аккаунтов и подключать 2FA. Сам Бутерин сообщил, что советы о небезопасности номеров видел раньше, но к ним не прислушивался. Увы.
В итоге во взломанный аккаунт запостили заманчивое предложение с раздачей NFT от узнаваемого лица. По вредоносной же ссылке подчистую высасывали кошельки. И этот маленький криптоскам от лже-Виталика обошёлся доверчивым юзерам в почти 700 тысяч долларов. Что ж, конфузы случаются с лучшими из нас.
@tomhunter
В итоге во взломанный аккаунт запостили заманчивое предложение с раздачей NFT от узнаваемого лица. По вредоносной же ссылке подчистую высасывали кошельки. И этот маленький криптоскам от лже-Виталика обошёлся доверчивым юзерам в почти 700 тысяч долларов. Что ж, конфузы случаются с лучшими из нас.
@tomhunter
🤯4🔥2😢1