#news Apple закрыла нулевой день на обход авторизации в iOS, позволяющий отключить режим USB Restricted Mode. Он блокирует обмен данными с устройством через USB, если устройство не использовали больше часа.
Несмотря на разлетевшиеся сегодня заголовки формата «Миллионы iPhone можно взломать через USB-кабель», простых юзеров уязвимость мало касается. К устройству нужен физический доступ, и Restricted Mode направлен в первую очередь на противостояние софту для цифровой криминалистики. Даже идущий «активный эксплойт» был сложной атакой по конкретным пользователям — проще говоря, слежкой на госуровне. Иными словами, те, чьим устройствам грозит попасть в руки правоохранительных органов и спецслужб с GrayKey и Cellebrite в арсенале, напряглись. Остальным особо беспокоиться не о чем.
@tomhunter
Несмотря на разлетевшиеся сегодня заголовки формата «Миллионы iPhone можно взломать через USB-кабель», простых юзеров уязвимость мало касается. К устройству нужен физический доступ, и Restricted Mode направлен в первую очередь на противостояние софту для цифровой криминалистики. Даже идущий «активный эксплойт» был сложной атакой по конкретным пользователям — проще говоря, слежкой на госуровне. Иными словами, те, чьим устройствам грозит попасть в руки правоохранительных органов и спецслужб с GrayKey и Cellebrite в арсенале, напряглись. Остальным особо беспокоиться не о чем.
@tomhunter
😁7👍4🔥2
#news Если ещё не устали от новостей про DeepSeek, подоспел глубокий анализ приложений модели, в том числе под Android. Часть информации уже известна: слабое шифрование, захардкоженные ключи и пароли простым текстом, риск внедрения SQL.
Из нового, помимо широкого спектра собираемых данных, утекающих китайским госструктурам, в коде нашли ещё одного возможного получателя. А именно ByteDance — компанию с одним из крупнейших дата-пулов в мире. В коде куча отсылочек к её библиотекам и сервисам. Помимо этого, приложения активно сопротивляются дебагу: в коде несколько техник под это, и, обнаруживая попытку отладки, приложение просто закрывается. Что само по себе интересно для разрабов, декларирующих прозрачность. Впрочем, Китай и прозрачность подходят друг другу так же, как один великий лидер и милый плюшевый медвежонок, так что удивляться нечему. Ты либо солдат великий партия Китай, либо позор за море диссидент. Иного не дано. Подробнее о находках в отчёте.
@tomhunter
Из нового, помимо широкого спектра собираемых данных, утекающих китайским госструктурам, в коде нашли ещё одного возможного получателя. А именно ByteDance — компанию с одним из крупнейших дата-пулов в мире. В коде куча отсылочек к её библиотекам и сервисам. Помимо этого, приложения активно сопротивляются дебагу: в коде несколько техник под это, и, обнаруживая попытку отладки, приложение просто закрывается. Что само по себе интересно для разрабов, декларирующих прозрачность. Впрочем, Китай и прозрачность подходят друг другу так же, как один великий лидер и милый плюшевый медвежонок, так что удивляться нечему. Ты либо солдат великий партия Китай, либо позор за море диссидент. Иного не дано. Подробнее о находках в отчёте.
@tomhunter
😁9👍5🤡4
#article Подводим итоги 2024-го по следам проведённых нами пентестов. Множество закрытых проектов, сотни выявленных уязвимостей, отрезвляющее знакомство некоторых клиентов с дивным миром инфобеза и анализ проделанной работы по итогам.
Результаты, одним словом, интересные. Как вы думаете, у скольких протестированных нами компаний оказалась уязвима внутренняя инфраструктура? А в какой отрасли экономики оказался наиболее востребован пентест? Об этом и других трендах от мира пентеста в ушедшем году читайте на Хабре!
@tomhunter
Результаты, одним словом, интересные. Как вы думаете, у скольких протестированных нами компаний оказалась уязвима внутренняя инфраструктура? А в какой отрасли экономики оказался наиболее востребован пентест? Об этом и других трендах от мира пентеста в ушедшем году читайте на Хабре!
@tomhunter
👍5❤1🔥1🤡1
#news Брокеры геоданных и утечки информации военных созданы друг для друга. На этот раз флоридская компания торговала данными с военных баз США в Германии. В том числе и с ядерным арсеналом. С высокой точностью и до миллисекунды. Собраны, видимо, через рекламную экосистему.
Что интересно, поставщиком геоданных была маленькая фирма в Литве. При этом и в Литве, и в США всё отрицают. Мы не брокер данных. И никакие данные не продавали. А если и продавали, то всё было законно. Пайплайн от неприметной компании в Прибалтике до крупного брокера в Штатах, далее способного продать геоданные с ядерных баз кому угодно, мягко говоря, интересный. Пока это всё существует в формате громких расследований, но рано или поздно приведёт к международным инцидентам. Казус белли, в основе которого лежит Tinder скучавшего под Франкфуртом американского солдатика, — к такому нас фантастика не готовила. Точнее, готовила, но, может, всё же не надо?
@tomhunter
Что интересно, поставщиком геоданных была маленькая фирма в Литве. При этом и в Литве, и в США всё отрицают. Мы не брокер данных. И никакие данные не продавали. А если и продавали, то всё было законно. Пайплайн от неприметной компании в Прибалтике до крупного брокера в Штатах, далее способного продать геоданные с ядерных баз кому угодно, мягко говоря, интересный. Пока это всё существует в формате громких расследований, но рано или поздно приведёт к международным инцидентам. Казус белли, в основе которого лежит Tinder скучавшего под Франкфуртом американского солдатика, — к такому нас фантастика не готовила. Точнее, готовила, но, может, всё же не надо?
@tomhunter
😁8👍3🤡3
#news В свежем отчёте Google констатирует неизбежное: киберпреступность превращается в нацугрозу. И несмотря на то, что финансово мотивированных атак в разы больше, чем государственных, есть нюанс: киберпреступная экосистема всё чаще обслуживает госхакерские группировки.
От коллабов по уязвимостям и начальному доступу вплоть до полноценных совместных операций. Хакерские круги служат питательной средой для найма талантов, а также позволяют закупать необходимую для атак инфраструктуру и инструменты — это выходит дешевле, чем разработка собственных под нужды ведомств. Это работает и в обратную сторону: о подработках госгруппировок на стороне писали не раз. В принципе, сложно назвать эти тенденции удивительными. Разница между госхакером и киберпреступником на вольных хлебах в сущности сводится лишь к тому, чей труд лучше оплачивается. И отдыхать на Пхукете явно приятнее, чем батрачить в Пхеньяне.
@tomhunter
От коллабов по уязвимостям и начальному доступу вплоть до полноценных совместных операций. Хакерские круги служат питательной средой для найма талантов, а также позволяют закупать необходимую для атак инфраструктуру и инструменты — это выходит дешевле, чем разработка собственных под нужды ведомств. Это работает и в обратную сторону: о подработках госгруппировок на стороне писали не раз. В принципе, сложно назвать эти тенденции удивительными. Разница между госхакером и киберпреступником на вольных хлебах в сущности сводится лишь к тому, чей труд лучше оплачивается. И отдыхать на Пхукете явно приятнее, чем батрачить в Пхеньяне.
@tomhunter
😁10💯1🤝1
#news Федералы в Штатах выступили с важным посланием к разработчикам софта, включая Microsoft и VMware. В совместном заявлении ФБР и CISA имеют сообщить следующее: Пишите более качественный код .
Уязвимости на переполнение буфера названы «непростительным дефектами», как и использование языков программирования, подверженных утечкам памяти. Агентства выделили полдюжины таких CVE, часть из которых активно эксплойтили. Что иронично, в том числе и CVE в ядре Linux, которую использовали китайские шпионы. Видимо, в ФБР тоже внимательно следили за недавним противостоянием. Пожелания, как всегда, замечательные. Но затем они разбиваются о скалу в виде почётных динозавров, тридцать лет разговаривающих с духом машины на С и рьяно оберегающих эти эзотерические знания. И так до следующего раза.
@tomhunter
Уязвимости на переполнение буфера названы «непростительным дефектами», как и использование языков программирования, подверженных утечкам памяти. Агентства выделили полдюжины таких CVE, часть из которых активно эксплойтили. Что иронично, в том числе и CVE в ядре Linux, которую использовали китайские шпионы. Видимо, в ФБР тоже внимательно следили за недавним противостоянием. Пожелания, как всегда, замечательные. Но затем они разбиваются о скалу в виде почётных динозавров, тридцать лет разговаривающих с духом машины на С и рьяно оберегающих эти эзотерические знания. И так до следующего раза.
@tomhunter
😁16
#news Год назад у Кребса вышло расследование про сервис для удаления личных данных Onerep с партнёркой от Mozilla. Тот самый, от находчивого белоруса с брокерством данных на стороне. Mozilla тогда заявила, что это их ценностям не соответствует и они прекратят сотрудничество. Прекратили? Спойлер: нет.
В октябре Mozilla оправдывалась, что найти нового поставщика таких услуг у них всё не получается. И в итоге компания до сих пор продвигает Onerep среди своих юзеров. Как работают белорусские IT-проекты на грани фола, известно любому имевшему сомнительное удовольствие с ними сотрудничать. Так что здесь ничего удивительного. Удивляют разве что действия Mozilla — ценности ценностями, а выгодные контракты с подозрительными конторками по расписанию. Хотя, казалось бы, корпорация-то такого уровня, что о репутации надо переживать, а не аутсорсить услуги в восточноевропейскую кузницу полулегальной айтишечки.
@tomhunter
В октябре Mozilla оправдывалась, что найти нового поставщика таких услуг у них всё не получается. И в итоге компания до сих пор продвигает Onerep среди своих юзеров. Как работают белорусские IT-проекты на грани фола, известно любому имевшему сомнительное удовольствие с ними сотрудничать. Так что здесь ничего удивительного. Удивляют разве что действия Mozilla — ценности ценностями, а выгодные контракты с подозрительными конторками по расписанию. Хотя, казалось бы, корпорация-то такого уровня, что о репутации надо переживать, а не аутсорсить услуги в восточноевропейскую кузницу полулегальной айтишечки.
@tomhunter
👍6😁6
#news Пятничные новости от генератора инфоповодов последних недель — штатовской DOGE. Во вторник департамент госэффективности поднял инфосайт для прозрачности. Но сам он оказался не очень эффективным: база данных открытая, пушьте обновления, кто хотите. Чем пара веб-разработчиков сразу же и воспользовались.
Новоявленный doge[.]gov висит на Cloudflare Pages. Немного поковырявшись в архитектуре сайта, любопытствующие разрабы нашли кучу ошибок и утечек, включая открытые API-эндпоинты. И закинули на формально государственный сайт пару говорящих посланий. Видимо, сайт на коленке собирали те же зумеры, которые гремят в новостях. Так что стремительно седеющие от их выкрутасов американские безопасники — это не шутки, а реалии новой администрации. Остаётся делать ставки, сколько пройдёт времени до обещанной ИБ-катастрофы: рано или поздно по юных спецов с горящими глазами и кривыми руками придут матёрые китайские госхакеры, внимательно следящие за происходящим.
@tomhunter
Новоявленный doge[.]gov висит на Cloudflare Pages. Немного поковырявшись в архитектуре сайта, любопытствующие разрабы нашли кучу ошибок и утечек, включая открытые API-эндпоинты. И закинули на формально государственный сайт пару говорящих посланий. Видимо, сайт на коленке собирали те же зумеры, которые гремят в новостях. Так что стремительно седеющие от их выкрутасов американские безопасники — это не шутки, а реалии новой администрации. Остаётся делать ставки, сколько пройдёт времени до обещанной ИБ-катастрофы: рано или поздно по юных спецов с горящими глазами и кривыми руками придут матёрые китайские госхакеры, внимательно следящие за происходящим.
@tomhunter
😁10👍2🤔2💯2❤1
#news У CheckPoint отчёт по ключевым трендам малвари за январь. В топе без особых изменений: на первом месте загрузчик FakeUpdates, он же SocGnolish. Только за неделю в конце 2024-го юзеры набили 1,5 миллиона взаимодействий с ресурсами, где его хостят.
Следом по числу заражений идут инфостилер Formbook и RAT Remcos. В мобильном сегменте всё так же правит бал банковский троян Anubis. На первое место по числу рансомварь-атак c 10% вырвалась Cl0p — задел в конце года явно дал плоды. А вот на втором новички FunkSec, но достоверность их постов вызывает сомнения. В топе также ожидаемо RansomHub. В общем, FakeUpdates привычно продолжает обеспечивать рансомварь-рынок начальным доступом с подачи EvilCorp. Из других трендов рост использования LLM’ок и продвинутое качество обфускации, в частности в свежем бэкдоре от RansomHub. Подробнее читайте в отчёте.
@tomhunter
Следом по числу заражений идут инфостилер Formbook и RAT Remcos. В мобильном сегменте всё так же правит бал банковский троян Anubis. На первое место по числу рансомварь-атак c 10% вырвалась Cl0p — задел в конце года явно дал плоды. А вот на втором новички FunkSec, но достоверность их постов вызывает сомнения. В топе также ожидаемо RansomHub. В общем, FakeUpdates привычно продолжает обеспечивать рансомварь-рынок начальным доступом с подачи EvilCorp. Из других трендов рост использования LLM’ок и продвинутое качество обфускации, в частности в свежем бэкдоре от RansomHub. Подробнее читайте в отчёте.
@tomhunter
👍3🔥1
#news Исследователи обнаружили малварь с оригинальной C2-инфраструктурой: FinalDraft использует черновики писем в Outlook для маскировки коммуникаций. Это позволяет скрывать стук по командному серверу и работу вредоноса, оставляя минимум следов.
FinalDraft заточен под кражу данных, при этом поддерживает 37 команд, включая проксирование, инъекции в процессы и выполнение PowerShell. Нашлась также и Linux-версия малвари с использованием Outlook через Rest/Graph API. Уровень, на котором разработан вредонос, впечатляющий, предназначен он для шпионских кампаний, а целью атак стали МИД и другие организации в Юго-Восточной Азии. Так что сделать предположения об авторстве разработки несложно. Подробнее о новой игрушке китайских без-пяти-минут-не-братушек в отчёте.
@tomhunter
FinalDraft заточен под кражу данных, при этом поддерживает 37 команд, включая проксирование, инъекции в процессы и выполнение PowerShell. Нашлась также и Linux-версия малвари с использованием Outlook через Rest/Graph API. Уровень, на котором разработан вредонос, впечатляющий, предназначен он для шпионских кампаний, а целью атак стали МИД и другие организации в Юго-Восточной Азии. Так что сделать предположения об авторстве разработки несложно. Подробнее о новой игрушке китайских без-пяти-минут-не-братушек в отчёте.
@tomhunter
🔥5😁3
#news Очередной занятный инцидент с блокировкой ссылок на другие ресурсы, на этот раз от запретной платформы X. Юзеры обнаружили, что она полностью блокирует ссылки на мессенджер Signal, помечая их как вредоносные.
Блокировку обнаружили в постах, приватных сообщениях и био. Судя по тестам, в X банально заблокировали всё с URL signal[.]me. Под неё по сути попали и ссылки, которые в Signal используют, чтобы поделиться контактом. Изменение свежее, а при попытке перейти по уже опубликованным ссылкам пользователь получает предупреждение о вредоносе. Ранее eX-Твиттер был замечен в блокировках своих прямых конкурентов вроде Mastodon, но с чем связана борьба с Signal, неясно. Спекулируют, с тем, что через Signal массово репортят выкрутасы DOGE. Так что в сущности блокировка политически мотивированная. Вот тебе и свободных оплот. Похоже, таймлайн понемногу отъезжает в сторону «Человека в Высоком Замке», не переключайтесь.
@tomhunter
Блокировку обнаружили в постах, приватных сообщениях и био. Судя по тестам, в X банально заблокировали всё с URL signal[.]me. Под неё по сути попали и ссылки, которые в Signal используют, чтобы поделиться контактом. Изменение свежее, а при попытке перейти по уже опубликованным ссылкам пользователь получает предупреждение о вредоносе. Ранее eX-Твиттер был замечен в блокировках своих прямых конкурентов вроде Mastodon, но с чем связана борьба с Signal, неясно. Спекулируют, с тем, что через Signal массово репортят выкрутасы DOGE. Так что в сущности блокировка политически мотивированная. Вот тебе и свободных оплот. Похоже, таймлайн понемногу отъезжает в сторону «Человека в Высоком Замке», не переключайтесь.
@tomhunter
😁7🤡3👍1
#news У Hudson Rock вышло исследование приключений инфостилеров в сетях армии и крупнейших корпораций США. Результаты довольно тревожные: скомпрометированы как военные сети, так и у важнейших подрядчиков, включая Lockheed Martin, Boeing и аэрокосмической Honeywell.
Пример последней показателен: в корпорации 398 скомпрометированных систем. Один инженер, проработавший там 30 лет, собрал на своём ПК 56 корпоративных данных доступа компании и 45 от сторонних подрядчиков. То есть по цепочке поставок под атаку попадают ещё десятки компаний. За годы из изученных сетей утекли куки от внутренних систем у сотен сотрудников, логины к сервисам Microsoft, SAP и Cisco. Вплоть до Citrix и Confluence военки и их тренировочных платформ. И всё это богатство по цене десяти баксов купленных логов. Иными словами, инфостилер — это не только инструмент злоумышленника, но уже и угроза нацбезопасности. А его оператор — потенциально вольный или подневольный сослуживец APT. Тут уж как повезёт.
@tomhunter
Пример последней показателен: в корпорации 398 скомпрометированных систем. Один инженер, проработавший там 30 лет, собрал на своём ПК 56 корпоративных данных доступа компании и 45 от сторонних подрядчиков. То есть по цепочке поставок под атаку попадают ещё десятки компаний. За годы из изученных сетей утекли куки от внутренних систем у сотен сотрудников, логины к сервисам Microsoft, SAP и Cisco. Вплоть до Citrix и Confluence военки и их тренировочных платформ. И всё это богатство по цене десяти баксов купленных логов. Иными словами, инфостилер — это не только инструмент злоумышленника, но уже и угроза нацбезопасности. А его оператор — потенциально вольный или подневольный сослуживец APT. Тут уж как повезёт.
@tomhunter
😁4🔥2🤬1
#news Январь был омрачён взрывным ростом заражений вездесущим XMRig: аккурат 31 декабря злоумышленники запустили массовую кампанию по его распространению. Вектор атаки — троянизированные StaryDobry репаки популярных сэндбоксов и симуляторов на трекерах.
Кампанию вели неизвестные злоумышленники с атаками по всему миру, но большинство жертв в России. 70,5% процентов заражений пришлись на любителей BeamNG[.]drive, также досталось Dyson Sphere Program, Garry’s Mod и прочим. Атака пришлась на праздники, так как в эти дни пользователи расслабляются и начинают скачивать что попало. А игровые компьютеры — популярная цель для майнеров из-за их мощности. Так что мораль истории проста: качайте игры только отпроверенных репакеров официальных платформ! Подробнее о кампании в отчёте.
@tomhunter
Кампанию вели неизвестные злоумышленники с атаками по всему миру, но большинство жертв в России. 70,5% процентов заражений пришлись на любителей BeamNG[.]drive, также досталось Dyson Sphere Program, Garry’s Mod и прочим. Атака пришлась на праздники, так как в эти дни пользователи расслабляются и начинают скачивать что попало. А игровые компьютеры — популярная цель для майнеров из-за их мощности. Так что мораль истории проста: качайте игры только от
@tomhunter
😁5👍3❤1🤡1🤝1
#news Пока старички с хакерских форумов вздыхают по золотым годам кардинга, китайские умельцы его переизобретают, как Голливуд классику — адаптируя под современные реалии. И довольно оригинально: с помощью смишинга привязывают чужие карты к цифровым кошелькам.
В лучших китайских традициях схема поставлена на промышленные рельсы: телефоны продают партиями от десяти с пачкой привязанных к ним кошельков, их отправляют авиапочтой. Разве что с Али доставки нет, да и то не факт. У одной группировки приложение под валидные NFC-транзакции по всему миру. У остальных продвинутый фишинг с записью введённых данных в реальном времени и генерацией цифровых копий украденных карт для скана. Десятки тысяч доменов, миллиарды долларов похищенных средств. В общем, кардинг мёртв, да здравствует кардинг. Увы.
@tomhunter
В лучших китайских традициях схема поставлена на промышленные рельсы: телефоны продают партиями от десяти с пачкой привязанных к ним кошельков, их отправляют авиапочтой. Разве что с Али доставки нет, да и то не факт. У одной группировки приложение под валидные NFC-транзакции по всему миру. У остальных продвинутый фишинг с записью введённых данных в реальном времени и генерацией цифровых копий украденных карт для скана. Десятки тысяч доменов, миллиарды долларов похищенных средств. В общем, кардинг мёртв, да здравствует кардинг. Увы.
@tomhunter
😁12👍5
#news Бывают у господрядчиков неловкие конфузы, но не всякий превращается в инфоповод. В отличие от этого: подрядчик ВВС США и прочих ведомств решил закупить софт от GrayKey. И отправил запрос на покупку прямиком на почту журналистам из 404Media.
Исходя из письма, им нужны четыре лицензии, а их конечный получатель — департамент, обслуживающий Минобороны. И всё по последнему слову техники: для полноценного вскрытия свежайших моделей на iOS и Android. Огоньку полученному письму добавляет то, что именно 404Media опубликовало слив документации из GrayKey. Так что у подрядчика со спутанным получателем вышел немного фрейдистский курьёз с конспирологическим привкусом. Минобороны же комментариев не дало. По такому случаю напомню: если хотите приобрести наши продукты, пишите только по официальным каналам, а не каким-нибудь иноагентам ненароком. А то ведь это всяким чревато.
@tomhunter
Исходя из письма, им нужны четыре лицензии, а их конечный получатель — департамент, обслуживающий Минобороны. И всё по последнему слову техники: для полноценного вскрытия свежайших моделей на iOS и Android. Огоньку полученному письму добавляет то, что именно 404Media опубликовало слив документации из GrayKey. Так что у подрядчика со спутанным получателем вышел немного фрейдистский курьёз с конспирологическим привкусом. Минобороны же комментариев не дало. По такому случаю напомню: если хотите приобрести наши продукты, пишите только по официальным каналам, а не каким-нибудь иноагентам ненароком. А то ведь это всяким чревато.
@tomhunter
😁12👍2
#news Пока США движутся по направлению, заданному плотной сердечной от Илона, что ни день так новые весёлые звоночки из Штатов. Работник одного из госведомств уволился в качестве протеста, после того как сотрудник Маска потребовал рут-права от системы оповещений Notify[.]gov.
Эти права дали бы ему бесконтрольный доступ к личным данным граждан США. Через Notify и Login[.]gov идёт куча информации — это Госуслуги в миниатюре. У госаппарата от таких запросов продолжается тряска, так как они идут в нарушение всех установленных протоколов. Маск и компания же в своём вульгарном либертарианстве по накурке одержимы идеей порезать ненужные госрасходы и отыскать в них мошенничество. Задумка отличная, реализация не очень. Тем более, есть много слов, чтобы описать американскую медсоциалку, но «нуждающаяся в урезании» в их число точно не входят. А уж о доступе к тонне конфиденциальных данных для кого попало и говорить нечего. Попкорн далеко не убирайте — веселье явно продолжится.
@tomhunter
Эти права дали бы ему бесконтрольный доступ к личным данным граждан США. Через Notify и Login[.]gov идёт куча информации — это Госуслуги в миниатюре. У госаппарата от таких запросов продолжается тряска, так как они идут в нарушение всех установленных протоколов. Маск и компания же в своём вульгарном либертарианстве по накурке одержимы идеей порезать ненужные госрасходы и отыскать в них мошенничество. Задумка отличная, реализация не очень. Тем более, есть много слов, чтобы описать американскую медсоциалку, но «нуждающаяся в урезании» в их число точно не входят. А уж о доступе к тонне конфиденциальных данных для кого попало и говорить нечего. Попкорн далеко не убирайте — веселье явно продолжится.
@tomhunter
😁8🤡7🤬4👍1
#news Злоумышленники используют новый метод обфускации вредоносного кода на JavaScript. Его маскируют с помощью невидимых символов Unicode, за счёт чего вредоносная нагрузка выглядит как пустое пространство в коде. Проверка концепции разлетелась по сети в октябре прошлого года, а в сетевых дебрях его применение заметили уже в начале января. Не эксплойт CVE в день релиза, но тоже неплохо.
ASCII вредоносного кода перегоняют в 8-bit, заменяя двоичные числа в нём на невидимые символы. Затем бутстрап-скрипт конвертирует их обратно в бинарник и восстанавливает изначальный код. Сканеры пустое пространство как вредоносное толком не считывают. Пока метод был замечен в узкоспециализированных атаках, но в дальнейшем, скорее всего, войдёт в широкий арсенал злоумышленников за счёт простоты кодирования. Видишь вредоноc, юзернейм? И я не вижу. А он есть.
@tomhunter
ASCII вредоносного кода перегоняют в 8-bit, заменяя двоичные числа в нём на невидимые символы. Затем бутстрап-скрипт конвертирует их обратно в бинарник и восстанавливает изначальный код. Сканеры пустое пространство как вредоносное толком не считывают. Пока метод был замечен в узкоспециализированных атаках, но в дальнейшем, скорее всего, войдёт в широкий арсенал злоумышленников за счёт простоты кодирования. Видишь вредоноc, юзернейм? И я не вижу. А он есть.
@tomhunter
😁9👍5🤯3😱1
#news Darcula выводит свой фишинговый кит на новый уровень. С релизом свежей версии клиентам обещают автогенерацию фишинговый страниц под любой бренд. Исследователи поковырялись в бета-версии кита, заявленная функциональность присутствует.
Для создания страницы достаточно скормить киту ссылку на желаемый бренд — шаблоны для атаки он генерирует самостоятельно с помощью инструмента Puppeteer. Последний копирует HTML, CSS, изображения и JavaScript, сохраняя оригинальный дизайн сайта. Иными словами, требования к технавыкам у начинающих фишеров теперь околонулевые. Судя по анализу активности, число скачиваний образа выросло на 100% уже в тестовой версии. Так что в 2025-м стоит готовиться к солидному росту фишинговых атак от малолетних дарований, которые не смогли бы написать скрипт «Hello, World», даже если бы ChatGPT держал их за руку. Подробнее о новой версии Darcula Suite в отчёте.
@tomhunter
Для создания страницы достаточно скормить киту ссылку на желаемый бренд — шаблоны для атаки он генерирует самостоятельно с помощью инструмента Puppeteer. Последний копирует HTML, CSS, изображения и JavaScript, сохраняя оригинальный дизайн сайта. Иными словами, требования к технавыкам у начинающих фишеров теперь околонулевые. Судя по анализу активности, число скачиваний образа выросло на 100% уже в тестовой версии. Так что в 2025-м стоит готовиться к солидному росту фишинговых атак от малолетних дарований, которые не смогли бы написать скрипт «Hello, World», даже если бы ChatGPT держал их за руку. Подробнее о новой версии Darcula Suite в отчёте.
@tomhunter
👍3🔥3😁2
#news Стремительное падение Conti по следам слива от крота-исследователя все помнят? Настала очередь её отпрыска Black Basta. Неизвестный информатор выложил в сеть архив внутренних чатов группировки. Где-то это я уже видел… Ах, да.
В сливе переписка с сентября 2023-го по сентябрь 2024-го. Адреса криптокошельков, учётки жертв, схемы под фишинг, тактика взломов. И самое главное, раскрыты личности некоторых членов группировки. Админ Лапа, связанный с Qakbot Cortes, главадмин YY и предполагаемый лидер Black Basta Олег Нефедов. Кто стоит за сливом, пока неясно, но звучат предположения, что это результат внутренних разборок. Между тем исследователи уже скормили больше миллиона сообщений LLM’ке и подняли BlackBastaGPT для их анализа. Развлечение на выходные первоклассное, присоединяйтесь. Ну а разругавшейся группировке теперь, можно сказать,баста .
@tomhunter
В сливе переписка с сентября 2023-го по сентябрь 2024-го. Адреса криптокошельков, учётки жертв, схемы под фишинг, тактика взломов. И самое главное, раскрыты личности некоторых членов группировки. Админ Лапа, связанный с Qakbot Cortes, главадмин YY и предполагаемый лидер Black Basta Олег Нефедов. Кто стоит за сливом, пока неясно, но звучат предположения, что это результат внутренних разборок. Между тем исследователи уже скормили больше миллиона сообщений LLM’ке и подняли BlackBastaGPT для их анализа. Развлечение на выходные первоклассное, присоединяйтесь. Ну а разругавшейся группировке теперь, можно сказать,
@tomhunter
😁7🔥3🎉2
#news В качестве пятничных новостей у нас забавная находка из логов Black Basta. В сети уже немало статей (раз, два и три) с инсайдами во внутреннюю кухню группировки, а мы тем временем обнаружили в логах пост из нашего канала. Вот этот. О наградах для информантов о членах группировки Hive от Госдепа и ФБР.
Судя по дискуссии, сумма в 10 миллионов баксов одного из участников чата не впечатлила. Но другой резонно отметил, что это не шутки и друг друга они сдают регулярно, да и вообще нужно новые контакты проверять. В общем, друзья, Black Basta рекомендует: подписывайтесь на T.Hunter, чтобы быть в курсе, кто из рансомварь-сцены следующий на вылет к дяде Сэму в уютную камеру. У нас самые интересные ИБ-новости и самые искромётные шуточки про сомнительных героев киберпреступного подполья России!
@tomhunter
Судя по дискуссии, сумма в 10 миллионов баксов одного из участников чата не впечатлила. Но другой резонно отметил, что это не шутки и друг друга они сдают регулярно, да и вообще нужно новые контакты проверять. В общем, друзья, Black Basta рекомендует: подписывайтесь на T.Hunter, чтобы быть в курсе, кто из рансомварь-сцены следующий на вылет к дяде Сэму в уютную камеру. У нас самые интересные ИБ-новости и самые искромётные шуточки про сомнительных героев киберпреступного подполья России!
@tomhunter
😁20👍5🤡3❤1