#news Хакер взломал мессенджер, которым пользуются чиновники США. Недавно советник по нацбезопасности Майк Уолтц засветил на экране форк Signal, который поставляет компания TeleMessage из Израиля. Ключевая фича — архивация сообщений. И вместо сквозного шифрования AWS-сервер, на котором хранится переписка. Что могло пойти не так?
Как утверждает злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные юзеров, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase. В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…
@tomhunter
Как утверждает злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные юзеров, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase. В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…
@tomhunter
😁28👍5🔥2❤1
#news LLM’ки покорили мир фишинга и спама идеальной грамматикой: уже до половины писем написаны ИИ-моделями, причём на любом языке с местными нюансами. Квебекский французский вместо стандартного или европейский португальский вместо бразильского? Легко. Фишинг больше не ограничен ни географией, ни языком.
В романтическом мошенничестве тоже задействовали ИИ — сначала жертву соблазняет чат-бот, а затем кожаный мешок просит деньги или предлагает инвестиции. Годами учишь сотрудников, что фишинг — это байт на срочность и ошибки в тексте, а затем к делу подключается ИИ. Так что у нас новый пункт в тренингах: если письмо написано безупречно, скорее всего, это фишинг. Если звонит нерд из IT-отдела и запрашивает пароль или другие данные — это аудиофейк, айтишники не звонят и не пишут голосовые. Если тобой заинтересовалась красотка из приложения для знакомств — это охотящийся за криптой чат-бот или китайский шпион, запитанный от DeepSeek. Будущее безжалостно! Причём самое ближайшее.
@tomhunter
В романтическом мошенничестве тоже задействовали ИИ — сначала жертву соблазняет чат-бот, а затем кожаный мешок просит деньги или предлагает инвестиции. Годами учишь сотрудников, что фишинг — это байт на срочность и ошибки в тексте, а затем к делу подключается ИИ. Так что у нас новый пункт в тренингах: если письмо написано безупречно, скорее всего, это фишинг. Если звонит нерд из IT-отдела и запрашивает пароль или другие данные — это аудиофейк, айтишники не звонят и не пишут голосовые. Если тобой заинтересовалась красотка из приложения для знакомств — это охотящийся за криптой чат-бот или китайский шпион, запитанный от DeepSeek. Будущее безжалостно! Причём самое ближайшее.
@tomhunter
😁14👍6🔥3🫡3
#news США планируют изменить подход к наступательным кибероперациям. Об этом сообщил крупный чиновник Совбеза: операции дестигматизируют и нормализируют против Китая и прочих оппонентов США в киберпространстве.
Согласно заявлениям, с чрезмерной осторожностью и бюрократией в наступательном кибербезе нужно прощаться — атаки по штатовской инфраструктуре должны получать симметричный ответ. Подробностей по новой политике пока нет, но курс задан, так что можно ожидать изменений. Добавятся ли к мишкам и тайфунам лихие американские орлы, в ответ на взломы устраивающие локальные инциденты формата Colonial Pipeline? А если бонусом рансомварщиков запишут в террористы и нацугрозу? И завербуют зумеров-аутистов из разных там The Com и с конф на службу в наступательные киберотряды ФБР? Да вряд ли — запала не хватит. Но веселья в ИБ-пространстве с такими вводными, конечно, прибавилось бы с запасом.
@tomhunter
Согласно заявлениям, с чрезмерной осторожностью и бюрократией в наступательном кибербезе нужно прощаться — атаки по штатовской инфраструктуре должны получать симметричный ответ. Подробностей по новой политике пока нет, но курс задан, так что можно ожидать изменений. Добавятся ли к мишкам и тайфунам лихие американские орлы, в ответ на взломы устраивающие локальные инциденты формата Colonial Pipeline? А если бонусом рансомварщиков запишут в террористы и нацугрозу? И завербуют зумеров-аутистов из разных там The Com и с конф на службу в наступательные киберотряды ФБР? Да вряд ли — запала не хватит. Но веселья в ИБ-пространстве с такими вводными, конечно, прибавилось бы с запасом.
@tomhunter
🔥10😁5👍4💯1
#news Исследователи разобрали инфраструктуру главной фишинговой платформы 2025-го — Darcula. 20 тысяч доменов, около 600 операторов, активность более чем в ста странах, 13 миллионов переходов по ссылкам за год. В свежем отчёте инсайды с проникновением в бэкенд кита и чаты группировки.
Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналички. Плюс фотографии роскошной жизни операторов. Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.
@tomhunter
Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналички. Плюс фотографии роскошной жизни операторов. Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.
@tomhunter
🔥6👍5😁4❤1
#digest Между майскими выходными самое время вспомнить ключевые ИБ-новости апреля. В прошлом месяце RansomHub внезапно отключила инфраструктуру, и пошли слухи о перехвате группировки. CVE-программа MITRE также чуть было не ушла оффлайн из-за проблем с финансированием.
В ИИ-моделях раскрыли новый вектор атаки — slopsquatting с выдуманными ими зависимостями. Попутно LLM’ки писали эксплойты и устраивали скандалы разработчикам Cursor. В протоколе Airplay от Apple нашли россыпь серьёзных уязвимостей. А РКН предложил бизнесу сообщить об утечках данных до 30 мая и спать спокойно, рассчитавшись по старому прейскуранту. Обо всём этом и других интересных новостях апреля читайте на Хабре!
@tomhunter
В ИИ-моделях раскрыли новый вектор атаки — slopsquatting с выдуманными ими зависимостями. Попутно LLM’ки писали эксплойты и устраивали скандалы разработчикам Cursor. В протоколе Airplay от Apple нашли россыпь серьёзных уязвимостей. А РКН предложил бизнесу сообщить об утечках данных до 30 мая и спать спокойно, рассчитавшись по старому прейскуранту. Обо всём этом и других интересных новостях апреля читайте на Хабре!
@tomhunter
👍6❤3🔥2
#news У CISA в США не прекращается чёрная полоса: в 2026-м ему хотят сократить бюджет на скромные 500 миллионов долларов. Это почти одна пятая годового бюджета агентства.
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
😁8👍5💯3❤1😢1
#news Наметился прорыв в деле противостояния спайвари: суд обязал NSO Group выплатить известным экстремистам из WhatsApp 167 миллионов долларов за взлом аккаунтов пользователей.
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
🎉9🔥4👍2😁2
#news По следам скандала со вскрытым сервером TeleMessage исследователи изучили и исходники приложения. Результаты занятные: архив сообщений с телефонов топовых штатовских чиновников лежал на сервере… в незашифрованном виде.
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
😁24👍4🔥3
#events 22-24 мая в Москве пройдёт ежегодный киберфестиваль «Positive Hack Days Fest» — одно из крупнейших ИБ-событий России. Три дня инфобеза для всех желающих и закрытая часть со спикерами из числа ключевых экспертов индустрии.
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
👍8🤡3🔥2🤝2
#news LockBit взломали. Кого, спросите вы? Так LockBit. Все админ-панели группировки дефейснули, вместо интерфейса повесили «Don't do crime CRIME IS BAD xoxo from Prague». И бонусом шёл свежий дамп MySQL-базы админки. Сервер крутился на PHP 8.1.2 с уязвимостью под RCE.
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
😁22👍6🔥3🤡2
#news Поставщик софта для школ в Северной Америке недавно выплатил выкуп после взлома. Компания получила видео от злоумышленника с доказательством удаления баз данных клиентов. И что вы думаете? Опять обманули.
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
Взломщики пошли с требованием выкупа по школам, чьи данные стянули у поставщика — 6 тысяч учебных заведений по всему континенту, так что есть где разгуляться. В новом шантаже используют старые данные из утечки, так что либо они оказались у кого-то ещё в прошлый раз, либо те же злоумышленники решили поднять ещё немного отпускных. Так что, как часто бывает, на выплате выкупа злоключения жертвы не закончились. Может, однажды бизнес поймёт, что регулярный аудит от ИБ-фирм дешевле и практичнее, чем разбор последствий взломов и утечек в надежде на честь среди киберворов? И к другим несбыточным фантазиям в нашей среде…
@tomhunter
😁11👍3💯3
#news Ещё один разработчик не выдержал потока липовых BB-репортов от LLM’ок. Создатель cURL Даниэль Стенберг сообщил о добавлении новой галочки на H1: сгенерирован ли отчёт ИИ-моделью. Если горе-багхантер её отметит, он получит уточняющие вопросы и требование проверки концепции, прежде чем отчёт уйдёт команде.
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
Стенберг сравнил поток псевдоразумных репортов на H1 с DDoS-атакой. Времени на их анализ уходит чрезвычайно много, при этом ни один якобы найденный LLM’кой баг за последние 6 лет не был валидным. Бедняга окончательно сломался на репорте об RCE, который звучал правдоподобно, но… вёл на несуществующие функции. При этом прислал его багхантер с репутацией, так что его не забанили моментально, как делают с остальными восходящими BB-звёздами. В общем, урок для всех мечтателей от мира багханта: общедоступные LLM’ки пока уязвимости не находят. А когда начнут, BB-выплаты, возможно, уже перестанут существовать как явление. Так что пожалейте разрабов, не дудосьте их ИИ-слопом.
@tomhunter
😁11👍7🤝3
#news Исследователи раскрыли масштабную фишинговую операцию по краже крипты. Серьёзная инфраструктура, почти 40 тысяч поддоменов, работа по криптовладельцам на протяжение уже несколько лет.
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
Кампания получила название «FreeDrain». Жертва гуглит информацию о своём кошельке, попадает на фишинговую страницу с копией интерфейса, вводит данные и моментально лишается цифровых монеток. Хостинг на бесплатных платформах, манипуляции с SEO под выдачу и, конечно, генерация текстового контента через ChatGPT. Операция активна с 2022-го года, и с учётом масштабов инфраструктуры украденные суммы должны быть внушительными. Кто стоит за «FreeDrain»? Коммиты на GitHub по будням в IST, так что киберпреступные мастера криптовалютного дрейна, видимо, сидят в одном из индийских технологических хабов. Подробнее об операции в отчёте. Берегите свои кошельки!
@tomhunter
👍5🔥4😁2🤯2
#news Ещё одна сомнительная криптобиржа пошла под нож органов. На этот раз досталось eXch. За пару недель до этого операторы объявили о закрытии, узнав об идущем расследовании. Но не успели: инфраструктура перехвачена, 8 TB данных у полиции, 34 миллиона евро отжаты.
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
eXch была активна с 2014-го года и набила себе репутацию в кругах киберкриминала нулевой KYC и отказом взаимодействовать с властями. Так что выражая искреннее удивление своим криминальным статусом, админы биржи просто кокетничают — они годами продвигали свои услуги в даркнете. А разгадка внезапного падения eXch проста: через неё прошла часть эфира со взлома ByBit, и замораживать средства операторы отказались. Казалось бы, за последние годы можно было осознать, что соучастие в финансировании КНДР через Lazarus и компанию — это та черта, перейдя которую, ты мгновенно теряешь свою криптолавочку и улетаешь попутным рейсом на экстрадицию. Но Неуловимые Джо от мира криптомиксеров сообразительностью не отличаются.
@tomhunter
😁11👍3👎2💯1
#news Исследователь обнаружил уязвимости под RCE в софте ASUS для установки драйверов, автоматически активируемом через BIOS. DriverHub позволял злоумышленнику зарегистрировать поддомен домена, по которому стучится софт, захостить на нём вредонос и в один клик доставить юзеру через эндпоинт в DriverHub.
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
ASUS уязвимости признала, выписала им две критических CVE и исправила. Но без конфузов не обошлось. Скоуп проблемы преуменьшили, а вместо «уязвимость под RCE» получилось невнятное «недоверенные источники могут повлиять на поведение системы». Классика. BB-выплаты для автора у ASUS тоже не нашлось — только упоминание в «Зале Славы». Оно и понятно, ASUS — маленький стартап, загнать в BIOS бэкдор, по которому может стукнуть любой желающий с поддомена и получить RCE, они могут себе позволить. А вот BB-выплату нет. Спасибо, багхантер, сегодня без трёх соток — ищи себя в почётных упоминаниях зала славы ASUS.
@tomhunter
😁21👍2🤯2🤔1🤝1
#news ClickFix приспособили под Linux. Вариация атаки была замечена в сетевых дебрях в исполнении пакистанских умельцев. Поднятный ими фишинговый сайт проверял систему юзера и подсовывал соответствующие инструкции под Windows и Linux.
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
В случае последней жертва попадала на страницу с капчей, которая копировала shell-команду в буфер и предлагала выполнить её через Alt + F2. Скрипт подтягивал с С2-сервера jpeg вместо вредоноса, так что, судя по всему, злоумышленники тестировали эффективность социнженерии по линуксоидам. Можно предположить, что с ними ClickFix срабатывает не очень — когда ты осваиваешь командную строку раньше, чем базовые социальные навыки, попытка подсунуть тебе какой-то левый скрипт вызывает только снисходительное хихиканье. Так или иначе, ClickFix теперь замечен во всех трёх основных осях, хоть и наверняка будет чумой преимущественно уверенных пользователей ПК на винде.
@tomhunter
😁12👍4❤2💯1
#news Злоумышленники используют приманку в виде бесплатных ИИ-инструментов для доставки ранее неизвестного вредоноса. Вместо плодов работы услужливой LLM’ки жертвы получают инфостилер Noodlophile.
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
Инфостилер многофункциональный — кража данных доступа, выкачивание кошельков и удалённый доступ в качестве бонуса. Написан неким «увлечённым разработчиком малвари из Вьетнама». Подставные сайты продвигают инструменты для создания видео, логотипов, картинок и целых сайтов. Так что на приманку могут попасться не только случайные юзеры, но и бизнес, решивший сэкономить на маркетинге. И у компаний уже были случаи заражения, так что вектор не теоретический. Так что не экономьте на дизайнерах, наймите хотя бы фрилансера! Если он пойдёт искать ИИ-приблуду, чтобы поскорее выполнить заказ, инфостилер достанется ему, а не окажется в корпоративной сети! Уроки управления ИБ-рисками от T.Hunter.
@tomhunter
❤8😁6👍4🔥1
#news Европейское агентство по кибербезу ENISA представило собственную базу уязвимостей, EUVD. Она создана для повышения устойчивости и автономии инфополя по CVE. База доступна всем желающим бесплатно, информация в неё подтягивается в том же формате, что и по CVE-программе и KEV-каталогу.
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
В сущности EUVD дублирует функциональность программы от MITRE, но после недавнего инцидента с финансированием лишней она точно не будет. Как минимум у нас разработанная в партнёрстве с MITRE база, которая позволит глобальной экосистеме сообщения об уязвимостях в случае чего не уйти оффлайн. Как максимум, если EUVD будет работать эффективно, бонусом может повыситься скорость реагирования на инциденты. Можно, конечно, поворчать, что нам не надо больше баз — только лишняя фрагментация и лаг между источниками. Но вот завтра распустит CISA один эксцентричный оранжевый человек, и что вы будете делать? То-то же.
@tomhunter
😁7👍6🔥3
#news Google расширила свою запитанную от ИИ фичу Scam Detection в Android под обнаружение всевозможного скама: крипта, подарочные карты, техподдержка и прочее. Android теперь обнаруживает ~2 миллиарда мошеннических сообщений в месяц.
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
Кроме того, антискам-модель сможет анализировать длительные переписки: когда красотка предложит вложиться в крипту, LLM’ка превентивно разобьёт жертве сердечко и сохранит средства. Из интересного, в Google упомянули, что у них идёт тестирование обнаружения скама в звонках. Скоро юзеры смогут прямо на созвоне получать предупреждения о мошенничестве, а скам-центрам придётся переписывать сценарии под обход прозорливого искусственного болванчика. Модель также рассчитывают интегрировать в сторонние мессенджеры помимо Google Messages. Так что в идеале LLM’ка убережёт и от Тараса из ФСБ, и от тарелочницы из Тиндера, и от другого романтического и не очень мошенничества. Ну а пока обнаруживаем по старинке.
@tomhunter
👍7😁7❤2🤡2🔥1
#news Штатовская компания Flock, поставляющая камеры для распознавания автономеров, работает над любопытным ПО. Платформа Nova даст полиции возможность пробить по номеру авто всю информацию о владельце.
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
Для этого Nova подтягивает данные из кучи источников: из открытых, с камер и полицейских баз, от инфроброкеров, кредитных бюро, публичных реестров и прочего. Самое интересное, один из источников — утёкшие базы данных. Судя по чатам Flock, от этого неловко и самим разрабам. В общем, пока наши скромные боты для пробива существуют в полулегальном поле, в Штатах спокойно клепают премиальный «Глаз Дяди Сэма» для полиции и всех причастных, запитывая от утёкших в даркнет баз. Как минимум платформа сильно упростит OSINT-работу органов, как максимум станет очередным кошмаром для приватности. Вся инфа о тебе в одном клике — что может пойти не так?
@tomhunter
😁8👍4😱4🤔2🔥1
#news Coinbase стала жертвой шантажа. Неизвестный злоумышленник потребовал у биржи $20 миллионов за отказ от публикации стянутых данных юзеров. Coinbase вместо этого предлагает ту же сумму за информацию о шантажисте.
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
Пикантности ситуации добавляет происхождение данных: злоумышленник убедил работников техподдержки на аутсорсе в Индии скопировать данные клиентов из их внутренних инструментов. Цель — собрать список криптовладельцев, которых можно заскамить от лица Coinbase. Те, кто в курсе, сколько криптостартапы платят сотрудникам в экзотических странах, здесь только понимающе ухмыльнулись. Когда у тебя в техподдержке 2/2 по 12 часов сидят люди с окладом едва в 500 баксов, уговаривать их совершить шалость особо и не нужно — они и сами справятся. Криптостартапы из СНГ с миллионными оборотами, зарплатами в виде ветки и регулярными интересными инцидентами не дадут соврать.
@tomhunter
😁14💯5👍2