#news Увлекательная история от GrapheneOS для поднятия боевого духа в начале недели. На днях юзер начал разгонять по сети, что GOS его подвёл: якобы он сдал пин-код для вайпа, а тот не сработал. Сдал он его на допросе. По подозрению в предумышленном убийстве.
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
😁8👍3🔥3❤1😢1
#news Исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
🔥10❤3😁2🤬1
#news У FinCEN, бюро в составе Минфина США, свежий отчёт по рансомварь-сцене. Цифры интересные: с 2022-го по 2024-й годы выплаты достигли ~$2,1 миллиардов. Почти столько же, сколько за восемь лет до этого. Всего с 2013-го по 2024-й выкупов было на ~$4,5 миллиарда.
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
😁6👍1
#news У Sophos отчёт по трендовому пакеру 2025-го — Shanya. Он появился в конце 2024-го и в этом году набрал обороты, потеснив HeartCrypt. Образцы от Shanya светятся регулярно, и пакер вошёл в арсенал Qilin, Medusa и Akira.
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
😁4❤1👍1
#news У “Лаборатории Касперского” небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
😁10🔥2😢1🤡1💯1
#news Аналитики из консалтинговой фирмы Gartner в США призвали отказаться от использования ИИ-браузеров. По их мнению, они несут слишком много рисков, и до поры до времени в защищённых средах существовать не должны. Очевидное-невероятное.
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.А идея-то неплохая. В принципе, думаю, здесь никому не нужно объяснять, что ИИ-браузеры бегут впереди паровоза, и ИБ в них сильно отстаёт. Но что очевидно любому вменяемому человеку в индустрии, неочевидно пиджакам в высоких кабинетах. Глядишь, отчётик от уважаемых людей поспособствует.
@tomhunter
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.
@tomhunter
👍7😁2🤡1
#news К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций. Которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
😁7❤2🔥2😱2👍1
#news В Gogs, сервисе для селфхоста Git-репозиториев, нулевой день под произвольный код. Уязвимы доступные в сети инстансы с открытой регистрацией — а это настройка по умолчанию. Кто сервисом пользуется, мог догадаться: это обход ранее исправленной уязвимости на path traversal.
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
😁6👍1🔥1
#news Notepad++ засветился в кампании по доставке малвари: несколько исследователей сообщили о кейсах, в которых апдейтер подтягивал вредонос вместо легитимных обновлений.
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
👍8🔥3❤1
#news Пятничные новости от мира хактивизма. Операторы CyberVolk, он же VolkLocker, вернулись после затишья с новой рансомварью. Но забыли в энкрипторе ключ для дешифрования. Который падает на машины жертвы простым текстом. *звуки грустного тромбона*
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
😁14
#news И к новостям о более успешных (и креативных) злоумышленниках. На волне популярности нового фильма с ДиКаприо, на трекерах троянизированные варианты. И в одном малварь запрятана прямиком в субтитры.
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
🔥8😁6👍4❤1🤬1
#news В Южной Корее идёт расследование утечки данных граждан, которую уже успели окрестить худшей в истории страны. Из Coupang, местного Ozon, утекли данные двух третей граждан. А ответственен за неё бывший сотрудник.
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
😁10🔥4👍2
#news У MITRE свежий топ-25 самых опасных уязвимостей года. Как обычно, на первом месте межсайтовый скриптинг, но по остальным позициям есть интересные изменения.
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
🔥5❤2👍1👎1🤡1
#news У нас победитель в категории “Самый пикантный взлом года”. Скажем прямо: взломали PornHub. Точнее, его стороннего подрядчика. И стянули историю поиска и просмотров премиальных юзеров. Ситуация, одним словом, щекотливая.
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
😁22🤬1
#news Радостная новость для всех пенсионеров-миллионеров, доверчивых обывателей и прочих дамочек по имени Лариса: на Украине провели рейды по мошенническим центрам. Число скам-звонков временно снизилось.
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
👍6🤡6💯3❤1👎1🔥1
#news Хроники шиттификации интернета: большинство паркованных доменов в сети — больше 90% — ведут на сайты с малварью и спамом. Для сравнения, в 2014-м цифры были прямо противоположные: меньше 5% редиректов на вредонос.
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
🤯8🔥3🤬2😢1
#news “Бесплатный” Urban VPN Proxy под Chrome и другие расширения от разработчика поймали на пересылке промптов юзеров ко всем популярным LLM’кам на серверы разрабов. 6 миллионов скачиваний.
В заголовки залетел сам Urban VPN, но это ещё три расширения, включая адблокер и ещё один народный ускоритель ютуба. Суммарно ~8 миллионов установок. Вредоносное обновление пушнули 9 июля этого года с захардкоженным сбором данных по умолчанию. А обновления расширений идут автоматом. Скрипты переписывают API браузера по паре реквестов, и промпты прогоняются через расширение, которое затем пересылает их на серверы. Уходят сами промпты, ответы LLM’ки и метаданные сессии. И всё собранное идёт на продажу брокерам в сыром виде. Фича, кстати, задокументирована в политике конфиденциальности. А вы думали, Мизулина с вами шутки шутила, называя бесплатные VPN’ы порталами в ад? Наивные.
@tomhunter
В заголовки залетел сам Urban VPN, но это ещё три расширения, включая адблокер и ещё один народный ускоритель ютуба. Суммарно ~8 миллионов установок. Вредоносное обновление пушнули 9 июля этого года с захардкоженным сбором данных по умолчанию. А обновления расширений идут автоматом. Скрипты переписывают API браузера по паре реквестов, и промпты прогоняются через расширение, которое затем пересылает их на серверы. Уходят сами промпты, ответы LLM’ки и метаданные сессии. И всё собранное идёт на продажу брокерам в сыром виде. Фича, кстати, задокументирована в политике конфиденциальности. А вы думали, Мизулина с вами шутки шутила, называя бесплатные VPN’ы порталами в ад? Наивные.
@tomhunter
😁14🤡4
#news Cisco предупредила клиентов о новом критическом 0-day с десяточкой по CVSS в своих продуктах, который эксплойтят китайские госхакеры. Затронуты Secure Email Gateway, Cisco Secure Email и Web Manager. Патчей пока нет.
Проблему усугубляет то, что затронутые продукты стоят в куче крупных организаций и неизвестно, как давно идёт эксплуатация. Cisco обнаружила взломы 10 декабря, но здесь как в бородатом анекдоте: на третий месяц Орлиный Глаз заметил, что в софте нулевой день. Эксплойт идёт как минимум с конца ноября. Затронутые все релизы Cisco AsyncOS, но только с включённой и доступной в сети фичей Spam Quarantine — по умолчанию она отключена. Неправильная проверка ввода — похоже, опять забыли про санитизацию. Работа над патчем идёт, ну а пока пользователям предложены костыли в виде вайпа и надежда на лучшее. Начинают ли китайские апэтэшечки свой день с дружного “Спасибо вам, лаоваи, за Cisco!”, история умалчивает.
@tomhunter
Проблему усугубляет то, что затронутые продукты стоят в куче крупных организаций и неизвестно, как давно идёт эксплуатация. Cisco обнаружила взломы 10 декабря, но здесь как в бородатом анекдоте: на третий месяц Орлиный Глаз заметил, что в софте нулевой день. Эксплойт идёт как минимум с конца ноября. Затронутые все релизы Cisco AsyncOS, но только с включённой и доступной в сети фичей Spam Quarantine — по умолчанию она отключена. Неправильная проверка ввода — похоже, опять забыли про санитизацию. Работа над патчем идёт, ну а пока пользователям предложены костыли в виде вайпа и надежда на лучшее. Начинают ли китайские апэтэшечки свой день с дружного “Спасибо вам, лаоваи, за Cisco!”, история умалчивает.
@tomhunter
🔥6😁6👍3❤1
#news Поучительная история от мира киберпреступного хактивизма. 12 декабря взломали почтовые серверы Министерства внутренних дел Франции в отместку за арест админов BF. А 17 декабря предполагаемого взломщика арестовали — теперь присоединится к коллегам.
Пост о взломе появился на свежей вариации BreachForums 13 декабря вместе с новой порцией разборок малолетнего криминального андеграунда на тему не ханипот ли BF часом. Кто-то поругался, кто-то обиделся — местечковый форум об аниме получается, всерьёз воспринимать сложно. В комплекте шло стандартное бахвальство о том, сколько всего наломали и стянули, и выпады в адрес Интерпола и Франции. Стране дали неделю, чтобы ответить. И Франция ответила. Очередной пример того, что Неуловимые Джо плохо понимают, как работают бюрократия и трёхбуквенные агентства. У 22-летнего взломщика уже были приводы за сайберкрайм, и его привлекали по тем же обвинениям буквально в этом году. Так что киберпреступная вендетта продлилась недолго. А разговоров-то было…
@tomhunter
Пост о взломе появился на свежей вариации BreachForums 13 декабря вместе с новой порцией разборок малолетнего криминального андеграунда на тему не ханипот ли BF часом. Кто-то поругался, кто-то обиделся — местечковый форум об аниме получается, всерьёз воспринимать сложно. В комплекте шло стандартное бахвальство о том, сколько всего наломали и стянули, и выпады в адрес Интерпола и Франции. Стране дали неделю, чтобы ответить. И Франция ответила. Очередной пример того, что Неуловимые Джо плохо понимают, как работают бюрократия и трёхбуквенные агентства. У 22-летнего взломщика уже были приводы за сайберкрайм, и его привлекали по тем же обвинениям буквально в этом году. Так что киберпреступная вендетта продлилась недолго. А разговоров-то было…
@tomhunter
😁11💯2
#news Криптомир закрывает 2025-й с огоньком: за год украдены почти $3,5 миллиарда. Большая часть этой суммы приходится на северокорейских криптостахановцев. Суммарно хакеры из КНДР набрали в госкубышку минимум $2 миллиарда.
Что не особо впечатляет, если вспомнить, что $1,5 миллиарда с ByBit. Но тут главное, чтобы улыбчивый лидер был доволен, а остальное приложится. Chainanalysis отмечает, что в этом году братушки предпочли крупные атаки. Удивительная проницательность:покупай на ямках ломай большие биржи, отдыхай на маленьких. Но наблюдать за первой в мире крипто-Тортугой по-прежнему интересно, этого не отнять. На 2026-й прогнозируют тряску по всем крупным биржам из страха перед гостями из КНДР. И аудиты не на бумаге нужны, и под лупой каждого на собеседовании рассматривать — не видеофейк ли часом. А с оглядкой на креатив IT-солдат по найму, паранойя будет цвести только так. Социнженерия-то здесь по-прежнему главный вектор.
@tomhunter
Что не особо впечатляет, если вспомнить, что $1,5 миллиарда с ByBit. Но тут главное, чтобы улыбчивый лидер был доволен, а остальное приложится. Chainanalysis отмечает, что в этом году братушки предпочли крупные атаки. Удивительная проницательность:
@tomhunter
🔥6😁3❤1
#news Случаются и у сильных APT мира сего неловкие проколы: китайская Silver Fox оставила открытой веб-панель, через которую отслеживали скачивания троянизированных установочников. И на неё забрели безопасники.
На панельке картина масштабной кампании по отравлению поисковой выдачи: cайты-двойники выводят в топ и распространяют RAT. Судя по находкам, в арсенале группировки два десятка популярных софтин. Работают они по китайской аудитории, но есть интересный нюанс: в части файлов и компонентов названия кириллицей — то есть это такой ложный флаг на минималках. Не в каждой западной ИБ-фирме найдётся иммигрант из СНГ, чтобы показать ему китайско-русский гуглотранслейт, так что задумка неплохая. Но некоторые на связке “китайская APT” и “операция под ложным российским флагом”, конечно, инстинктивно напрягутся. Не переживайте, это просто спойлеры на недалёкое будущее подвезли. А будущее, как известно, безжалостно.
@tomhunter
На панельке картина масштабной кампании по отравлению поисковой выдачи: cайты-двойники выводят в топ и распространяют RAT. Судя по находкам, в арсенале группировки два десятка популярных софтин. Работают они по китайской аудитории, но есть интересный нюанс: в части файлов и компонентов названия кириллицей — то есть это такой ложный флаг на минималках. Не в каждой западной ИБ-фирме найдётся иммигрант из СНГ, чтобы показать ему китайско-русский гуглотранслейт, так что задумка неплохая. Но некоторые на связке “китайская APT” и “операция под ложным российским флагом”, конечно, инстинктивно напрягутся. Не переживайте, это просто спойлеры на недалёкое будущее подвезли. А будущее, как известно, безжалостно.
@tomhunter
😁9👍3🤡2