#news В ЕС есть инициатива по регуляции спайвари, Pall Mall Process — за всё хорошее против всего плохого в мире коммерческого шпионского ПО. Недавно серый чиновничий процесс взбодрился — к делу подключилась NSO Group, и обсуждения пошли с огоньком.
Пошли с подачи борцов за приватность: NSO выпустила “отчёт о прозрачности” и с ноги ворвалась в дискуссию. Правозащитники резонно указывают, что никакой прозрачности у NSO нет: сидят в Израиле, судебные дела саботируют, доказательств отказа от сотрудничества с интересными режимами не предоставляют и активно их обслуживают. И вообще разраб лезет в процесс, чтобы отмыть репутацию и препятствовать регуляциям. NSO хлопает глазами, UK с Францией пожимают плечами и говорят, что их не звали и им не обязательно уважать эти ваши права человека для участия. В общем, обычный бюрократический цирк, но как зарисовочка на пути к прекрасному цифровому будущему забавно. Кто победит, многомиллиардная индустрия или здравый смысл? Ответ очевиден.
@tomhunter
Пошли с подачи борцов за приватность: NSO выпустила “отчёт о прозрачности” и с ноги ворвалась в дискуссию. Правозащитники резонно указывают, что никакой прозрачности у NSO нет: сидят в Израиле, судебные дела саботируют, доказательств отказа от сотрудничества с интересными режимами не предоставляют и активно их обслуживают. И вообще разраб лезет в процесс, чтобы отмыть репутацию и препятствовать регуляциям. NSO хлопает глазами, UK с Францией пожимают плечами и говорят, что их не звали и им не обязательно уважать эти ваши права человека для участия. В общем, обычный бюрократический цирк, но как зарисовочка на пути к прекрасному цифровому будущему забавно. Кто победит, многомиллиардная индустрия или здравый смысл? Ответ очевиден.
@tomhunter
❤5😁2👍1
#cve Открываем год большой подборкой самых интересных CVE месяца. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE.
Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых уязвимостях первого месяца 2026-го читайте на Хабре!
@tomhunter
Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых уязвимостях первого месяца 2026-го читайте на Хабре!
@tomhunter
👍3🔥2
#news Оригинальный кейс маркетинга на приватности: вендор обещает не хранить логи — но не трёхбуквенный, а сотовой связи. Речь про Cape, американского телеком-провайдера, торгующего приватностью для особо в ней нуждающихся.
Новая фича обещает удалять логи звонков каждые 24 часа, раньше хранили 60 дней — в сравнении со стандартом в индустрии с хранением годами звучит освежающе. Но не всё так радужно: партнёры Cape, на чьих сетях они сидят, могут часть логов перехватить сами. Говорят, что органы о новой фиче не предупреждали — узнают как и все остальные. Где такое видано? Также утверждают, что они не ханипот, честно-честно; при этом CEO у них родом из Palantir… В целом сомнительно, но окэй. Здесь как с любым аналогичным сервисом: вот когда к вам придут с ордером, а логов нет, тогда и поговорим. Пока эту проверку торговцы приватностью проваливают один за другим.
@tomhunter
Новая фича обещает удалять логи звонков каждые 24 часа, раньше хранили 60 дней — в сравнении со стандартом в индустрии с хранением годами звучит освежающе. Но не всё так радужно: партнёры Cape, на чьих сетях они сидят, могут часть логов перехватить сами. Говорят, что органы о новой фиче не предупреждали — узнают как и все остальные. Где такое видано? Также утверждают, что они не ханипот, честно-честно; при этом CEO у них родом из Palantir… В целом сомнительно, но окэй. Здесь как с любым аналогичным сервисом: вот когда к вам придут с ордером, а логов нет, тогда и поговорим. Пока эту проверку торговцы приватностью проваливают один за другим.
@tomhunter
😁6💯2👍1🤡1
#news Профильное издание провело опрос среди ибшников по угрозам в их адрес за раскрытия, исследования и прочую деятельность. Результаты говорящие: с угрозами сталкивались 75% опрошенных. Живём опасно!
Половина специалистов получала как минимум одно письмо счастья от юротделов. Но есть и хорошие новости: опросили и журналистов, и и хотя они видят юридические угрозы так же часто, на них давят ещё и криминалом. Так что минивэн без опознавательных знаков под окнами и надписи на двери “Скотина, отзови отчёт!” восходящей звезде пентеста не грозят — и на том спасибо. При этом большинство заявили, что не сломались под угрозами и не редактировали свои исследования — честь им и хвала. Но тема остаётся чувствительной, и специалистов, конечно, надо беречь. Например, не регистрируя их в реестр, чтобы разные нехорошие компании с дырявой инфрой не узнали, где находится заветная дверь.
@tomhunter
Половина специалистов получала как минимум одно письмо счастья от юротделов. Но есть и хорошие новости: опросили и журналистов, и и хотя они видят юридические угрозы так же часто, на них давят ещё и криминалом. Так что минивэн без опознавательных знаков под окнами и надписи на двери “Скотина, отзови отчёт!” восходящей звезде пентеста не грозят — и на том спасибо. При этом большинство заявили, что не сломались под угрозами и не редактировали свои исследования — честь им и хвала. Но тема остаётся чувствительной, и специалистов, конечно, надо беречь. Например, не регистрируя их в реестр, чтобы разные нехорошие компании с дырявой инфрой не узнали, где находится заветная дверь.
@tomhunter
💯5😁2❤1👍1🔥1
#news Новость из серии “Награда нашла героя”. Владельца наркомаркета Incognito, тайванца Руй-Сян Линя, посадили. И посадили надолго: сразу на 30 лет. Мальчику 24 года, и новый Ульбрихт из него вряд ли получится.
Incognito в моменте был одним из крупнейших маркетов: по документам, через него прошло больше тонны веществ от более 1,800 торговцев и к 400 тысячам клиентов. ~$105 миллионов транзакций и скромные $4,1 миллиона оператору. Линь запомнился тем, что пытался выйти из бизнеса с огоньком: экзит-скамом и шантажом поставщиков и юзеров на площадке. Большой любви ему это не принесло, вплоть до угроз от картеля, и через сколько прилетит пламенный привет под ребро от благодарных клиентов — вопрос хороший. Здесь можно посмотреть разбор того, как Линь попался органам. Как можно догадаться по хитрой схемке “Плати или сдам тебя ФБР”, с мозгами у него было туговато и в плане опсека.
@tomhunter
Incognito в моменте был одним из крупнейших маркетов: по документам, через него прошло больше тонны веществ от более 1,800 торговцев и к 400 тысячам клиентов. ~$105 миллионов транзакций и скромные $4,1 миллиона оператору. Линь запомнился тем, что пытался выйти из бизнеса с огоньком: экзит-скамом и шантажом поставщиков и юзеров на площадке. Большой любви ему это не принесло, вплоть до угроз от картеля, и через сколько прилетит пламенный привет под ребро от благодарных клиентов — вопрос хороший. Здесь можно посмотреть разбор того, как Линь попался органам. Как можно догадаться по хитрой схемке “Плати или сдам тебя ФБР”, с мозгами у него было туговато и в плане опсека.
@tomhunter
😁4🎉1
#news Не устали от критических уязвимостей в n8n? Потому что их есть ещё. CVE-2026-25049, 9.4 по CVSS, обход исправленной в конце декабря CVE-2025-68613. Закрыта в патче от 12 января — кто обновился, тот и молодец.
Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти. Благодарны ли разрабы за вал репортов за последние месяцы или просто рады, что жаркий январь закончился — история умалчивает. А юзерам n8n всё так и шлёт криптичные послания. Что они могут значить? Юзер, если ты читаешь это, у нас уже десятая CVE за январь. Мы пробуем новый метод. Мы не знаем, где это сообщение тебя настигнет, но надеемся, что это сработает. Пожалуйста, накати патчи.
@tomhunter
Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти. Благодарны ли разрабы за вал репортов за последние месяцы или просто рады, что жаркий январь закончился — история умалчивает. А юзерам n8n всё так и шлёт криптичные послания. Что они могут значить? Юзер, если ты читаешь это, у нас уже десятая CVE за январь. Мы пробуем новый метод. Мы не знаем, где это сообщение тебя настигнет, но надеемся, что это сработает. Пожалуйста, накати патчи.
@tomhunter
😁4🔥3👍1
#news Из Италии приходят тревожные вести об атаке русских хакеров в честь Зимней Олимпиады. Враг хитёр, но инфраструктура крепка, разрушительные кибератаки не пройдут и были отражены! Заглядываем внутрь. Это Дудосия.
Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев. Прилёгшие на полчаса сайтики с билетами на игры и бронью отелей на национальную трагедию всё же не тянут, как ни крути. Но громких заголовков о страшной русской киберугрозе хочется, так что 3,5 хактивиста с дудос-шарманкой на дисконтном пека волшебным образом превращаются чуть ли не в целую подведомственную APT.
@tomhunter
Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев. Прилёгшие на полчаса сайтики с билетами на игры и бронью отелей на национальную трагедию всё же не тянут, как ни крути. Но громких заголовков о страшной русской киберугрозе хочется, так что 3,5 хактивиста с дудос-шарманкой на дисконтном пека волшебным образом превращаются чуть ли не в целую подведомственную APT.
@tomhunter
😁13👍1🤬1
#news Пиара яблочной техники пост. ФБР не сумело вскрыть iPhone 13, который был в режиме Lockdown. Телефон изъяли в рамках обыска, но, по документам суда, доступ к нему получить не удалось.
Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает. Но основной вывод — Lockdown работает: поверхность атаки порезана IRL, а не только на маркетинговых слайдах. Впрочем, журналистке это несильно помогло: на требование разблокировать Макбук она заявила, что биометрией не пользуется, но ей предложили попробовать — а в ордере прописано такое требование. Сработало. В этот раз опсек провалился, впредь будьте осторожней.
@tomhunter
Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает. Но основной вывод — Lockdown работает: поверхность атаки порезана IRL, а не только на маркетинговых слайдах. Впрочем, журналистке это несильно помогло: на требование разблокировать Макбук она заявила, что биометрией не пользуется, но ей предложили попробовать — а в ордере прописано такое требование. Сработало. В этот раз опсек провалился, впредь будьте осторожней.
@tomhunter
😁9👍6
#digest Подводим итоги первого месяца года дайджестом новостей. Январь открыла череда уязвимостей в платформе для автоматизации рабочих процессов n8n, раскрытие которых всё продолжается. А у NotePad++ раскрыли компрометацию инфраструктуры для обновлений госхакерами; её же скомпрометировали у eScan.
Интеграция LLM’ок в 2026-м сдаёт позиции у пользователей: в СМИ пиарят скрипты для удаления ИИ-фич из Win11, а Microsoft отказывается от их повального внедрения. В Китае радикально решают проблему скам-центров, казнив 11 человек из криминального клана Мьянмы, взломщик Bitfinex вышел дословно и метит в ИБ, а ClickFix по-прежнему с нами с новыми вариациями. Об этом и других интересных новостях января читайте на Хабре!
@tomhunter
Интеграция LLM’ок в 2026-м сдаёт позиции у пользователей: в СМИ пиарят скрипты для удаления ИИ-фич из Win11, а Microsoft отказывается от их повального внедрения. В Китае радикально решают проблему скам-центров, казнив 11 человек из криминального клана Мьянмы, взломщик Bitfinex вышел дословно и метит в ИБ, а ClickFix по-прежнему с нами с новыми вариациями. Об этом и других интересных новостях января читайте на Хабре!
@tomhunter
👍3❤1
#news Пятнично фиксируем теорию мёртвого интернета на практике. На конец 2025-го на 31 мясного посетителя сайта приходился один бот. Для сравнения, на начало года был один на 200 человек. И это консервативные оценки.
Консервативны они в силу того, что трафик сложно различить — в реальности дела обстоят ещё хуже. При этом дело даже не в скраперах: доля трафика от ИИ-саранчи снизилась на 15%. А вырос от ИИ-поиска: юзеры всё чаще используют чат-боты в качестве поисковика — здесь трафик подскочил на 33%. Сказывается, что 37% юзеров ИИ-моделей заменили ими Гугл. А вот человеческий трафик стабильно проседает: ещё на 5% в 2025-м. Так что человек в сетевом пространстве перестаёт звучать гордо: LLM’ки меняют под себя всё. Помните, был такой Stack Overflow? Разве робот может написать симфонию аутизма, создать такой шедевр? Пока-то у них только зловещая долина напополам с ролеплеем из MoltBook.
@tomhunter
Консервативны они в силу того, что трафик сложно различить — в реальности дела обстоят ещё хуже. При этом дело даже не в скраперах: доля трафика от ИИ-саранчи снизилась на 15%. А вырос от ИИ-поиска: юзеры всё чаще используют чат-боты в качестве поисковика — здесь трафик подскочил на 33%. Сказывается, что 37% юзеров ИИ-моделей заменили ими Гугл. А вот человеческий трафик стабильно проседает: ещё на 5% в 2025-м. Так что человек в сетевом пространстве перестаёт звучать гордо: LLM’ки меняют под себя всё. Помните, был такой Stack Overflow? Разве робот может написать симфонию аутизма, создать такой шедевр? Пока-то у них только зловещая долина напополам с ролеплеем из MoltBook.
@tomhunter
😁5😢2🤬1💯1
#news Начинаем неделю с инструментов от нишевых атак, а именно для ловли гомоглифных атак в шеллах. Опенсорсный, бесплатный, мультиплатформенный, твой. Самое то поковыряться в промозглый понедельник.
Tirith поддерживает PowerShell, fish, bash и zsh. Инструмент закидывает хуки в шеллы и ловит полдюжины вариаций атак — юникод, кириллица, невидимые символы и прочее. А вот cmd не поддерживает — хуков-то нет. Так что беззащитный перед ClickFix-атаками юзер остаётся наедине со своей проницательностью, земля ему пухом. Заявлено, что анализ локальный, стука в сеть нет, в фоновом режиме не работает, ключей не просит. Любопытствующие уже нашлись: 1,6 звёзд и полсотни форков, так что и тем, кто имеет пристрастие к гомоглифам, есть чем заняться: в Tirith есть анализ команд без запуска – можно оценить, на что он триггерится. Так что тестируйте свои любимые нагрузочки, не ленитесь.
@tomhunter
Tirith поддерживает PowerShell, fish, bash и zsh. Инструмент закидывает хуки в шеллы и ловит полдюжины вариаций атак — юникод, кириллица, невидимые символы и прочее. А вот cmd не поддерживает — хуков-то нет. Так что беззащитный перед ClickFix-атаками юзер остаётся наедине со своей проницательностью, земля ему пухом. Заявлено, что анализ локальный, стука в сеть нет, в фоновом режиме не работает, ключей не просит. Любопытствующие уже нашлись: 1,6 звёзд и полсотни форков, так что и тем, кто имеет пристрастие к гомоглифам, есть чем заняться: в Tirith есть анализ команд без запуска – можно оценить, на что он триггерится. Так что тестируйте свои любимые нагрузочки, не ленитесь.
@tomhunter
👍3🔥1
#news Германия предупредила о фишинговых атаках по дипломатам и журналистам в Европе. Апэтэшечка пытается перехватить доступ к Signal с помощью выманивания кодов и скана QR для привязки аккаунта к другому устройству. Давайте заглянем внутрь.
Метод с QR интересный, если не считать того, что в трёх строчках есть грубая грамматическая ошибка, и инструкция неполная — техписы негодуют. С кодами похуже: текст пестрит такими ошибками, что даже средний европеец со слабеньким английским заподозрит неладное, а здесь речь как бы про высокопрофильные цели, которые с “B1, читаю со словарём” на работу не ходят. Плюс технически неграмотно — какие в Signal чат-боты с диар юзером? Да и уловка-22 с капслоком тоже совсем любительская. Лениво, господа, лениво. Если расчёт на “Из тысячи получателей найдётся один невнимательный идиот”, то ещё прокатит. А так, 3 из 10, в следующий раз делайте лучше. Гуглотранслейт хотя бы можно привлечь…
@tomhunter
Метод с QR интересный, если не считать того, что в трёх строчках есть грубая грамматическая ошибка, и инструкция неполная — техписы негодуют. С кодами похуже: текст пестрит такими ошибками, что даже средний европеец со слабеньким английским заподозрит неладное, а здесь речь как бы про высокопрофильные цели, которые с “B1, читаю со словарём” на работу не ходят. Плюс технически неграмотно — какие в Signal чат-боты с диар юзером? Да и уловка-22 с капслоком тоже совсем любительская. Лениво, господа, лениво. Если расчёт на “Из тысячи получателей найдётся один невнимательный идиот”, то ещё прокатит. А так, 3 из 10, в следующий раз делайте лучше. Гуглотранслейт хотя бы можно привлечь…
@tomhunter
😁4
#news У Кребса разгромный длиннопост по SLH с заголовком “Не кормите Scattered Lapsus ShinyHunters” — как голубей, только SLH. Малолетние дарования совсем не впечатлили прожжённого безопасника, привыкшего к оппонентам посерьёзнее.
Он ссылается на Unit221B, и выводы однозначные: юные боги хакинга представлений о репутации не имеют, никаких обещаний не выполняют, и рассчитывать на переговоры не стоит. Так что лучше сразу идти в отказ — не играй в глупые игры, не выигрывай глупые призы. Кребс тоже не стесняется в выражениях: пост профессиональный, но так и сочится презрением. Довели его до того, что делает реверансы в адрес русскоязычных рансомварщиков, формулировку оцените: “Традиционные, высокоорганизованные русские хакеры”. Старая закалка, достойные противники, легендарные битвы — вот это всё. А детишек этих Кребс даже пробивать побрезгует — там и джун-осинтер справится.
@tomhunter
Он ссылается на Unit221B, и выводы однозначные: юные боги хакинга представлений о репутации не имеют, никаких обещаний не выполняют, и рассчитывать на переговоры не стоит. Так что лучше сразу идти в отказ — не играй в глупые игры, не выигрывай глупые призы. Кребс тоже не стесняется в выражениях: пост профессиональный, но так и сочится презрением. Довели его до того, что делает реверансы в адрес русскоязычных рансомварщиков, формулировку оцените: “Традиционные, высокоорганизованные русские хакеры”. Старая закалка, достойные противники, легендарные битвы — вот это всё. А детишек этих Кребс даже пробивать побрезгует — там и джун-осинтер справится.
@tomhunter
😁14
#news На фоне попыток LLM-гигантов выкатить услуги по медицинскому диагностированию от ИИ, своевременное исследование по их эффективности. И с ней совсем не очень: как только юзер подключается к самодиагностированию, карточный домик кремниевого гения начинает сыпаться.
Цифры говорят за себя: пока по клиническому сценарию работал исследователь (он же опытный врач), точность LLM’ки в определении диагноза достигала 94,9%. А вот стоило подпустить к ней юзера, и цифра просела до 34,5%. Сюрприз-сюрприз: пользователь не разбирается в медицине, LLM-попугай в сущности тоже ничего о ней не знает, и когда у этих двоих мозговой штурм, результат соответствует. Выводы в целом бьются с эмпирическими данными: когда с LLM’кой взаимодействует профессионал, понимающий, что он делает — польза в работе заметная. А если это делает кто-то некомпетентный — получается вайбкодинг. И соответственно, диагнозы по Гуглу. Кто-нибудь удивлён?
@tomhunter
Цифры говорят за себя: пока по клиническому сценарию работал исследователь (он же опытный врач), точность LLM’ки в определении диагноза достигала 94,9%. А вот стоило подпустить к ней юзера, и цифра просела до 34,5%. Сюрприз-сюрприз: пользователь не разбирается в медицине, LLM-попугай в сущности тоже ничего о ней не знает, и когда у этих двоих мозговой штурм, результат соответствует. Выводы в целом бьются с эмпирическими данными: когда с LLM’кой взаимодействует профессионал, понимающий, что он делает — польза в работе заметная. А если это делает кто-то некомпетентный — получается вайбкодинг. И соответственно, диагнозы по Гуглу. Кто-нибудь удивлён?
@tomhunter
😁13👍8🤡2❤1🤝1
#news В сетевых дебрях новый RAT под Android и iOS. Кросплатформенный, в активной разработке, распространяют через Telegram, функциональность широкая — всё при нём. Операция активна с начала февраля.
По функциям всё в наличии: инфостилер есть, слушает микрофон и делает фото, перехватывает нажатия, в наличии клиппер и произвольные команды с C2. Заявлена поддержка под Android 5-16 и iOS до 26-й, доставка стандартная — через apk. Всё это, как водится, MaaS и сейчас активно распространяется по TG и форумчикам. Дальше исследователей несёт в маркетинг: “Невиданная спайварь уровня крутых эксплойтов и разработок от апэтэшечек в одном клике в TG, спешите защититься”. Здесь, конечно, сильно лукавят: и RAT’ов таких с запасом, и схемка по распространению стандартная — но продавать свой продукт-то им тоже надо. В сухом остатке ещё один мобильный RAT приличного качества, подробности в отчёте.
@tomhunter
По функциям всё в наличии: инфостилер есть, слушает микрофон и делает фото, перехватывает нажатия, в наличии клиппер и произвольные команды с C2. Заявлена поддержка под Android 5-16 и iOS до 26-й, доставка стандартная — через apk. Всё это, как водится, MaaS и сейчас активно распространяется по TG и форумчикам. Дальше исследователей несёт в маркетинг: “Невиданная спайварь уровня крутых эксплойтов и разработок от апэтэшечек в одном клике в TG, спешите защититься”. Здесь, конечно, сильно лукавят: и RAT’ов таких с запасом, и схемка по распространению стандартная — но продавать свой продукт-то им тоже надо. В сухом остатке ещё один мобильный RAT приличного качества, подробности в отчёте.
@tomhunter
😁4👍2🔥1
#news У WormGPT возможная утечка пользовательских данных: в открытом доступе база юзеров на 19,000 обращавшихся к запретному кремниевому другу. Предварительно, база реальная.
В базе имейлы, данные по подписке, методе оплаты, юзерские ID и прочее. Ключевое в утечке — почты: желающих добавить их в датасеты под осинт и деанон посетителей хакерских форумчиков хватает. А там мечтающие навайбкодить криптодрейнер и обогатититься мигом перекрёстно найдутся по слитым базам BreachForums с теми же имейлами и всем сопутствующим — опсек у этих соответствует. Пост от юзера с приличной репой и историей постинга, так что с ходу от слива не отмахнёшься — можно проверять. В общем, ищите себя и друзей по нишевым серверам в Дискордике в пользователях WormGPT. Бонусные очки тем, кто не использовал левую почту и оплачивал подписку чем-то отслеживаемым — необучаемых не жалко.
@tomhunter
В базе имейлы, данные по подписке, методе оплаты, юзерские ID и прочее. Ключевое в утечке — почты: желающих добавить их в датасеты под осинт и деанон посетителей хакерских форумчиков хватает. А там мечтающие навайбкодить криптодрейнер и обогатититься мигом перекрёстно найдутся по слитым базам BreachForums с теми же имейлами и всем сопутствующим — опсек у этих соответствует. Пост от юзера с приличной репой и историей постинга, так что с ходу от слива не отмахнёшься — можно проверять. В общем, ищите себя и друзей по нишевым серверам в Дискордике в пользователях WormGPT. Бонусные очки тем, кто не использовал левую почту и оплачивал подписку чем-то отслеживаемым — необучаемых не жалко.
@tomhunter
😁11
#news У Microsoft Outlook первый известный кейс вредоносного аддона. Злоумышленник перехватил заброшенный URL ранее легитимного расширения и повесил на него фишинговый кит. 4 тысячи стянутых кредов в наличии, полный охват неясен.
Кейс интересный, и не столько методом доставки, сколько отсутствием хоть каких-то внятных механизмов защиты у Outlook. Был легитимный аддон, разраб его забросил, и домен истёк — злоумышленник выкупил его и закинул кит для стягивания кредов от Microsoft 365. И юзерам, у которых стоял аддон, моментально полетели фишинговые окна для логина прямиком в iframe перехваченного расширения. Всё это один раз одобрено и висит на легитимной инфре MS, никаких доппроверок нет. Бонусом в манифесте было ReadWriteItem на почту юзеров со всем из этого вытекающим. Внимание, вопрос: сейчас отчёт разлетится, сколько будет желающих повторить фокус?
@tomhunter
Кейс интересный, и не столько методом доставки, сколько отсутствием хоть каких-то внятных механизмов защиты у Outlook. Был легитимный аддон, разраб его забросил, и домен истёк — злоумышленник выкупил его и закинул кит для стягивания кредов от Microsoft 365. И юзерам, у которых стоял аддон, моментально полетели фишинговые окна для логина прямиком в iframe перехваченного расширения. Всё это один раз одобрено и висит на легитимной инфре MS, никаких доппроверок нет. Бонусом в манифесте было ReadWriteItem на почту юзеров со всем из этого вытекающим. Внимание, вопрос: сейчас отчёт разлетится, сколько будет желающих повторить фокус?
@tomhunter
🔥5❤2👍2
#news Исследователи прошлись по расширениям для Chrome и флагнули те, что пересылают историю посещений на сторонние серверы. Результаты говорящие: 287 расширений на 37+ миллионов установок. Около 1% от пользовательской базы.
Для этого они собрали пайплайн для сканирования, засунув Chrome в Docker-контейнер с проксёй, слушающей исходящий трафик. Большая часть расширений с безобидной функциональностью, но с запросами на доступ к истории браузера. А среди получателей больше 30 компаний, включая крупнейших брокеров данных вроде Similarweb и китайцев с Alibaba. К слову, в списке в духе времени с десяток инструментов формата “GPT то, GPT это”, но есть расширения на любой вкус. По итогам исследователи делают стандартный вывод: надо защищать пользователей от риска таких утечек. Смело с их стороны полагать, что Гуглу есть дело до юзера и его приватности. Ещё малвертайзинг обрубить их попросите.
@tomhunter
Для этого они собрали пайплайн для сканирования, засунув Chrome в Docker-контейнер с проксёй, слушающей исходящий трафик. Большая часть расширений с безобидной функциональностью, но с запросами на доступ к истории браузера. А среди получателей больше 30 компаний, включая крупнейших брокеров данных вроде Similarweb и китайцев с Alibaba. К слову, в списке в духе времени с десяток инструментов формата “GPT то, GPT это”, но есть расширения на любой вкус. По итогам исследователи делают стандартный вывод: надо защищать пользователей от риска таких утечек. Смело с их стороны полагать, что Гуглу есть дело до юзера и его приватности. Ещё малвертайзинг обрубить их попросите.
@tomhunter
😁8❤1👍1🤬1
#news В свежий патчевый вторник Microsoft закрыла уязвимость в Notepad, которую у них обозначили как RCE, и в таком виде её разгоняют некоторые издания. На деле всё попроще, но в целом в этом кейсе всё, что не так с нынешней Microsoft.
В Notepad надобавляли разных фич, среди которых помимо Slopilot затесалась поддержка Markdown. И выяснилось, что можно подставить file:// вместо https:// — Notepad оформит это в качестве гиперссылки и по клику запустит файл без какого-либо предупреждения. Поп-ап с ним просто забыли, так что вектор атаки был в наличии чуть меньше года. Но теперь он в наличии, юзеры Windows торжествуют. Или нет — социнженерия-то всё так же может сработать. Главный вопрос: зачем в простеньком редакторе все эти фичи и почему бы просто не порезать нестандартные ссылки? Добавляешь блоута ради повышения метрик → Раздуваешь поверхность атаки → ????? → Profit. Понимать надо.
@tomhunter
В Notepad надобавляли разных фич, среди которых помимо Slopilot затесалась поддержка Markdown. И выяснилось, что можно подставить file:// вместо https:// — Notepad оформит это в качестве гиперссылки и по клику запустит файл без какого-либо предупреждения. Поп-ап с ним просто забыли, так что вектор атаки был в наличии чуть меньше года. Но теперь он в наличии, юзеры Windows торжествуют. Или нет — социнженерия-то всё так же может сработать. Главный вопрос: зачем в простеньком редакторе все эти фичи и почему бы просто не порезать нестандартные ссылки? Добавляешь блоута ради повышения метрик → Раздуваешь поверхность атаки → ????? → Profit. Понимать надо.
@tomhunter
💯5😁4👍3🔥1🤡1
#news Пятничные новости из серии “Опсек и я”. По сети разлетелось селфи, залитое на LinkedIn предполагаемой сотрудницей/консультанткой Paragon. C панелью от их спайвари Graphite на фоне — что после этого началось в инфобез-твиттере, представить нетрудно.
На фото две девочки со скрытыми лицами, но открытой панелью, на которой виден чешский номер, список приложений, лог сообщений и окно с перепиской. Экран размытый, контекста и подтверждений нет, комментариев от серьёзных исследовательских команд тоже. Может, это активная панель, скорее, демо — гадание по скрину проводить смысла нет. Но спекуляций и комментариев от сказочных экспертов в сети, конечно, навалом: “Все мессенджеры взломаны, удаляйте Signal”, “Это хитрый псиоп”, “Нет, это реклама” и далее по списку. В сухом остатке есть напоминание о том, что девочек не из профильных команд дальше конференц-зала пускать не надо. А в идеале и рабочие телефоны без камер им выдать — целее будете.
@tomhunter
На фото две девочки со скрытыми лицами, но открытой панелью, на которой виден чешский номер, список приложений, лог сообщений и окно с перепиской. Экран размытый, контекста и подтверждений нет, комментариев от серьёзных исследовательских команд тоже. Может, это активная панель, скорее, демо — гадание по скрину проводить смысла нет. Но спекуляций и комментариев от сказочных экспертов в сети, конечно, навалом: “Все мессенджеры взломаны, удаляйте Signal”, “Это хитрый псиоп”, “Нет, это реклама” и далее по списку. В сухом остатке есть напоминание о том, что девочек не из профильных команд дальше конференц-зала пускать не надо. А в идеале и рабочие телефоны без камер им выдать — целее будете.
@tomhunter
😁16💯5🤡4❤2
#news И ещё пятничных новостей, от рансомварь-сцены. Злоумышленники из Sinobi заявили о взломе Halcyon[.]ai — компании с продуктом против рансомварь-атак. Но есть нюанс: в Sinobi всё перепутали и взломали какой-то индийский Halcyontek.
Взлом компании с ИБ-решением — лакомый кусочек, так что в Sinobi немедленно потребовали солидный выкуп. Информация о взломе разнеслась по сети, в Halcyon с удивлением заглянули в сэмпл, но увидели в нём консалтинговую и айтишную фирму из Индии. Названия похожие — легко спутать, так что ошибочка вышла. Но шансов получить десяток миллионов долларов от штатовской фирмы было бы, конечно, больше, чем от индийского айтишного гения. По итогам Halcyon выпустила вежливое опровержение, а что происходило в чатике Sinobi, история умалчивает. Не расстраивайтесь, бедолаги, такое бывает не только у вас. Вот аналогичный случай у Cl0p, например.
@tomhunter
Взлом компании с ИБ-решением — лакомый кусочек, так что в Sinobi немедленно потребовали солидный выкуп. Информация о взломе разнеслась по сети, в Halcyon с удивлением заглянули в сэмпл, но увидели в нём консалтинговую и айтишную фирму из Индии. Названия похожие — легко спутать, так что ошибочка вышла. Но шансов получить десяток миллионов долларов от штатовской фирмы было бы, конечно, больше, чем от индийского айтишного гения. По итогам Halcyon выпустила вежливое опровержение, а что происходило в чатике Sinobi, история умалчивает. Не расстраивайтесь, бедолаги, такое бывает не только у вас. Вот аналогичный случай у Cl0p, например.
@tomhunter
😁10❤1🔥1