#news Гугл выпустил ноябрьское обновление Android. В него вошло 39 патчей, из которых один закрывает CVE-2021-1048: эксплуатируемую хакерами уязвимость. Не очень активно и местечково эксплуатируемую, к счастью.
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
#news Вымогатель BlackMatter якобы прекращает свою работу из-за давления со стороны властей и недавних операций правоохранительных органов. Однако, даже если BlackMatter прекратит работу, мы, скорее всего, увидим их возвращение в качестве другой группы в будущем. Когда банды вымогателей ощущают давление со стороны правоохранительных органов или нацелены на очень чувствительную организацию, они обычно прекращают свою деятельность и перезапускают ее под новым именем.
@tomhunter
@tomhunter
#OSINT #Email Сегодня я разберу тему идентификации личностей владельцев адресов электронной почты в рамках OSINT-исследований. Тема сейчас довольно актуальна. Начинаем...
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
#news Groove - это фейк! Появление новой группы вымогателей, которая призвала всех локеров объединиться для атаки на правительство США в Интернете, оказалось мистификацией. Где-то на прошлой неделе блог Groove в даркнете исчез. "Для тех, кто не понимает, что происходит: я создал поддельную банду Groove", - написал пользователь XSS с ником "Борисельцин".
@tomhunter
@tomhunter
#OSINT #Darknet Сегодня поговорю с вами об инструментах для изучения Даркнета. Список будет пополняться, поскольку тема весьма многообразна.
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
#news США наложили в штаны санкции на четыре компании за разработку шпионского ПО или продажу хакерских инструментов. Ими оказались: NSO Group и Candiru (Израиль), Positive Technologies (Россия) и Computer Security Initiative Consultancy PTE (Сингапур).
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
#news Министерство юстиции США предъявило обвинение взломщику Twitter, известному как PlugWalkJoe, в том, что он также украл криптовалюту на сумму 784 000 $ с помощью атак с заменой SIM-карты. Атаки с заменой SIM-карты - это когда злоумышленники берут под контроль телефонные номера целей, перенося их на SIM-карту своего собственного устройства. Эти атаки обычно совершаются путем социальной инженерии и выдвижения себя за цель, взлома систем операторов мобильной связи или подкупа сотрудников. Правительство США добивается экстрадиции О'Коннора, который в настоящее время находится под стражей в Испании.
@tomhunter
@tomhunter
#news В модуле TIPC линуксовского ядра обнаружили RCE-уязвимость CVE-2021-43267, которую можно использовать как локально, так и удалённо, чтобы получить права суперпользователя. Никаких данных о живом использовании в атаках, к счастью, нет.
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
#news #decoder Новая фишинговая кампания, выдавая себя за списки рассылки, заражает пользователей программой-вымогателем MirCop, которая шифрует целевую систему менее чем за пятнадцать минут. В теле письма содержится гиперссылка на URL-адрес Google Диска, при нажатии на который загружается файл MHT (архив веб-страницы) на машину жертвы. Google Диск служит для придания легитимности электронной почте и очень хорошо согласуется с обычной повседневной деловой практикой. Когда открывается файл MHT i, он загружает архив RAR, содержащий загрузчик вредоносных программ .NET, из «hXXps: // a [.] Pomf [.] Cat / gectpe.rar».
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
#OSINT #Fake Сегодня предлагаю небольшую тему создания виртуальных личностей (аватаров), которые можно использовать для регистрации в различных социальных сервисах.
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
#news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
#news Оборонный подрядчик из США Electronic Warfare Associates (EWA) раскрыл утечку данных после того, как злоумышленники 2 августа взломали их почтовую систему и украли файлы, содержащие личную информацию. Фирма заметила проникновение, когда хакер предпринял попытку мошенничества с использованием электронных средств, что, по всей видимости, является основной целью исполнителя.
@tomhunter
@tomhunter
#news ФБР зафиксировало рост числа мошенников, побуждающих жертв использовать физические банкоматы с криптовалютой и цифровые QR-коды для совершения платежных транзакций.
@tomhunter
@tomhunter
#OSINT #Sources Подборки источников для OSINT-исследований от различных специалистов.
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
#news В мире npm всё бушуют зловреды.
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter
#news Мы тут все недавно удивились, когда пчёлы воинственно выступили против мёда: Фейсбук пообещал, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов.
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
#news Пегасус долетел в Европу! Венгерское правительство сообщило, что Венгрия приобрела нашумевшую спайварь и периодически ею пользовалось.
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
#news За первые девять месяцев 2021 года было уже столько же сообщений о киберпреступности, сколько за весь 2020 год. Показатели киберпреступности снова сильно увеличились, в то время как киберпреступность уже сильно выросла в 2020 году из-за коронавирусных ограничений. Данная статистика Голландии, в достаточной мере, описывает общемировые тенденции.
@tomhunter
@tomhunter
#news В августе я вам рассказывал про уязвимости в Microsoft Exchange, названные ProxyShell. Потом их ещё начала использовать рансомварь LockFile, комбинируя с PetitPotam.
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
#OSINT #Board Начнем послеограничительную трудовую неделю с разговора о т.н. "детективных досках". Или "crime board" - если по-западному. Полезная вещь, поскольку помогает представить ход расследования в удобном графическом формате. В начале нашей подборки очень серьезные (и весьма дорогие) продукты, которые могут вполне поработать и за аналитика:
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
#news Продолжаем нашу регулярную рубрику о криптофейлах! На этот раз украли $55 миллионов у платформы bZx.
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter