#news KMSPico - популярный неофициальный активатор продуктов Microsoft Windows и Office, распространенный и в России, используется для кражи криптокошельков с Windows-ПК. Вредоносный установщик KMSPico имеет самораспаковывающийся исполняемый файл, такой как 7-Zip, и содержит как фактический эмулятор сервера KMS, так и Cryptbot. Поскольку работа Cryptbot не зависит от наличия незашифрованных двоичных файлов на диске, обнаружение его возможно только путем отслеживания выполнения команд PowerShell или внешнее сетевое взаимодействие.
@tomhunter
@tomhunter
#news Новая фишинговая кампания нацелилась на подтвержденные учетки в Twitter (это те, у кого есть синий значок с галочкой). Эти аккаунты обычно представляют известных влиятельных лиц, известных знаменитостей, политиков, журналистов, активистов, а также правительственные и частные организации. Фишинг побуждает пользователя Twitter «обновить» свои данные, чтобы не потерять подтвержденный статус. При этом, фишинг успешно проходит спам-фильтры Gmail.
@tomhunter
@tomhunter
#news И снова про фишинг. Продолжается серия атак с использованием поддельных уведомлений Office 365. Что делает эти фишинговые письма особенно убедительными, так это использование домена [at] messaging.microsoft.com для их отправки потенциальным целям и отображаемое имя, соответствующее доменам получателей. Кроме того, злоумышленники встроили официальный логотип Office 365 и включили ссылки на заявление о конфиденциальности и политику допустимого использования Microsoft в конце электронного письма.
@tomhunter
@tomhunter
#news Киберпреступники усиливают распространение файлов Excel XLL, которые загружают на компьютеры жертв троян RedLine. Вредонос предназначен для кражи файлов cookie, имен пользователей и их паролей, кредитных карт, а также иной информации.
@tomhunter
@tomhunter
#news Cisco Talos рассказали о malvertising-кампаниях (malware + advertising), проведённых в 2018-2020 годах неким magnat.
Схема такая. Пользователь хочет установить какое-нибудь популярное приложение или игру: Viber, WeChat, NoxPlayer, Battlefield и так далее. Прогуглив желаемое, он переходит по ссылке из выдачи или рекламы на зловредный сайт. Под видом установщика на устройство засаживают:
⋅ вора паролей RedLine Stealer;
⋅ бэкдор на AutoIt, устанавливающий постоянное соединение с удалённым сервером хакера;
⋅ зловредное Chrome-расширение MagnatExtension, которое может воровать данные из форм, вытягивать куки и выполнять произвольный JS-код.
@tomhunter
Схема такая. Пользователь хочет установить какое-нибудь популярное приложение или игру: Viber, WeChat, NoxPlayer, Battlefield и так далее. Прогуглив желаемое, он переходит по ссылке из выдачи или рекламы на зловредный сайт. Под видом установщика на устройство засаживают:
⋅ вора паролей RedLine Stealer;
⋅ бэкдор на AutoIt, устанавливающий постоянное соединение с удалённым сервером хакера;
⋅ зловредное Chrome-расширение MagnatExtension, которое может воровать данные из форм, вытягивать куки и выполнять произвольный JS-код.
@tomhunter
#news И вот опять. У криптоплатформы BitMart украли крипты на чуть менее $200 миллионов: ETH, BSC, а также самые разные токены на Ethereum и Binance Smart Chain.
С причинами и ходом атаки пока разбираются, но всё выглядит довольно банально — хакеры каким-то образом украли ключи от пары кошельков платформы, всё вывели и отмыли. Пока что платформа временно заблокировала возможность вывода средств с неё.
Очередная иллюстрация того, почему нельзя считать своими деньги, лежащие в горячих (то есть, имеющих доступ в интернет) кастодиальных (то есть, «безопасно» хранящих ваши ключи вместо вас) кошельках. Сегодня-то они ваши, а вот завтра платформа внезапно накосячит.
@tomhunter
С причинами и ходом атаки пока разбираются, но всё выглядит довольно банально — хакеры каким-то образом украли ключи от пары кошельков платформы, всё вывели и отмыли. Пока что платформа временно заблокировала возможность вывода средств с неё.
Очередная иллюстрация того, почему нельзя считать своими деньги, лежащие в горячих (то есть, имеющих доступ в интернет) кастодиальных (то есть, «безопасно» хранящих ваши ключи вместо вас) кошельках. Сегодня-то они ваши, а вот завтра платформа внезапно накосячит.
@tomhunter
#news У Gravatar утечка: в руках хакеров оказались данные около 114 миллионов пользователей. Слиты юзернеймы, имена и MD5-хэши почтовых адресов.
Граватар — это такой сервис-аддон для WordPress, показывающий аватарки. Один исследователь ещё год с хвостиком назад рассказывал, что скрейпить данные с Граватара проще простого, но… кто ж станет исследователей слушать?
Об этой утечке мы пока знаем по рассылке от Have I been pwned?. Аккаунт вашего покорного слуги, кстати, тоже попался.
@tomhunter
Граватар — это такой сервис-аддон для WordPress, показывающий аватарки. Один исследователь ещё год с хвостиком назад рассказывал, что скрейпить данные с Граватара проще простого, но… кто ж станет исследователей слушать?
Об этой утечке мы пока знаем по рассылке от Have I been pwned?. Аккаунт вашего покорного слуги, кстати, тоже попался.
@tomhunter
T.Hunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад. @tomhunter
#news С как минимум 2017 года некто загадочный KAX17 держал сотни зловредных Tor-ретрансляторов. Предполагается, что их цель — отслеживать и деанонимизировать пользователей Тора.
Сотни таких ретрансляторов Tor Project свернул в октябре и ноябре этого года. Какие-то, по всей видимости, действуют и сейчас.
На пике зловредов было 900. Для сравнения, в среднем в сети ежедневно активно от 9 до 10 тысяч серверов.
Исследователь говорит, что в определённый момент каждый пользователь Тора имел 16% вероятность подключиться к зловреду на входе, 35% шанс пройти через один из таких «защитных» (middle) ретрансляторов и 5% шанс поймать что-то на выходе.
@tomhunter
Сотни таких ретрансляторов Tor Project свернул в октябре и ноябре этого года. Какие-то, по всей видимости, действуют и сейчас.
На пике зловредов было 900. Для сравнения, в среднем в сети ежедневно активно от 9 до 10 тысяч серверов.
Исследователь говорит, что в определённый момент каждый пользователь Тора имел 16% вероятность подключиться к зловреду на входе, 35% шанс пройти через один из таких «защитных» (middle) ретрансляторов и 5% шанс поймать что-то на выходе.
@tomhunter
#news WhatsApp объявила сегодня, что расширила функции контроля конфиденциальности, добавив по умолчанию исчезающие сообщения для всех вновь инициированных чатов. Вы можете включить исчезновение сообщений по умолчанию для всех новых индивидуальных чатов на устройствах iOS и Android, перейдя в настройки WhatsApp, нажав «Учетная запись»> «Конфиденциальность»> «Таймер сообщений по умолчанию» и выбрав продолжительность.
А еще в октябре WhatsApp развернул сквозное зашифрованное резервное копирование чатов на iOS и Android, чтобы заблокировать доступ к чату для всех, независимо от того, где они хранятся.
Фейсбук? Конфиденциальность? Мыши против сыра... тем более, что включение исчезающих сообщений не защитит их от пересылки другим лицам, которым не доверяют, поскольку их все еще можно сохранить (сделать снимок экрана или скопировать) до того, как они будут удалены из чата.
@tomhunter
А еще в октябре WhatsApp развернул сквозное зашифрованное резервное копирование чатов на iOS и Android, чтобы заблокировать доступ к чату для всех, независимо от того, где они хранятся.
Фейсбук? Конфиденциальность? Мыши против сыра... тем более, что включение исчезающих сообщений не защитит их от пересылки другим лицам, которым не доверяют, поскольку их все еще можно сохранить (сделать снимок экрана или скопировать) до того, как они будут удалены из чата.
@tomhunter
#news Хакерская группа Nobelium продолжает взламывать правительственные и корпоративные сети по всему миру, используя для этого новый вредонос «Ceeloader». Известно, что Nobelium взламывают облачных провайдеров и MSP, чтобы получить первоначальный доступ к сетевой среде своих клиентов.
«Ceeloader» написан на C и поддерживающий выполнение полезных нагрузок шеллкода непосредственно в памяти. программа сильно запутана и смешивает вызовы Windows API с большими блоками нежелательного кода, чтобы избежать обнаружения программным обеспечением безопасности. Ceeloader обменивается данными через HTTP, а ответ C2 расшифровывается с помощью AES-256 в режиме CBC. Пользовательский загрузчик Ceeloader устанавливается и запускается Cobalt Strike по мере необходимости.
@tomhunter
«Ceeloader» написан на C и поддерживающий выполнение полезных нагрузок шеллкода непосредственно в памяти. программа сильно запутана и смешивает вызовы Windows API с большими блоками нежелательного кода, чтобы избежать обнаружения программным обеспечением безопасности. Ceeloader обменивается данными через HTTP, а ответ C2 расшифровывается с помощью AES-256 в режиме CBC. Пользовательский загрузчик Ceeloader устанавливается и запускается Cobalt Strike по мере необходимости.
@tomhunter
T.Hunter
#news В России началась блокировка Tor. Технология Tor позволяет обходить блокировку сайтов и пользоваться даркнетом — теневой частью интернета, недоступной в обычных браузерах. Tor блокируется в сетях большинства российских операторов связи и провайдеров…
#news Роскомнадзор заблокировал основной сайт Tor в России по решению Саратовского районного суда. Россия является второй страной по количеству пользователей Tor. Ежедневно им пользуются более 300 тысяч россиян, что составляет 15% от всей аудитории Tor.
Остался только один вопрос... при чем тут Саратов? А насчет блокировки... stunnel/goodbye dpi+мосты в самом торе - решают проблему 😊
@tomhunter
Остался только один вопрос... при чем тут Саратов? А насчет блокировки... stunnel/goodbye dpi+мосты в самом торе - решают проблему 😊
@tomhunter
#news Обновление от Телеграма. Администраторы каналов и чатов теперь смогут запрещать сохранять фото и видео из них, делать скриншоты сообщений и пересылать их куда-либо.
Ещё в личных чатах теперь можно удалять сообщения за конкретный период или настроить автоматическое удаление.
@tomhunter
Ещё в личных чатах теперь можно удалять сообщения за конкретный период или настроить автоматическое удаление.
@tomhunter
#news Ботнет Moobot, созданный на основе Mirai распространяется за счет использования критической уязвимости CVE-2021-36260 в продуктовой линейке Hikvision. Hikvision - это государственный китайский производитель камер и оборудования для наблюдения. Hikvision исправила ошибку еще в сентябре 2021 года, выпустив обновление прошивки (v210628), но не все пользователи поспешили применить обновление безопасности. Цель Moobot - включить взломанное устройство в ботнет для совершения DDoS-атак. Между тем, услуги DDoS, с использованием Moobot, уже предлагаются в Telegram.
@tomhunter
@tomhunter
#news К слову о ботнетах: тут Google подала в суд на двух граждан РФ, Дмитрия Старовикова и Александра Филиппова.
Компания называет их операторами ботнета Glupteba, который распространялся через бесплатный софт и заразил более миллиона устройств. С заражённых девайсов ботнет крадёт данные гугловских учёток, а также тайно майнит на них крипту.
Самая мякотка — это как они вычислили хакеров: по информации, найденной в их Gmail и Google Workspace. Такие вот грозные хакеры. Обсуждают серьёзные рабочие дела по персональным джимейлам и наверняка планируют награбленные финансы в Google Sheets-табличках. Загадочная история.
@tomhunter
Компания называет их операторами ботнета Glupteba, который распространялся через бесплатный софт и заразил более миллиона устройств. С заражённых девайсов ботнет крадёт данные гугловских учёток, а также тайно майнит на них крипту.
Самая мякотка — это как они вычислили хакеров: по информации, найденной в их Gmail и Google Workspace. Такие вот грозные хакеры. Обсуждают серьёзные рабочие дела по персональным джимейлам и наверняка планируют награбленные финансы в Google Sheets-табличках. Загадочная история.
@tomhunter
#news Есть такое популярное приложение Life360, помогающее отслеживать местоположение членов семьи — можно через него следить за безопасностью маленьких детей, например.
Из интервью с бывшими сотрудниками выяснилось, что приложение продаёт все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно. А речь, напомню, о геолокации детей.
@tomhunter
Из интервью с бывшими сотрудниками выяснилось, что приложение продаёт все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно. А речь, напомню, о геолокации детей.
@tomhunter
#news Свайперы кредитных карт внедряют вредонос в случайные плагины сайтов на WordPress, скрываясь от обнаружения во время кражи платежных данных клиентов.
Как защититься...?
1⃣ область wp-admin должна быть ограничена только определенными IP-адресами.
2⃣ на веб-сайте должен быть реализован мониторинг целостности файлов с помощью активных серверных сканеров.
@tomhunter
Как защититься...?
1⃣ область wp-admin должна быть ограничена только определенными IP-адресами.
2⃣ на веб-сайте должен быть реализован мониторинг целостности файлов с помощью активных серверных сканеров.
@tomhunter
#news Возвращаемся к нашей "любимой" компании... Facebook и Snapchat обнаружили лазейку в правилах Apple, которая позволяет следить за пользователями iOS, даже если они запретили приложению это делать. Кроме того, Apple все ещё разрешает собирать уникальные данные, такие как IP-адрес, местоположение, язык, модель устройства и размер экрана.
@tomhunter
@tomhunter
T.Hunter
#news В России (вот неожиданность) оказались взломаны тысячи частных камер видеонаблюдения, многие из которых располагались (вот тут интересно) в гостиничных номерах, массажных кабинетах, салонах, где делают интимные стрижки и депиляцию, и других приватных…
#news История с утечками данных из систем видеонаблюдения имела пикантное продолжение. Злоумышленник распространял в интернете кадры с камер видеонаблюдения, установленных в хирургическом отделении медицинского центра в городе Артем. Сейчас СК ведет расследование, однако уже известно, что видео было похищено хакером, который проживает за пределами России.
🧐 Как они так шикарно научились геолокации находить...?
@tomhunter
🧐 Как они так шикарно научились геолокации находить...?
@tomhunter
#news Не опять, а снова: пачка зловредных npm-пакетов ворует у пользователей Discord персональные токены, с помощью которых можно перехватить аккаунт.
Всего исследователи обнаружили 17 таких пакетов. Набор богатый: от инфостилеров до бэкдоров удалённого доступа.
Почему именно Дискорд? Статью о его привлекательности в качестве хостинга для малвари мы уже публиковали. А здесь исследователи предполагают две цели:
⋅ Кража легитимных аккаунтов и серверов, через которые потом можно распространять малварь через социнженерию и прочие методы.
⋅ Продажа украденных аккаунтов с премиум-подпиской Discord Nitro. Она стоит $100 в год, поэтому мошенники могут массово и дешево сбывать такие аккаунты на специальных площадках.
@tomhunter
Всего исследователи обнаружили 17 таких пакетов. Набор богатый: от инфостилеров до бэкдоров удалённого доступа.
Почему именно Дискорд? Статью о его привлекательности в качестве хостинга для малвари мы уже публиковали. А здесь исследователи предполагают две цели:
⋅ Кража легитимных аккаунтов и серверов, через которые потом можно распространять малварь через социнженерию и прочие методы.
⋅ Продажа украденных аккаунтов с премиум-подпиской Discord Nitro. Она стоит $100 в год, поэтому мошенники могут массово и дешево сбывать такие аккаунты на специальных площадках.
@tomhunter
T.Hunter
#news В России (вот неожиданность) оказались взломаны тысячи частных камер видеонаблюдения, многие из которых располагались (вот тут интересно) в гостиничных номерах, массажных кабинетах, салонах, где делают интимные стрижки и депиляцию, и других приватных…
#news СМИ обеспокоились риском утечки данных из государственной системы видеонаблюдения "Умный город". Однако главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров отметил в беседе с журналистами, что камеры формата "Умный город", использующиеся для системы распознавания лиц, хорошо защищены, так как у них нет прямого доступа в интернет и они замкнуты на ведомственной сети системы.
@tomhunter
@tomhunter
#news 31-летний канадец был арестован и обвинен в мошенничестве в связи с многочисленными атаками программ-вымогателей на предприятия, государственные учреждения и частных лиц по всей Канаде и США. Канадские власти описывают его как «самого известного киберпреступника в Канаде», но пока не раскрыли других подробностей об обвиняемом...
К счастью, есть его адрес электронной почты dark_cl0ud6@hotmail.com и псевдоним "Darkcloudowner". А также умение проводить OSINT-расследования.
@tomhunter
К счастью, есть его адрес электронной почты dark_cl0ud6@hotmail.com и псевдоним "Darkcloudowner". А также умение проводить OSINT-расследования.
@tomhunter