DarkNetNews

2023-11-18 17:03:02 Сотни сайтов-клонов перенаправляют посетителей на китайские игорные сайты

Шведская правозащитная организация Qurium обнаружила около 250 сайтов-клонов, полностью копирующих реально существующие ресурсы различных организаций. Оказалось, эти копии существуют только для того, чтобы направлять людей на связанные с Китаем игорные сайты.

В докладе Qurium говорится, что одним из первых свой клон обнаружило филиппинское СМИ MindaNews. Сайт был переведен на китайский язык и снабжен рекламой азартных игр.

Дальнейшее расследование выявило сотни подобных реплик. Среди организаций, чьи сайты были полностью скопированы, оказались частные компании, университеты и публичные библиотеки.

При этом расследование показало, что часть рекламы азартных игр, найденная на 520xingyun[.]com, связана «с физическим адресом на острове Мэн, “налоговым раем”, где зарегистрировано несколько компаний, занимающихся азартными играми». Открыть/Комментировать

2023-11-16 18:32:57 Правоохранители ликвидировали ботнет IPStorm. Его создатель признал себя виновным

Министерство юстиции США сообщает, что ФБР ликвидировало сеть и инфраструктуру прокси-ботнета IPStorm. Ранее его создатель, Сергей Макинин, гражданин России и Молдовы, признал себя виновным по трем пунктам обвинения, и теперь ему грозит наказание в виде 10 лет лишения свободы по каждому из них.

Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который вредонос использовал для связи с зараженными системами и передачи команд.

Позже IPStorm эволюционировал и научился атаковать устройства под управлением Android, macOS и Linux, включая IoT-девайсы. В итоге ботнет позволял хакерам и мошенникам анонимно пропускать вредоносный трафик через зараженные устройства по всему миру. Как пишут теперь правоохранители, жертвы IPStorm невольно становились соучастниками действий киберпреступников и рисковали получить более опасную полезную нагрузку в любой момент. Открыть/Комментировать

2023-11-14 17:04:04 Австралийские порты пострадали от кибератаки «национального масштаба»

На прошлой неделе крупнейший портовый оператор Австралии, компания DP World, приостановил работу в нескольких портах страны после кибератаки. В результате почти 30 000 транспортных контейнеров с потребительскими товарами (включая электронику, одежда и продукты питания), застряли в портах Австралии в минувшие выходные.

Из-за хакерской атаки австралийский филиал дубайской логистической компании DP World был вынужден приостановить работу контейнерных терминалов в нескольких городах, включая Сидней, Мельбурн, Брисбен и Фримантл.

Так как после обнаружения атаки компания отключила свои системы от интернета, корабли могли осуществлять разгрузку, однако грузы не могли покинуть порт. И хотя в настоящее время работа портов уже восстанавливается, согласно заявлениям компании, инцидент пока не исчерпан до конца. Открыть/Комментировать

2023-11-12 17:02:36 Вредоносная реклама имитирует новостной сайт и распространяет троянизированный CPU-Z

Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы. На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.

Новые мошеннические объявления были обнаружены специалистами Malwarebytes, которые считают, что эта активность является частью замеченной ранее вредоносной кампании. Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.

На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport. Открыть/Комментировать

2023-11-08 17:32:48 Ботнет Socks5Systemz заразил более 10 000 устройств, превращая их в прокси

Аналитики из компании BitSight обнаружили прокси-ботнет Socks5Systemz, который заражает компьютеры по всему миру через загрузчики PrivateLoader и Amadey, и в настоящее время насчитывает более 10 000 скомпрометированных устройств.

Согласно отчету BitSight, этот ботнет существует с 2016 года, но до недавнего времени оставался незамеченным. Малварь заражает компьютеры жертв и превращает их в прокси-серверы, которые используются для перенаправления вредоносного, незаконного и анонимного трафика. Доступ к Socks5Systemz продается другим преступникам, которые платят от 1 до 140 долларов в день в криптовалюте за использование мощностей ботнета.

Упомянутые PrivateLoader и Amadey распространяются самыми разными способами: посредством фишинга, наборов эксплоитов, вредоносной рекламы, троянизированных исполняемых файлов, загруженных из P2P-сетей и так далее.

Образцы, изученные исследователями, назывались previewer.exe, и их задача заключалась во внедрении прокси-бота в память хоста и закреплении в зараженной системе через службу Windows под названием ContentDWSvc. Открыть/Комментировать

2023-11-06 17:32:38 Flipper Zero приспособили для Bluetooth-спама на устройства под управлением Android и Windows

В альтернативной прошивке Xtreme для Flipper Zero появилась функция для проведения Bluetooth-атак на устройства под управлением Android и Windows. Ранее подобный Bluetooth-спам на iOS-девайсы демонстрировал ИБ-исследователь, который и вдохновил энтузиастов на эксперименты с другими платформами.

Напомним, что в сентябре 2023 года ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

Дело в том, что устройства Apple, поддерживающие технологию Bluetooth Low Energy (BLE), используют рекламные пакеты (ADV-пакеты) для оповещения других устройств о своем присутствии. Пакеты ADV широко используются в экосистеме Apple для обмена данными по протоколу AirDrop, подключения Apple Watch или AppleTV, активации функции Handoff и во многих других сценариях.

Flipper Zero способен подделывать такие ADV-пакеты и передавать их через BLE. В итоге устройства с поддержкой BLE, находящиеся в неподалеку, будут воспринимать эти пакеты как запросы на подключение. То есть эту особенность можно использовать для отправки жертве множества фальшивых запросов, затрудняя распознавание настоящих устройств, имитируя доверенные устройства для проведения фишинговых атак и так далее. Открыть/Комментировать

2023-11-04 17:03:00 Обнаружен подпольный сервис для сокращения URL

Группировка Prolific Puma на протяжении как минимум четырех последних лет предоставляет услугу по сокращению ссылок другим злоумышленникам. Только за последние полтора года хакеры зарегистрировали до 75 000 уникальных доменных имен, в основном злоупотребляя API регистратора NameSilo.

Аналитики компании Infoblox, специализирующейся на DNS-угрозах, сообщают, что Prolific Puma создает доменные имена, используя RDGA (Registered Domain Generation Algorithm) и использует эти домены для предоставления услуг по сокращению ссылок другим злоумышленникам, «тем самым помогая им избежать обнаружения при распространении фишинговых, мошеннических и вредоносных программ».

Как известно, хакеры часто используют укорачиватели ссылок для фишинговых атак, поэтому Prolific Puma играет важную роль в хакерской цепочке поставок. Исследователи подсчитали, что только за период апреля 2022 года по настоящее время злоумышленники зарегистрировали от 35 000 до 75 000 уникальных доменных имен (до 800 доменов в день). Открыть/Комментировать

2023-11-02 17:33:45 Разработано Android-приложение для рассылки Bluetooth-спама

Недавно энтузиасты добавили в альтернативную прошивку Xtreme для Flipper Zero функцию для проведения Bluetooth-атак на устройства под управлением Android и Windows. Теперь эту функциональность выделили в отдельное Android-приложение, и для организации Bluetooth-спама больше не нужен Flipper.

Напомним, что все началось в сентябре 2023 года, когда ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

Идея Techryptic так понравилась энтузиастам, что вскоре разработчики Xtreme расширили функциональность для проведения Bluetooth-атак на устройства под управлением Android и Windows.

Как теперь сообщает издание Bleeping Computer, вдохновившись предыдущими исследованиями на эту тему и решениями для Flipper Zero, нацеленными на iOS, Android и Windows, разработчик Саймон Данкельманн (Simon Dankelmann) создал отдельное приложение для Android, способное осуществлять аналогичный Bluetooth-спам. Открыть/Комментировать

2023-10-31 17:32:39 Исследователи нашли 58 0-day уязвимостей на Pwn2Own и четырежды взломали Samsung Galaxy S23

В минувшие выходные в Торонто завершилось хакерское соревнование Pwn2Own, организованное Trend Micro Zero Day Initiative (ZDI). На этот раз ИБ-исследователи заработали 1 038 500 долларов и продемонстрировали 58 эксплоитов для уязвимостей нулевого дня в различных потребительских гаджетах.

В рамках Pwn2Own Toronto 2023 исследователи атаковали всевозможные мобильные устройства и IoT-девайсы. Так, этот список включал мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, NAS, хабы для умных домов, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast, причем все они были настроены по умолчанию и имели последние обновления безопасности.

Самые высокие награды были предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы в размере до 300 000 долларов полагались за взлом iPhone 14 и 250 000 долларов за взлом Pixel 7. Бонусы в в размере 50 000 долларов полагались за успешную эксплуатация устройств Google и Apple, если полезная нагрузка эксплоита будет выполнена с привилегиями ядра. Общий размер призового фонда в этом году составил более 1 000 000 долларов. Открыть/Комментировать

2023-10-29 17:02:56 Исследователи связывают группировку YoroTrooper с Казахстаном

Специалисты Cisco Talos рассказали об операциях кибершпионской группировки YoroTrooper и заявили, что она связана с Казахстаном, по сути, являясь первой APT-группировкой в стране.

Впервые эта группа была замечена в марте 2023 года. Исследователи полагают, что хакеры активны как минимум с июня 2022 года и в настоящее время атакуют в основном различные государственные предприятия в странах СНГ.

Атаки YoroTrooper, как правило, основаны на направленном фишинге, который применятся для распространения разнообразной малвари, в основном предназначенной для кражи данных. Хотя также было замечено, что порой хакеры направляют своих жертв на подконтрольные им сайты для сбора учетных данных.

Отмечается, что недавнее публичное раскрытие информации о кампаниях и инструментах группировки привело к тактической реорганизации ее арсенала: от коммерческих вредоносов хакеры перешли к кастомным инструментам, написанным на Python, PowerShell, Go и Rust. Открыть/Комментировать