DarkNetNews

2024-01-02 17:03:33 Мод для игры Slay the Spire заражал пользователей инфостилером с помощью системы обновлений Steam

Разработчик фанатского расширения Downfall для популярного карточного «рогалика» Slay the Spire пострадал от хакерской атаки. В результате через систему обновлений Steam на машины пользователей проник вредонос Epsilon, похищающий информацию.

Неизвестные злоумышленники взломали Steam и Discord одного из разработчиков Downfall, что позволило им получить контроль над Steam-аккаунтом расширения.

После установки на взломанный компьютер малварь собирала cookie, сохраненные пароли и данные банковских карт из браузеров (включая Google Chrome, «Яндекс», Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), а также воровала информацию из Steam и Discord.

Как рассказал изданию Bleeping Computer разработчик Downfall Майкл Мейхем (Michael Mayhem), взломанный пакет представлял собой перепакованную и модифицированную standalone-версию оригинальной игры, а не мод, устанавливаемый через Steam Workshop. Открыть/Комментировать

2023-12-30 17:32:51 Проблема в Google Kubernetes Engine позволяла повысить привилегии

Специалисты Google Cloud исправили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.

То есть ключевым условием, необходимым для эксплуатации этой уязвимости, является заблаговременная компрометация FluentBit, которую атакующему пришлось бы осуществить каким-то другим способом.

Обнаружившие эту уязвимость исследователи Palo Alto Networks заявили, что злоумышленники могли использовать ее для «кражи данных, развертывания вредоносных подов и нарушения работы кластера».

Это означает, что злоумышленник мог использовать такой доступ для получения привилегированного доступа к кластеру Kubernetes с включенным ASM, а затем использовать токен сервисного аккаунта ASM для повышения привилегий (путем создания нового пода с привилегиями администратора кластера). Открыть/Комментировать

2023-12-26 17:04:31 В сеть слили исходные коды Grand Theft Auto V

С тех пор как хак-группа Lapsus$ взломала Rockstar Games, прошло больше года, но исходные коды Grand Theft Auto V (GTA V) были опубликованы в открытом доступе только сейчас. Некоторые посвящают этот слив участнику Lapsus$ Ариону Куртажу (Arion Kurtaj), которого недавно приговорили к бессрочному пребыванию в охраняемой больнице.

Напомним, что в 2022 году участники Lapsus$ взломали Rockstar Games и получили доступ к внутреннему серверу Slack компании и wiki Confluence. Тогда утверждалось, что были похищены исходный код и ассеты GTA V и VI, а также тестовая сборка GTA VI. В итоге часть украденного контента утекла в сеть. К тому ж злоумышленники поделились образцами исходного кода GTA V в качестве доказательства кражи данных, а затем пытались продать исходный код и ассеты игры.

Теперь ссылки на скачивание исходников GTA V появились во множестве источников, включая серверы Discord, сайты в даркнете и Telegram-канал, который ранее использовался для слива украденных у Rockstar данных. Владелец этого канала, известный под ником Phil, разместил ссылки на украденные исходники и опубликовал скриншот одной из папок. Открыть/Комментировать

2023-12-24 17:33:27 Фальшивые VPN-расширения для Chrome принудительно установили 1,5 млн раз

Специалисты компании ReasonLabs обнаружили три вредоносных расширения для браузера Chrome, которые маскировались под VPN. Они были загружены 1,5 млн раз и на самом деле представляли собой инфостилеры и инструменты для кражи кешбэка.

Опасные расширения устанавливались в браузеры жертв принудительно и распространялись через установщики, спрятанные в пиратских копиях популярных игр (Grand Theft Auto, Assassins Creed и The Sims 4), загруженных с торрент-трекеров.

По данным экспертов, большинство заражений пришлось на Россию, Украину, Казахстан и Беларусь, так как эта кампания, похоже, была нацелена исключительно на русскоязычных пользователей.

Вредоносные расширения носили названия netPlus (1 млн установок), netSave и netWin (по 500 000 установок). Так как ReasonLabs уже уведомила Google об этой проблеме, компания удалила вредоносные расширения из Chrome Web Store, но к этому времени суммарное количество установок уже перешагнуло отметку 1,5 млн. Открыть/Комментировать

2023-12-22 17:03:07 Подросток из Lapsus$ признан опасным и бессрочно помещен в охраняемую больницу

Один из ключевых участников хакерской группировки Lapsus$, 18-летний Арион Куртаж (Arion Kurtaj), приговорен британским судом к бессрочному пребыванию в охраняемой больнице. Суд счел, что навыки страдающего аутизмом Куртажа и его открытое желание продолжать совершать киберпреступления делают его опасным для общества.

По информации BBC, Куртаж был одним из главных участников Lapsus$, и именно он слил в сеть отрывки из грядущей Grand Theft Auto VI, взломав Rockstar Games. По мнению судьи, Куртаж по-прежнему представляет угрозу для общества, так как он прямо заявлял, что намерен и дальше заниматься хакерством. В итоге он будет содержаться в охраняемой больнице до тех пор, пока врачи не решат, что он больше не представляет опасности.

Отмечается, что помимо участия в кибератаках, уже будучи заключен под стражу, Куртаж вел себя крайне агрессивно, что привело к «десяткам сообщений о травмах и порче имущества». В силу его аутизма медицинские работники сочли Куртажа неспособным предстать перед судом, и предоставили присяжным решать, содержался ли в его действиях преступный умысел. Открыть/Комментировать

2023-12-20 18:04:11 ФБР захватило сайт вымогательской группы BlackCat и разработало инструмент для расшифровки данных

Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.

Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.

Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.

Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров. Открыть/Комментировать

2023-12-18 18:33:52 Количество утекших телефонных номеров в 2023 году в 1,5 раза превысило численность населения РФ

Аналитики центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» подсчитали, что за 2023 год в публичный доступ попали данные почти 400 российских организаций. То есть каждый день в России происходила как минимум одна утечка данных. В числе прочего хакеры выложили в сеть более 220 млн телефонных номеров, что превышает численность населения РФ в 1,5 раза.

С января по начало декабря 2023 года жертвами утечек стали 385 организаций, и общий объем опубликованных данных составил 103,4 ТБ.

Основная масса инцидентов была связана с утечками различного рода структурированной информации — баз данных клиентов, сотрудников, пользователей различных сайтов и сервисов. Однако, несмотря на количество таких инцидентов, украденные БД в общем объеме скомпрометированной информации составляют всего около 1% и являются следствием не самых сложных атак.

Зато 99% утекших данных – это огромные архивы внутренней документации компаний, полученные в результате всего восьми сложных кибератак, в ходе которых хакерам удалось глубоко проникнуть внутрь инфраструктуры организаций. В этих массивах содержались сканы документов, дампы памяти систем, информация с компьютеров отдельных пользователей, а также большое количество исходников разрабатываемого ПО. Открыть/Комментировать

2023-12-16 17:04:19 Ledger просит не использовать dApp из-за атаки на цепочку поставок

Компания Ledger предупреждает пользователей о недопустимости использования Web3 dApp после обнаружения атаки на цепочку поставок. Дело в том, что в Ledger dApp Connect Kit был выявлен JavaScript-вредонос, который уже похитил у пользователей более 600 000 долларов в криптовалютах и NFT.

Напомним, что Ledger производит аппаратные кошельки, позволяющие пользователям покупать, управлять и безопасно хранить свои цифровые активы в офлайне. Также компания предлагает библиотеку Ledger dApps Connect Kit, которая позволяет web3-приложениям подключаться к аппаратным кошелькам Ledger.

Как сообщают представители Ledger, библиотека Ledger Connect Kit была скомпрометирована и содержала вредоносный код, поэтому пока следует избегать использования любых dApp.

Также представители компании предупреждают о продолжающихся фишинговых атаках и злоумышленниках, которые пытаются воспользоваться ситуацией. В Ledger рекомендуют пользователям сохранять бдительность и не реагировать на сообщения, в которых их просят предоставить секретную фразу, состоящую из 24 слов. «Любой, кто спрашивает об этом – преступник», — говорят в компании. Открыть/Комментировать

2023-12-14 17:33:38 50 000 сайтов на WordPress уязвимы перед удаленным выполнением кода из-за бага в плагине

В плагине для резервного копирования Backup Migration, который начитывает более 90 000 установок, обнаружили критическую уязвимость. Баг позволяет злоумышленникам удаленно выполнять код и полностью компрометировать уязвимые ресурсы.

Уязвимость получила идентификатор CVE-2023-6553 и набрала 9,8 балла из 10 возможных по шкале CVSS. Проблема была обнаружена багхантерами из Nex Team, которые сообщили о ней специалистам Wordfence, в рамках недавно запущенной программы bug bounty.

Проблема затрагивает все версии Backup Migration вплоть до 1.3.6, и злоумышленники могут использовать ее в несложных атаках, которые не потребуют участия пользователей. CVE-2023-6553 позволяет неаутентифицированным атакующим захватывать целевые сайты через удаленное выполнение кода посредством PHP-инъекции в файл /includes/backup-heart.php. Открыть/Комментировать

2023-12-12 17:02:49 Каждое четвертое приложение, использующее Log4j, до сих пор уязвимо перед Log4Shell

Множество приложений, использующих библиотеку Apache Log4j, используют версии, уязвимые перед различными проблемам, включая нашумевшую уязвимость Log4Shell (CVE-2021-44228), хотя с момента ее обнаружении и исправления прошло уже больше двух лет.

Напомним, что в середи­не декаб­ря 2021 года раз­работ­чики Apache Software Foundation выпус­тили экс­трен­ное обновле­ние безопас­ности, исправ­ляющее 0-day-уяз­вимость (CVE-2021-44228) в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j, вхо­дящей в сос­тав Apache Logging Project. Срочность объ­ясня­лась тем, что ИБ‑спе­циалис­ты уже начали пуб­ликовать в откры­том дос­тупе PoC-экс­пло­иты, объ­ясняя, что исполь­зовать баг мож­но было уда­лен­но, при­чем для это­го не требовались осо­бые тех­ничес­кие навыки.

Проблема была назвала Log4Shell и, разумеется, атаки на нее не заставили себя ждать. Вскоре уязвимость стала одной из наиболее используемых хакерами, ведь злоумышленники начали искать в интернете любые Java-приложения, которые могли использовать библиотеку Log4j, и тестировали на них эксплоиты.

К проблеме Log4Shell было привлечено много внимания, так как ее широкий охват и простота использования заинтересовали множество злоумышленников. Однако теперь аналитики Veracode пишут, что обширная кампания по уведомлению сопровождающих затронутых проектов и системных администраторов оказалось не слишком успешной. Открыть/Комментировать