ITsec NEWS

2022-08-31 12:49:18 ​ Вредоносное ПО скрывается в снимках далеких галактик.

Аналитики Securonix обнаружили новую вредоносную кампанию под названием, которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа для распространения вредоносного ПО. Ее назвали «GO#WEBBFUSCATOR». Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.

Заражение начинается с фишингового письма с вложенным вредоносным документом «Geos-Rates.docx», который загружает файл, содержащий обфусцированный VBS-макрос. Он автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение «OxB36F8GEEC634.jpg» с удаленного ресурса «xmlschemeformat[.]com», декодирует его в исполняемый файл «msdllupdate.exe» с помощью certutil.exe и запускает его.

В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Но если открыть изображение в текстовом редакторе, можно обнаружить дополнительное содержимое, замаскированное под сертификат — закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.

Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.

Специалисты проанализировали вредонос и сделали вывод, что он закрепляется в системе, копируя себя в ’%%localappdata%%microsoftvault\’ и добавляя новый ключ реестра.

Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединениями, изменяя таймаут с помощью nslookup, а еще посылать команды, которые выполняются в командной строке Windows.

Исследователи отмечают, что домены, используемые в ходе кампании, зарегистрировали недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.

#ВредоносноеПО #Галактика

ITsec NEWS Открыть/Комментировать

2022-08-31 11:03:54 ​ Интерпол арестовал владельца Thodex в Албании.

Власти Албании задержали Фарука Фатих Озера, получившего широкую мировую известность как инициатор многомиллиардного криптоскама. В 2021-м году Озер исчез с деньгами 400 тысяч пользователей открытой им турецкой биржи Thodex. Предположительный ущерб от аферы — от $2 до $10 млрд.

Сейчас главное управление Интерпола готовит документы на экстрадицию злоумышленника в Турцию, где ему грозит пожизненное заключение.

Thodex получила такое название после ребрендинга платформы Koineks Teknoloji. Озер изначально манипулировал депозитами пользователей, задерживал вывод средств, но в 2020-м году на подъеме крипторынка, решил резко расширить деятельность и избавиться от негативного имиджа.

Биржа с новым именем развернула масштабную рекламную кампанию, привлекая известных турецких моделей и звезд. Разные призы, ценные подарки и розыгрыши позволили собрать депозиты на десятки миллиардов. Озер познакомился с высшими чиновниками Турции, отрицающими эту связь, несмотря на наличие совместных фото.

После аферы появилось множество косвенных свидетельств, что Озер скрывается в Албании. Интерпол утверждает, что задержал основателя биржи в городке Влер по биометрическим данным.

#Thodex #Албания #Арест

CryptoYozh Открыть/Комментировать

2022-08-31 10:44:09 ​ Google предложила российским пользователям альтернативные способы оплаты.

Стало известно, что Google изменила платежные правила своего магазина цифрового контента Play Маркет для пользователей из России. Со 2 августа для российских пользователей американская корпорация Google предоставляет новые способы оплаты покупок в магазине приложений Google Play.

«Начиная со 2 августа 2022 года, положения правил Google Play в отношении платежей, требующие использования платежной системы Google Play, не применяются к разработчикам, распространяющим приложения через Google Play, требующим или принимающим платежи от пользователей в России в данный период времени. Для соблюдения установленных законодательных ограничений Google Play блокирует скачивание платных приложений и обновлений для них в России и Беларуси», — говорится в сообщении компании.

Корпорация исполнила требование Федеральной антимонопольной службы, которая в июле наказала Google в течение месяца предоставить россиянам другие методы оплаты. Если бы этого не произошло, ФАС завела бы дело о нарушении антимонопольного закона.

Напомним, что с 10 марта этого года пользователи России не могут покупать приложения и игры, оплачивать подписку или делать покупки в приложении с помощью Google Play. Магазин приложений не поддерживает российские карты Visa, Маstercard и «Мир». Российские пользователи могут скачивать только бесплатные приложения и игры.

#Google #СпособыОплаты #Россия

ITsec NEWS Открыть/Комментировать

2022-08-30 20:08:37 ​ PyPI предупредила о фишинговой атаке, нацеленной на Python-разработчиков.

Идет фишинговая кампания против PyPI: хакеры взломали несколько учетных записей пользователей.

Киберпреступники отправляли фишинговые электронные письма с информацией о том, что Google выполняет обязательный процесс проверки для всех пакетов, и пользователю необходимо подтвердить свои учетные данные.

После ввода учетных данных на устройство жертвы загружаются вредоносные PyPI-пакеты, которые сейчас уже удалены:

— версия 0.1.6 «exotel» (более 480 000 загрузок);
— версия 2.0.2 и 4.0.2 «spam» (более 200 000 загрузок).

Пакеты загружают с удаленного сервера вредонос «python-install.scr» размером 63 МБ. У него действительная подпись, а еще он проходит проверку VirusTotal (3/67 обнаружений). Вредоносное ПО позволяет удаленно выполнить код и захватить контроль над устройством.

Более того, эксперты Medium опубликовали список более 100 вредоносных PyPI-пакетов , которые доставляются в рамках этой кампании.

Согласно данным Checkmarx, почти треть PyPI-пакетов имеет уязвимости, которые позволяют злоумышленнику автоматически выполнить код. Для защиты от этой атаки PyPI раздает бесплатные аппаратные ключи безопасности. Поскольку PyPI-пакеты стали частой мишенью киберпреступников, разработчиков призывают применять все необходимые меры безопасности.

#PyPI #Фишинг #Python

ITsec NEWS Открыть/Комментировать

2022-08-30 18:31:30 ​ ФАС разрешила VK приобрести сервисы «Новости» и «Дзен» и «Яндексу» сервис Delivery Club.

Спустя неделю после объявления о сделках самими компаниями Федеральная антимонопольная служба России разрешила VK приобрести сервисы «Новости» и «Дзен», а «Яндексу» — Delivery Club.

«Требования службы направлены на сохранение конкуренции на соответствующих рынках», — говорится в сообщении ФАС.
ФАС России рассмотрела ходатайство о приобретении Яндексом сервиса Delivery Club и одобрила его с предписанием. Одно из требований антимонопольного ведомства — отсутствие каких-либо преимуществ для ресторанов и доставщиков, использующих сервис Яндекс.Еда, по отношению к другим агрегаторам заказов. Для партнеров сервисов предписание обеспечивает сохранение размера и порядок формирования вознаграждения в течение 3 лет с момента совершения сделки.

Кроме того, Яндекс не должен принимать мер, направленных на отказ или сокращение использования ресторанами Delivery Club или других сторонних сервисов.

Ведомство также одобрило ходатайство VK о приобретении новостного агрегатора «Новости» и рекомендательной платформы «Дзен». Оператор указанных платформ будет обязан в предусмотренных законом случаях запрашивать и получать согласие пользователей на обработку персональных данных для каждого сервиса в отдельности.

#ФАС #VK #DeliveryClub #Яндекс

ITsec NEWS Открыть/Комментировать

2022-08-30 17:45:15 ​ Google запускает программу Bug Bounty для своего открытого ПО.

Google теперь будет платить исследователям безопасности за поиск и сообщение об ошибках в последних версиях открытого ПО, выпущенного Google.

Недавно запущенная программа вознаграждения за уязвимости фокусируется на ПО от Google и настройках репозитория, таких как GitHub Actions, конфигурации приложений и правила контроля доступа. VRP относится к ПО в общедоступных репозиториях GitHub, принадлежащих Google, а также к некоторым репозиториям с других платформ.

Уязвимости в сторонних зависимостях Google OSS входят в программу VRP при условии, что отчеты об ошибках сначала отправляются владельцам уязвимых пакетов, поэтому проблемы должны исправить прежде, чем информировать Google о результатах.

По словам компании, главные награды вручат за недостатки в наиболее уязвимых проектах: Bazel, Angular, Golang, Protocol buffers и Fuchsia.

Цель Google OSS VRP — это ошибки безопасности, которые могут оказать наиболее значительное влияние на цепочку поставок ПО. Поэтому компания призывает багхантеров сосредоточиться на уязвимостях, которые могут привести к:

— компрометации цепочки поставок;
— проблемах проектирования, вызывающих уязвимости продукта;
— утечке данных;
— компрометации паролей;
— небезопасным конфигурациям.

В зависимости от уровня опасности обнаруженных недостатков и важности проекта итоговое вознаграждение варьируется от $100 до $31.337. В дополнение к награде специалист может получить общественное признание за свой вклад. Google также предлагает пожертвовать свою награду на благотворительность в размере, вдвое превышающем первоначальную сумму.

#Google #BigBounty #ОткрытоеПО

ITsec NEWS Открыть/Комментировать

2022-08-30 15:51:49 ​ Хакеры готовятся к масштабной атаке на российский госсектор.

Злоумышленники начали интересоваться покупкой баз данных, содержащих зашифрованные коды (хеш) паролей для идентификации на российских сайтах и сервисах.

Цель сбора cведений — выявление логинов и паролей, принадлежащих госслужащим и сотрудникам крупных компаний для последующего использования их при взломах критической информационной инфраструктуры: ТЭК, финансовые организации, операторы связи и др.

Как пояснил основатель DLBI Ашот Оганесян, наличие актуальных паролей пользователей государственных информационных систем позволяет злоумышленникам успешно совершить атаку с повторным использованием, когда полученная пара логин — пароль используется при доступе к другим аккаунтам жертвы — от почты до корпоративных онлайн-сервисов, например, к рабочему месту.

Кроме того, в DLBI полагают, что рост интереса к этим данным говорит о подготовке масштабной атаки на госсектор в ближайшее время.

#Хакеры #Кибератака #Россия

ITsec NEWS Открыть/Комментировать

2022-08-30 13:58:35 ​ Федеральная торговая комиссия США подала в суд на брокера данных Kochava.

Kochava обвиняют в продаже конфиденциальных и точных геолокационных данных граждан США. Если верить жалобе, компания собирает информацию с сотен миллионов устройств. Если клиент Kochava оплатит подписку за 25.000 долларов, то получит сведения, позволяющие идентифицировать миллионы людей и отслеживать их перемещения через поток данных, которые собираются с онлайн-рынков данных, например: AWS Marketplace.

Федеральная торговая комиссия США отмечает, что данные, предоставляемые Kochava, подвергают людей угрозам стигматизации, преследования, дискриминации, потери работы и даже физического насилия. В описании услуг Kochava на онлайн-маркетплейсе говорится, что компания предлагает обширную базу геоданных, охватывающую миллиарды устройств по всему миру.

Своим иском FTC пытается пресечь продажу конфиденциальных геоданных и заставить Kochava удалить всю собранную информацию. Федеральная торговая комиссия подчеркивает, что данные о местоположении, которые предоставляет Kochava, не анонимизированы — это позволяет клиентам Kochava сопоставить их с MAID мобильного устройства, чтобы идентифицировать его пользователя.

#Хакеры #США #Суд #Kochava

ITsec NEWS Открыть/Комментировать

2022-08-30 13:06:04 ​ В Индии студент попытался использовать кожу друга, чтобы обмануть биометрическое устройство для сдачи экзамена.

Отчаявшись сдать сложный экзамен на государственную должность, индийский студент снял кусок кожи со своего большого пальца и наклеил его на палец друга, надеясь, что он обманет биометрический сканер и сдаст экзамен от его имени.

Инцидент произошел 22 августа в городе Вадодара в западном индийском штате Гуджарат во время экзамена по приему на работу в Индийские железные дороги. Чтобы предотвратить мошенничество, все кандидаты должны были предоставить отпечаток большого пальца, который сопоставлялся с данными Aadhaar с помощью биометрического устройства.

Так, Маниш Кумар в попытке получить работу попросил своего друга Раджьягуру Гупту сдать экзамен вместо него. И чтобы обмануть систему аутентификации, Кумар накануне тестирования приставил палец к раскаленной сковородке и срезал лезвием получившийся волдырь. Раджьягуру Гупта приклеил кусок кожи на свой палец и попытался пройти сканирование. Но в момент, когда кандидат предоставил отпечаток большого пальца, биометрическое устройство несколько раз не смогло подтвердить его личность. Сотрудники, заметившие подозрительное поведение парня, распылили на его руку дезинфицирующее средство. В результате пересаженная кожа отвалилась.

Кумар и его доверенное лицо Гупта арестованы. Они обвиняются в подделке документов, мошенничестве путём выдачи себя за другое лицо и преступном сговоре.

#Индия #Биометрия

ITsec NEWS Открыть/Комментировать

2022-08-30 12:24:20 ​ ФБР предупреждает о кибератаках на DeFi-платформы.

Федеральное бюро расследований США выпустило предупреждение для инвесторов DeFi-платформ: только с начала года мошенники украли с децентрализованных площадок криптовалюты на сумму $1,6 млрд.

Киберперступники используют уязвимости в управляющих DeFi протоколами смарт-контрактах. ФБР выделило 3 тактики мошенников:

— Инициирование срочного кредита. Как пример приводится атака на Ethereum DeFi Project bZx — тогда преступники украли цифровые активы на сумму около $55 млн.
— Использование уязвимостей в мосте токенов DeFi платформы, например: недавняя атака на мост Nomad.
— Манипулирование ценами криптовалют путем использования уязвимостей, таких как оракул единой цены. Например, взлом Deus Finance — тогда мошенники похитили около $13,5 млн.

ФБР рекомендует инвесторам внимательно изучать DeFi-площадки, и если возникают сомнения, обращаться за советом к финансовому консультанту. По мнению агентства, платформы также могут внести свой вклад в повышение безопасности. Для этого ФБР рекомендует регулярно тестировать свой код для выявления уязвимостей.

#ФБР #Кибератака #DeFi

CryptoYozh Открыть/Комментировать