T.Hunter

2022-08-31 18:31:59 #news У Брайана Кребса вышел обзорный пост по следам фишинговой кампании 0ktapus, так же известной в узких кругах наших читателей как «Good day sir, please login». За летние месяцы целью кампании стали несколько сотен организаций и сервисов, и многие их работники слили свои личные данные в «продвинутой» фишинговой атаке. Состоявшей из смски с мимикрирующей под компанию ссылкой.

Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».

@tomhunter Открыть/Комментировать

2022-08-31 11:55:59 Август 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр! Открыть/Комментировать

2022-08-30 19:26:27 #news Вместе с несколькими популярными настольными приложениями вроде Google/Yandex-переводчика и MP3-загрузчика распространяют криптомайнер. И что занятно, он скачивается только через месяц, чтобы не быть замеченным.

На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.

@tomhunter Открыть/Комментировать

2022-08-30 17:16:40 #news Думаете, что тема ограничилась одной Kochava? Фигушки... Неизвестные хакеры взломали системы коммуникационных сервисов компании Twilio. Результаты своего взлома были моментально использованы для атак на пользователей мессенджера Signal. Взломав системы Twilio, хакеры могли читать текстовые сообщения жертв. Это потенциально дало хакерам возможность завладеть любыми учетными записями жертв, которые были привязаны к их номеру телефона в сервисах, использующих Twilio.

Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...

@tomhunter Открыть/Комментировать

2022-08-30 17:12:39 #news Нет, ну вы только вчитайтесь... Федеральная торговая комиссия США (FTC) объявила сегодня, что она подала иск против базирующегося в Айдахо брокера данных о местоположении Kochava за продажу конфиденциальных и точных данных геолокации (в метрах), собранных с сотен миллионов мобильных устройств.

Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...

@tomhunter Открыть/Комментировать

2022-08-29 20:34:52 #news Сетевая инфраструктура Черногории понемногу сыпется под кибератаками. Бьют по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендует своим гражданам ограничить поездки и ожидать проблем на границе и в аэропортах.

В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.

@tomhunter Открыть/Комментировать

2022-08-29 17:02:49 #news Шутки про ни дня без утечек ещё не скрипят на зубах? В открытом доступе найдены базы данных пользователей CDEK.Shopping и «СДЭК.Маркет». По сравнению с их предыдущими сливами всё довольно скромно: суммарно 120 тысяч строк с ФИО, логинами, почтами, телефонами и хешированными паролями. Базы свежие: в первой обновления до середины августа, во второй — до марта.

Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «‎слей все свои базы до принятия закона и живи спокойно».

@tomhunter Открыть/Комментировать

2022-08-29 14:13:30 #news Занятная новинка из мира скама на ниве play-to-earn криптоигр. Злоумышленники скопировали сайт проекта Alchemic World с их ресурсами и продвигали под видом собственного. Купившиеся на предложение протестировать игру за эфир получали по коду с сайта малварь для кражи криптокошельков, Racoon Stealer или пару аналогов.

Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.

@tomhunter Открыть/Комментировать

2022-08-28 16:01:55 #news В открытом доступе обнаружилась база пользователей онлайн-кинотеатра Start. Из ключевого ФИО, почты, айпишники и хешированные пароли почти на 44 миллиона пользователей из нескольких стран. Дамп не старше года, вероятно, из MongoDB. Видимо, очередной нечаянно открытый порт и незапароленный сервер.

Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.

@tomhunter Открыть/Комментировать

2022-08-28 13:25:12 #news На Def Con анонсировали кабель O. MG Elite, внешне похожий на обычный Lightning или USB-C, который может взломать устройства на разных ОС. Он может регистрировать нажатия клавиш, выполнять атаки и даже незаметно передавать данные с устройств по собственной Wi-Fi сети.

@tomhunter Открыть/Комментировать