T.Hunter

2021-11-06 12:17:33 #news Мы тут все недавно удивились, когда пчёлы воинственно выступили против мёда: Фейсбук пообещал, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов.

Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.

Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.

Подробнее об этом можно почитать в статье, в которой есть примеры концептов.

Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.

@tomhunter Открыть/Комментировать

2021-11-06 12:05:29 #news В мире npm всё бушуют зловреды.

Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.

Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.

Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.

Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.

Сейчас все зловредные обновления, к счастью, npm уже убрал.

@tomhunter Открыть/Комментировать

2021-11-06 11:16:59 #OSINT #Sources Подборки источников для OSINT-исследований от различных специалистов.

├osintframework (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)

P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.

├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)

@tomhunter Открыть/Комментировать

2021-11-06 10:51:45 #news ФБР зафиксировало рост числа мошенников, побуждающих жертв использовать физические банкоматы с криптовалютой и цифровые QR-коды для совершения платежных транзакций.

@tomhunter Открыть/Комментировать

2021-11-06 10:45:43 #news Оборонный подрядчик из США Electronic Warfare Associates (EWA) раскрыл утечку данных после того, как злоумышленники 2 августа взломали их почтовую систему и украли файлы, содержащие личную информацию. Фирма заметила проникновение, когда хакер предпринял попытку мошенничества с использованием электронных средств, что, по всей видимости, является основной целью исполнителя.

@tomhunter Открыть/Комментировать

2021-11-05 20:25:48 #news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.

Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.

Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.

@tomhunter Открыть/Комментировать

2021-11-05 15:26:48 #OSINT #Fake Сегодня предлагаю небольшую тему создания виртуальных личностей (аватаров), которые можно использовать для регистрации в различных социальных сервисах.

├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)

@tomhunter Открыть/Комментировать

2021-11-05 10:33:15 #news #decoder Новая фишинговая кампания, выдавая себя за списки рассылки, заражает пользователей программой-вымогателем MirCop, которая шифрует целевую систему менее чем за пятнадцать минут. В теле письма содержится гиперссылка на URL-адрес Google Диска, при нажатии на который загружается файл MHT (архив веб-страницы) на машину жертвы. Google Диск служит для придания легитимности электронной почте и очень хорошо согласуется с обычной повседневной деловой практикой. Когда открывается файл MHT i, он загружает архив RAR, содержащий загрузчик вредоносных программ .NET, из «hXXps: // a [.] Pomf [.] Cat / gectpe.rar».

Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.

@tomhunter Открыть/Комментировать

2021-11-04 19:34:00 #news В модуле TIPC линуксовского ядра обнаружили RCE-уязвимость CVE-2021-43267, которую можно использовать как локально, так и удалённо, чтобы получить права суперпользователя. Никаких данных о живом использовании в атаках, к счастью, нет.

Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.

Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.

Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.

Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.

@tomhunter Открыть/Комментировать

2021-11-04 15:09:40 #news Министерство юстиции США предъявило обвинение взломщику Twitter, известному как PlugWalkJoe, в том, что он также украл криптовалюту на сумму 784 000 $ с помощью атак с заменой SIM-карты. Атаки с заменой SIM-карты - это когда злоумышленники берут под контроль телефонные номера целей, перенося их на SIM-карту своего собственного устройства. Эти атаки обычно совершаются путем социальной инженерии и выдвижения себя за цель, взлома систем операторов мобильной связи или подкупа сотрудников. Правительство США добивается экстрадиции О'Коннора, который в настоящее время находится под стражей в Испании.

@tomhunter Открыть/Комментировать