T.Hunter

2021-10-28 11:31:22 #news Месть за Пегасуса... Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года. Вредоносы маскируются под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие. Исследователи проанализировали образцы ПО и обнаружили, что злоумышленники используют для атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.

@tomhunter Открыть/Комментировать

2021-10-28 10:32:40 #news #decoder Выпущен инструмент дешифрования, который поможет жертвам программ-вымогателей AtomSilo и LockFile бесплатно восстановить некоторые из своих файлов без необходимости платить выкуп.

Аналогичный дешифратор был выпущен и для жертв вымогателя Babuk. Он может жертвами, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo.

@tomhunter Открыть/Комментировать

2021-10-27 19:46:15 #news Поговорим об интересных хобби. Тель-авивский исследователь Идо Хорвич, заскучав, выяснил, что 70% домашних Wi-Fi точек очень слабо защищены, и взломать их проще простого.

Прихватив сетевую карту AWUS036ACH ALFA за $50 да ноутбук с убунтой, Хорвич погулял по родному городу и насканил в сумме 5000 сетевых хэшей, которые потом проанализировал в WireShark. Затем исследователь использовал метод hashcat, с помощью которого получил хэш PMKID, обычно нужный для роуминга: он состоит из PMK (SSID сети + пароль), MAC-адреса точки доступа и статичного MAC-адреса клиента.

Атака по маске, которая искала людей, использующих в качестве пароля номер телефона, позволила ему взломать 2200 точек, затрачивая 9 минут на один пароль. Атака по словарю вскрыла ещё 1359 паролей. Результат — вскрыты 3559 точек из 5000, или 70%.

Мораль истории: не стоит включать роуминг на домашних точках, а над паролем лучше подумать потщательнее.

@tomhunter Открыть/Комментировать

2021-10-27 16:21:31 #news В креативную копилочку! Кибератака в Иране ударила по бензоколонкам по всей стране: их массово отключали, пока хакеры выводили на видеоэкраны сообщение "cyberattack 64411". 64411 — это номер телефона, принадлежащий горячей линии лидера страны, Али Хаменеи.

Из-за этого инцидента временно отключились государственные электронные карточки, которые многие иранцы используют, чтобы покупать топливо по льготной цене.

@tomhunter Открыть/Комментировать

2021-10-26 18:10:06 #news Правоохранительные органы арестовали 150 подозреваемых, предположительно причастных к продаже и покупке незаконных товаров на DarkMarket. Аресты стали результатом скоординированной международной операции под названием Dark HunTOR, которая длилась десять месяцев и в которой участвовали полицейские силы и следователи из девяти стран.





@tomhunter Открыть/Комментировать

2021-10-26 14:06:52 #news А ещё вот снова о креативности. Зловредные Firefox-расширения Bypass и Bypass XM, имевшие в сумме полмиллиона установок, блокировали установку обновлений браузера, которые закрывали дыры в безопасности. Кроме того, пользователей отрезали от свежих блоклистов.

Для этого зловреды пользовались Proxy API: через него расширения могут проксировать и блокировать веб-запросы.

Оба аддона Mozilla удалила, а ещё временно приостановила приём новых расширений, которые каким-либо образом используют Proxy API. Говорят, продолжат принимать, как только выпустят к API фиксы.

Разработчики расширений, использующих Proxy API, теперь должны прописывать ключ strict_min_version в файлах manifest.json, предназначенных для огнелисов 91.1 версии и младше.

@tomhunter Открыть/Комментировать

2021-10-26 13:52:56 #OSINT #AD Дописал статью про работу с рекламными идентификаторами в рамках OSINT-исследований на Хабр... прошу прощения за задержку, очень много работы навалилось.

@tomhunter Открыть/Комментировать

2021-10-26 09:39:41 #news Вымогатель Conti поменял политику работы с жертвами. Теперь, если жертва отказывается платить выкуп или не ведет переговоры с группировкой, то в блоге Conti вывешивают предложение купить доступ к ее похищенным данным. Креативненько...

@tomhunter Открыть/Комментировать

2021-10-25 21:23:52 #news Исследователи заметили новую волну фрода под Андроид, получившую название UltimaSMS.

Кампания задействовала более 150 приложений, которые в сумме набрали 10.5 миллионов загрузок. Приложения самые разные, от игр и сканеров QR-кодов до кастомных клавиатур.

Схема древняя — пользователей подписывали на премиум без их ведома. Запросив и получив нужные права, приложение на стартовом экране просило ещё и почту с телефоном. Получив и эти данные, мошенники сразу оформляли подписку на смс-сервис за $40 в месяц, с которых получали свои партнёрские процентики.

Гугл, к счастью, уже прикрыл лавочку, по пострадавшим это вряд ли поможет. Сносить все эти приложения пришлось долго — одну голову отрубаешь, ещё две вырастает.

А жертвам нужно отдельно связаться со своим оператором, чтобы отменить подписку.

@tomhunter Открыть/Комментировать

2021-10-25 18:18:40 #news Ну хоть кто-то учится на ошибках индустрии: блокчейн Polygon выплатил $2 миллиона ИБ-исследователю, который обнаружил в системе баг двойной траты.

Уязвимость в цепочке обработки транзакции позволяла умножить отправляемую сумму в 233 раза. То есть, с некоторыми нехитрыми заморочками получить эдакую чудо-машину, в которую кладёшь $4500 и достаёшь миллион.

Технические детали исследователь описал в своём блоге. Как он предполагает, корень проблемы в том, что сеть использует местами куски чужого кода, не до конца понимая, что именно они делают и что за гомункул получается на выходе.

@tomhunter Открыть/Комментировать