T.Hunter

2022-06-10 16:11:55 #news Злоумышленники используют оригинальный метод продажи декриптора. Покупать его нужно в игровом магазине Roblox за местную валюту.

В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.

Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.

@tomhunter Открыть/Комментировать

2022-06-10 15:41:10 #news Агрегаторы Sabre и Travelport еженедельно сообщали спецслужбам США о перемещениях русского хакера, проходившего подозреваемым по делу сайта Cardplanet, в 2015-м году.

Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.

С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.

@tomhunter Открыть/Комментировать

2022-06-10 13:43:18 #OSINT Новая статья вышла у меня на Хабре. В ней мы поговорим о том, какую информацию можно получить с веб-ресурса для последующего использования в OSINT. Полезная информация и методики помогут определить «на глазок» благонадежность того или иного сайта. Приятного чтения!

Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter Открыть/Комментировать

2022-06-09 20:43:02 #news Взломанные версии CCleaner’a, набитые вредоносом, всплывают в топе выдачи поисковиков.

Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.

В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.

@tomhunter Открыть/Комментировать

2022-06-09 17:41:54 #news Новая малварь под Linux заражает все процессы в системе. Вместо экзешника вредонос загружается через разделяемую библиотеку, закинутую в LD_PRELOAD для повышения приоритета.

За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.

Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.

@tomhunter Открыть/Комментировать

2022-06-08 18:00:47 #news Авторы неофициального патча для Follina выкатили ещё один, исправляющий другую уязвимость нулевого дня в MSDT.

Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.

Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.

@tomhunter Открыть/Комментировать

2022-06-08 14:27:42 Всем привет! Время для нашего традиционного дайджеста самых громких событий информационной безопасности за последний месяц весны. В программе массовые утечки данных крупных компаний в России, крах криптовалюты Luna, злоключения Коста-Рики после атак Conti по следам их распада и многое другое. Добро пожаловать под кат и приятного чтения! Открыть/Комментировать

2022-06-07 19:57:16 #news За эксплойт Follina, критической уязвимости в Microsoft Office, активно взялись китайские хакеры.

По госслужащим США и Европы идёт рассылка писем с заманчивым предложением увеличить размер зарплаты на 20% уже к выходным. Подробности в приложенном файле. А в нём шпионский зловред, тянущий инфу и пароли чуть ли не со всех известных браузеров и всевозможного софта. Масштабы сбора информации как бы намекают, что за этим стоят китайцы, да и в эксплойте уязвимости они уже засветились.

Между тем патча от Мелкософта всё нет, доступны только неофициальные от 0patch, выложенные ещё первого июня. Впрочем, ждать от госструктур достаточного авантюризма для их применения не приходится. Может, хоть MSDT-протокол не поленились отключить.

@tomhunter Открыть/Комментировать

2022-06-07 14:27:08 #news Вновь к новостям из мира надвигающегося киберпанка. Про Коста-Рику все наслышаны, а теперь в городе Палермо в Италии вырубили все компьютерные системы после атаки. Почти полтора миллиона населения, между прочим.

Уже три дня отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить.

Подробности пока неизвестны, но спецы предполагают, что это рансомварь-атака, а не DDoS, обещанный пророссийской Killnet. Если злоумышленники стянули и данные, масштабы утечки могут быть серьёзными. А пока жителям города приходится сдувать пыль с факсов, чтобы связаться с госслужбами.

@tomhunter Открыть/Комментировать

2022-06-07 08:57:35 #news Специалисты отмечают рост числа фишинговых кампаний, в которых сочетаются услуги обратного туннелирования и сокращения URL-адресов. Сервисы обратного туннеля, которые чаще всего злоупотребляют, — это Ngrok, LocalhostRun и Argo от Cloudflare. Отмечается и более широкое распространение сервисов сокращения URL-адресов Bit.ly, is.gd и cutt.ly. Службы обратного туннеля защищают фишинговый сайт, обрабатывая все соединения с локальным сервером, на котором он размещен. Таким образом, любое входящее соединение разрешается службой туннеля и перенаправляется на локальный компьютер. Используя сокращатели URL-адресов, субъект угрозы маскирует имя URL-адреса, которое обычно представляет собой строку случайных символов. Таким образом, доменное имя, вызывающее подозрения, скрыто в коротком URL-адресе.

@tomhunter Открыть/Комментировать