it network

2022-04-20 21:43:57 Новый инфостиллер ZingoStealer теперь раздается бесплатно

Стиллер ZingoStealer создан командой Haskers Gang, деятельность которых была замечена ещё в январе 2020 года. Изначально разработчики хотели продавать исходный код своего вредоноса за 500 долларов. Однако сейчас собираются отдать его бесплатно.

ZingoStealer — новый вредонос, появившийся в марте 2022 года. Основная его функция — это сбор учетных данных, данных браузера Chrome и Firefox, а также токенов Discord и других наборов данных. Кроме того, вредоносное ПО может использовать любые учетные данные криптовалюты, хранящиеся в расширениях браузера, от служб, включая BitApp, Coinbase, Binance и Brave. Стилер способен работать совместно с другими вредоносными программами, включая RedLine Stealer (который содержит типичные функции кражи, а также возможность собирать данные VPN-учетных записей и данные для входа, что влияет на поставщиков, включая NordVPN, OpenVPN и ProtonVPN).

Кроме того, ZingoStealer также можно использовать для развертывания майнера криптовалюты на зараженных системах. Киберпреступники могут спокойно выполнять функции майнера криптовалюты в атаках, которые крадут вычислительную мощность для добычи монет. Эти виртуальные активы отправляются в кошельки, контролируемые злоумышленниками.

Также, как бонус, команда Haskers Gang предлагает собственный шифровальщик ExoCrypt. Он может помочь хакерам уйти от детектирования антивирусными средствами. Стоит всего 3 доллара.

По словам исследователей, злоумышленники нападают преимущественно на геймеров с помощью чит-кодов, пиратского программного обеспечения. Как правило, ориентированы на русскоязычных жертв. Инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Очагом распространения служат серверы Discord, каналы на YouTube. Однако жертвами могут стать пользователи и других ресурсов.

ZingoStealer является новым. Его будущее неопределенно и нестабильно. Но тот факт, что хакеры могут использовать его бесплатно и развернуть без ограничений, делает ZingoStealer потенциально опасной угрозой. Открыть/Комментировать

2022-03-18 22:45:29 Cloudflare уже просто неприличными объёмами захватывает интернет. К вагону существующих сервисов, они теперь ещё и свой WAF добавили. Открыть/Комментировать

2022-03-17 20:48:01 TrickBot начал использовать скомпрометированные IoT-устройства в качестве прокси для C2

По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.

Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.

Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti). Открыть/Комментировать

2022-03-17 15:42:08 ​​В сети пишут, что Anonymous релизнули масштабную утечку данных компании ОМЕГА, входящей в группу Транснефть, а именно - 79 Гб почтовой переписки.

Как всегда надо проверять, но размер утечки говорит о том, что это может быть реальная информация. Открыть/Комментировать

2022-03-16 16:11:10 В Google Play Store снова нашли трояны, есть даже долгожитель, с января скрывавшийся от глаз безопасников

Аналитики компании Dr. Web в недавнем докладе отметили всплеск проникновения вредоносных приложений в Google Play Store. Вредоносы, обнаруженные во время исследования, маскируются под самый разный софт: криптовалютные кошельки, газпромовский инвестиционный софт, фоторедакторы и даже лаунчер в стиле iOS 15. Как обычно, большинство обсуждаемых приложений уже удалены из Play Store, но журналистам BleepingComputer далось найти фигурировавший в докладе Top Navigation, который был установлен более 500,000 раз.

Отзывы на подобный мусор проливают свет на некоторые используемые способы мошенничества: например, приложение Advice Photo Power за авторством некой Tsaregorotseva, загруженное более 100,000 раз, взимает $2 в неделю за отключение рекламных баннеров, но на деле меняется примерно ничего. Другие рассмотренные приложения ходят на сайты партнерских сервисов и подписывают жертву на платные услуги.

Однако наиболее серьезной угрозой были троянизированные версии неофициальных модов WhatsApp — GBWhatsApp, OBWhatsApp и WhatsApp Plus. Из обещанного дополнительного функционала в них есть поддержка арабского языка, виджеты, кастомизируемая нижняя панель, возможность скрыть статус онлайна, блокировка вызовов и автосохранение медиафайлов.

Есть и другой доп. функционал, о котором почему-то предпочитают умалчивать: например, эти моды пытаются перехватить уведомления от приложений, полученных из Google Play и Samsung Galaxy Store, используя библиотеку для сбора статистики «Flurry». OBWhatsApp также качает из сети сторонние apk, замаскированные под обновления мода и настойчиво просит пользователя установить их. Установленное таким образом приложение используется для отображения диалоговых окон с произвольным содержимым и перенаправления пользователей на вредоносные сайты. Открыть/Комментировать