• Если сейчас вы задумываетесь, на сколько гигабайт купить карточку для фотоаппарата, то раньше люди задумывались над выбором из дискет, память которой составляла от 1 до 2 мб! На видео можно наблюдать цифровую фотокамеру Sony Digital Mavica с 0,3-мегапиксельной матрицей и дискетным приводом. Она была выпущена в 1997 году и на тот момент была весьма популярна.

• Размер файла в стандартном режиме составлял от 40 до 100 килобайт, и на одну дискету поместится от 10 до 20 фотографий. Но это стандартный режим, а есть еще качественный: фотокамера пишет снимок в формате BMP. В этом режиме фотокамера пишет снимок на дискету примерно минуту, а размер фотографии - около 900 килобайт, а значит на стандартную дискету помещается только один - два кадра.

• Представьте, что вы отправляетесь в путешествие. Тут вам нужно решить, сколько дискет вам понадобится =)) Вот такое раньше было время...

• Кстати, фотоаппарат на видео в 1999 году стоил около 800 баксов. Это очень большие деньги в то время. Да что уж говорить, и сейчас это не мало.

#Разное

Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.

StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.

Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.

С того времени разработчики StealC внесли множество улучшений в работу сервиса.

С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.

Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.

Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.

Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.

В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.

В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).

Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.

Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.

При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.

CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.

Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.

Но, как обычно, будем посмотреть.

Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.

Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.

Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.

Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.

Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.

Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.

Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.

Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.

Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.

DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.

Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.

Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.

RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.

По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.

ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).

Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.

В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.

• Все знают, что трансформаторы гудят. Но не все знают, почему...

#Разное #Юмор