Баг в браузерном Trust Wallet: как украли более $7 000 000 и что делать пользователям

💰 Хакеры эксплуатировали уязвимость в браузерном расширении Trust Wallet версии 2.68 и украли более $7 000 000 в криптоактивах. Инцидент затронул только расширение 2.68, мобильное приложение и другие версии считаются безопасными.

⁉️ Что случилось
⏺ Подтверждён инцидент безопасности именно в версии 2.68 браузерного расширения Trust Wallet (Chrome и совместимые браузеры).
⏺ Оценка ущерба по разным источникам — от $6 до более $7 млн, средства массово выводились со скомпрометированных кошельков.

❕Что делать пользователям
⏺ Проверить версию расширения и немедленно отключить/удалить 2.68.
⏺ Установить/обновить расширение до версии 2.69 и выше, не используя старую.
⏺ Перенести средства с затронутых кошельков в новый кошелёк или в мобильное приложение Trust Wallet.

💬 Ключевые выводы по безопасности
⏺ Браузерные кошельки уязвимы к ошибкам обновлений и атакам на цепочку поставки.
⏺ Крупные суммы лучше хранить на аппаратных кошельках или в изолированных хранилищах, а расширения использовать только для рабочих балансов.

#взлом #exploit #news #crypto

➡ Все наши каналы 💬Все наши чаты ⚡ Для связи с менеджером

Маленькая плашка рассказывающая что такое XSS и какие виды XSS атаки существуют.

#XSS #Picture

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

🦀 Malchela

Модульный набор инструментов для анализа YARA и вредоносного ПО, написанный на Rust. Предназначен для специалистов по цифровой криминалистике, исследователей вредоносного ПО и специалистов по анализу угроз. Он предоставляет как интерфейс командной строки (CLI), так и графический интерфейс пользователя (GUI) для запуска инструментов анализа в единой среде.

🦀 Основные инструменты
🔸Combine YARA - объединяет все файлы .yara/.yar в директории в один файл правил;
🔸Extract Samples - рекурсивно извлекает защищённые паролем архивы с вредоносным ПО (ZIP/RAR), используя распространённые пароли;
🔸File Analyzer - анализирует файл: вычисляет хэши, энтропию, структуру PE, нечёткие хэши, совпадения YARA, проверяет по базе NSRL и статус на VirusTotal;
🔸File Miner - cканирует папку на предмет несоответствия типов файлов и извлекает метаданные;
🔸Hash It - генерирует хэши MD5, SHA1 и SHA256 для одного файла;
🔸Hash Check - проверяет, существует ли указанный хэш в предоставленном файле с набором хэшей;
🔸mStrings - извлекает строки из файла, применяет регулярные выражения и правила Sigma, сопоставляет с MITRE ATT&CK, выявляет индикаторы компрометации (IOC) и включает встроенный поиск техник MITRE;
🔸mzhash - рекурсивно вычисляет MD5-хэши файлов с заголовком MZ;
🔸mzcount - рекурсивно подсчитывает файлы по форматам (MZ, ZIP, PDF и др.) с помощью анализа заголовков/YARA;
🔸nsrlquery - запрашивает MD5-хэш в базе данных NSRL для определения, является ли файл доверенным;
🔸strings_to_yara - запрашивает метаданные и список строк для генерации YARA-правила;
🔸xmzhash - рекурсивно вычисляет хэши файлов, которые не являются MZ, ZIP или PDF.

Для поиска хэша вредоносного ПО требуется ключ API для Virus Total и Malware Bazaar. Если ключ не указан, MalChela предложит вам создать его при первом запуске функции поиска вредоносного ПО.

🔴 Установка
Для установки инструмента для начала потребуется установка зависимостей и rust. Далее клонируем репозиторий и собираем.

sudo apt install openssl libssl-dev clang yara libyara-dev pkg-config build-essential libglib2.0-dev libgtk-3-dev
 curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
git clone https://github.com/dwmetz/MalChela.git
cd MalChela
chmod +x release.sh
./release.sh

❗️Рекомендуется собирать и запускать MalChela в режиме --release, чтобы обеспечить оптимальную работу графического интерфейса и вспомогательных инструментов.

🔧 Добавление пользовательских инструментов
Можно расширить возможности MalChela, отредактировав файл tools.yaml и добавив в графический интерфейс сторонние или пользовательские инструменты. Эта гибкая конфигурация поддерживает двоичные файлы, скрипты на Python и программы на Rust.

В каждой записи указывается название инструмента, категория, тип выполнения, способ передачи входных данных (файл, папка или хэш) и любые необязательные аргументы, например:


#Malchela #DFIR #CyberSecurity

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Как работает сеть NAT, полезное изображения для общего понимания принципа

#NAT #Сети

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

⚽️ BloodSOCer

Инструмент автоматизации на Python, который собирает данные об угрозах из нескольких источников (Mitre ATT&CK, правила Sigma, Atomic Red Team) и создает файлы JSON для загрузки в BloodHound в формате OpenGraph.

BloodSOCer также может загружать файлы в BloodHound и устанавливать значки для пользовательских объектов, если в конфигурации указаны токены API. Затем аналитики по безопасности могут визуализировать данные под любым углом. Для начала работы предлагается несколько запросов Cypher.

Идея этого проекта заключается в том, чтобы помочь SOC-отделам составить карту охвата фреймворка Mitre ATT&CK и быстро определить «слепые зоны» во время реагирования на инциденты.

Характеристики
🔵SigmaHound - загружает и обрабатывает правила Sigma;
🔵ARTHound - загружает и обрабатывает тесты Atomic Red Team (ART);
🔵Define Icons - настройка пользовательских иконок BloodHound для злоумышленников и техник;
🔵Saved Queries - импортирует встроенные Cypher-запросы в BloodHound через UL-Cyphers.py или флаг --setup;
🔵Batch Upload - загружает сгенерированные JSON-графы в BloodHound с автоматическим запуском импорта;
🔵Upload Only - для случаев, когда файлы уже есть, но нужно импортировать в новый экземпляр BloodHound или после очистки базы данных;
🔵Clear Database - сбрасывает экземпляр BloodHound через API перед новым импортом;
🔵Setup Helper - один флаг для одновременного обновления иконок и импорта; сохранённых запросов;
🔵One Playbook linked to 2 TTP - демонстрационный пример того, как выглядит привязка ваших IR-плейбуков к ATT&CK после загрузки данных;
🔵CLI Interface - простые аргументы командной строки для запуска отдельных или всех компонентов.

⚡️Установка

В apikey необходимо указать ключ API BloodHound, в apiid — идентификатор API BloodHound.

git clone https://github.com/yourusername/BloodSOCer.git
cd BloodSOCer
pip3 install -r requirements.txt
apikey = "your-api-key-here"
apiid = "your-api-id-here"

⚙️Использование
Запуск отдельных источников событий.

python3 BloodSOCer.py --mitre, -m
python3 BloodSOCer.py --sigma, -s
python3 BloodSOCer.py --art, -r

Комбинация нескольких операций.

python3 BloodSOCer.py --mitre --sigma --define-icons

Удалить все данные из базы.

python3 BloodSOCer.py --clear-db

#BloodSOCer #SOC #ThreatIntelligence #Python

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

📖Друзья, напоминаем, на каких курсах начинается обучение в январе!

☃️Новый год — отличное время, чтобы выбрать для себя новое направление, реализовать давние планы и вложиться в своё развитие. Пусть праздничное настроение вдохновит вас на важные решения!

Старт 19 января:
✨Курс «Основы программирования на Python» — овладеем самым попуярным ЯП за 2 месяца.
Старт 22 января:
✨Курс «Тестирование Веб-приложений на проникновение (WAPT)» — отработаем полный цикл тестирования: от разведки до пост-эксплуатации.

Старт 26 января:
✨Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — освоите полный цикл работы: от обнаружения киберугроз до расследования инцидентов.
✨Курс «OSINT: технология боевой разведки» — освоим профессиональный поиск информации и анализ данные из открытых источников.

✏️Запишитесь у нашего менеджера @CodebyAcademyBot

Или узнайте подробности и программы курсов — на нашем 🤍 сайте

🎁 Подводим итоги года. Специалистами на основе анализа общедоступной информации об уязвимостях в базе CVE был составлен список CWE Top 25 за 2025 год. В набор данных за этот год вошли наиболее серьезные и распространенные уязвимости из 39 080 записей CVE.

CWE содержит более 900 уязвимостей, которые варьируются от абстрактных и концептуальных до конкретных, связанных с технологиями или языками. У конкретной уязвимости есть родительская уязвимость, которая является более абстрактной и может иметь собственные родительские уязвимости и так далее.

Каждый CWE на сайте cwe.mitre.org снабжен пометкой «рекомендация по использованию сопоставления», которая указывает, рекомендуется ли использовать CWE для сопоставления первопричин уязвимостей с учетом его уровня абстракции и применимости. К ним относятся «Разрешено», «Разрешено после проверки», «Не рекомендуется» и «Запрещено».

🔺 Анализ
Хотя CWE-79: Неправильная нейтрализация входных данных при создании веб-страницы («межсайтовый скриптинг») по-прежнему занимает первое место в топ-25, по сравнению с прошлогодним списком рейтинг многих позиций изменился.

Самыми заметными изменениями в списке стали:
🔺CWE-862: отсутствие авторизации, вверх на 5 позиций с #9 по #4
🔺CWE-476: разыменование нулевого указателя, вверх на 8 позиций с #21 по #13
🔺CWE-306: отсутствие аутентификации, вверх на 4 позиции с #25 по #21

Также добавились и новые участники топ 25 в этом году:
🔺CWE-120: копирование буфера без проверки размера входных данных ("Классическое переполнение буфера"), #11
🔺CWE-121: переполнение буфера на основе стека, #14
🔺CWE-122: переполнение буфера на основе кучи, #16
🔺CWE-284: неправильный контроль доступа, #19
🔺CWE-639: обход авторизации с помощью управляемого пользователем ключа, # 24
🔺CWE-770: распределение ресурсов без ограничений или регулирования, # 25

#CWE #CVE #Top25

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером