Check Point выкатили отчет о новом вредоносе для Android, который маскируется под Netflix, а распространяется через WhatsApp.

Малварь носит название FlixOnline и рекламируется как мобильное приложение для просмотра контента Netflix. Однако после установки никакого кина у пользователя, само собой, не будет.

А будет вредонос, который прослушивает уведомления о входящих сообщениях WhatsApp и автоматически отвечает на них рекламой о "2-х месяцах бесплатного Netflix", содержащей подтянутую с управляющего центра полезную нагрузку либо фишинговую ссылку.

За 2 месяца, по данным Check Point, вредонос скачали всего порядка 500 пользователей. Однако вторичных зараженных через рассылки WhatsApp может быть намного больше.

Ну формально Facebook, кагбэ, правы - взлома платформы как такового не было, было использование некоторых допусков в ее механизмах.

«нет, нет, нет, ваши данные украли не через взлом наших систем, а просто через сбор информации с нашей платформы», убеждает пользователей официальное заявление Фейсбука. Как будто это имеет значение для пользователей, данные которых доступны в сети теперь бесплатно всем желающим
https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/

Скачивая обновления на свой девайс, всегда рассчитываешь на то, что производитель бережливо позаботился о устранении багов в ПО, особенно если они связаны с безопасностью и обеспечением конфиденциальности личных данных.

Также полагали и владельцы смартфонов немецкой компании GigaSet, которая ранее работала под брендами Siemens Mobile и BenQ-Siemens и была одним из крупнейших производителей мобильных телефонов в начале 2000-х годов до эры смартфонов.

В минувшую пятницу пользователи девайсов на базе Android забросали форумы поддержки Google сообщениями о сбоях работы и дистанционной установке на устройствах приложении без ведома их владельцев. Упоминалось, что телефоны превращались в своего рода «скайнет» и начинали производить различные манипуляции с браузерной рекламой, сервисом SMS и сообщений WhatsApp. Более глубокий анализ инцидентов свидетельствует о краже личной информации и компрометации пользовательских аккаунтов Facebook.

Как выяснили Gigaset хакеры получили доступ к серверу обновлений и развернули вредоносное ПО. И несмотря на доводы компании о том, что инцидент затронул не всех пользователей, а только тех, кто получил обновления прошивки с одного конкретного сервера, владельцам устройств все же следует задуматься об безопасности личных данных, хранившихся в памяти скомпрометированных устройств.

Владельцам моделей GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 и GS4 можно не переживать - им удалось избежать атаки.

Достаточно иллюстративный пример того, как под атаку на цепочку поставок попадают рядовые пользователи.

Позавчера Google опубликовали комментарии к апрельским обновлениям безопасности Android, которые вышли 1 и 5 апреля.

Оказалось, что в числе других патчем была закрыта критическая уязвимость CVE-2021-0430, благодаря которой хакер с помощью специально созданного файла может добиться выполнения кода в привилегированном процессе.

Вспоминаем про 72 часа и максимально быстро обновляемся.

Кстати, нам пришла интересная мысль назвать эти 72 часа "золотыми" по аналогии с "золотыми 4 часами" в медицине, в течение которых последствия инсульта еще обратимы.

Касательно вчерашней новости про обыски у админа ТГ-бота Глаз Бога имеем сказать следующее.

Сразу заметим, что не до конца понятно (по крайней мере мы в открытых источниках информации не нашли) кто именно из силовиков проводил обыск у предполагаемого админа канала. Судя по закрытости и оперативности - ФСБ.

Каким же последствиями это грозит. А самыми простыми - по информации, которая регулярно циркулировала, в том числе в Телеграме, стоящая за проектом Глаз Бога команда скорее всего собирала поисковую историю своих клиентов. Мы уверены в этом с вероятностью 90%.

Если ФСБ (или МВД, не принципиально) действительно хлопнули одного из админов Глаза Бога и серьезно работают по остальным членам команды, то эта поисковая история либо уже оказалась в руках правоохранителей, либо окажется там в ближайшем будущем.

Таким образом, существует весьма отличная от 0 вероятность того, что силовики смогут привязать историю пробивов к конкретным персонам - мы ведь помним, что если очень захотеть, то можно ̶в̶ ̶к̶о̶с̶м̶о̶с̶ ̶п̶о̶л̶е̶т̶е̶т̶ь̶ выяснить конечного абонента ТГ (Футляр от Виолончели, не?).

Конечно это не коснется админа Васи из Бутово, который пробивал телефонный номер телки из бара, админ Вася никому не интересен. А вот более значимые личности вполне могут быть подсвечены.

С учетом того, что, по слухам, Глазом Бога пользовались для пробива чуть больше чем все спецслужбы стран ближнего зарубежья, а возможно и не только ближнего, а также службы безопасности крупных корпоративных структур, количество вибрирующих людей, полагаем, зашкаливает (честно говоря, мы допускаем, что история с пробивными ботами вообще началась из-за "навальновского" разоблачения).

Мораль? А она простая - нехрен пользоваться анонимными пробивными ТГ-ботами.

Twitter вёл переговоры о покупке Clubhouse

Сумма сделки могла составить около $4 млрд.

По данным Bloomberg, переговоры на данный момент не ведутся. Причина их остановки пока неизвестна.

К сожалению, ни одна из компаний никак не комментирует возможную сделку.

Напомним, что в конце прошлого года Twitter запустила аналог Clubhouse — Spaces, который сейчас находится на стадии тестирования.

Также, по словам издания, Clubhouse ведёт переговоры об инвестициях, оценка которых тоже может вырасти до $4 млрд.

Cisco устранила несколько серьезных уязвимостей в SD-WAN, одна из которых критическая.

CVE-2021-1479 в панели управления vManage, получившая оценку 9,8 из 10 по CVSS, позволяет злоумышленнику, не прошедшему аутентификацию, с помощью переполнения буфера удаленно выполнить код (RCE) с рутовыми правами.

И хотя Cisco утверждает, что в дикой природе эксплуатация уязвимости не зафиксирована, мы же помним про золотые 72 часа, которые в среднем требуются хакерам на реинжиниринг патча и подготовку соответствующего эксплойта.

Переживаем за Лукацкого...

​​Второй день мероприятия Pwn2Own 2021, проводимого в рамках программы Zero Day Initiative от японской инфосек компании Trend Micro (результаты первого дня - здесь):

- команда Jack Dates, которая вчера накорячила Safari и добилась выполнения кода ядре macOS, сегодня показала комбинацию эксплойтов трех уязвимостей, благодаря которой смогла спастись из песочницы Parallels Desktop и добиться выполнения кода в хостовой ОС;
- два европейских исследователя продемонстрировали эксплойт для Chrome и Edge, благодаря которому добились удаленного выполнения кода (RCE);
- эксплойт трех ошибок, влекущий RCE в ZOOM;
- еще один эксплойт для Parallels Desktop, позволяющий добиться выполнения кода в хостовой ОС (правда похоже, что в обоих случаях гостевая ОС использовалась не удаленно, плюс непонятно что там с необходимыми привилегиями);
- куча всего поменьше.

Всего за два дня исследователям выплачены почти 1,1 млн. долларов за успешно продемонстрированные эксплойты. Ждем завершающего третьего дня.

Forbes рассказывает про оригинальный НИОКР американского исследовательского центра The MITRE Corp., разрабатывающего различные технологии в интересах американского правительства, в том числе военного характера (и для кибервойн тоже).

Финансирование MITRE внушительное - 2 млрд. долларов в год. Имея такое серьезное денежное обеспечение исследователи могут изучать не вполне традиционные вещи, что они и сделали.

MITRE на основе машинного обучения и больших данных разработали технологию определения имени человека по его лицу. Основой для исследования послужила работа израильских ученых из Еврейского университета в Иерусалиме, которые в серии экспериментов обнаружили, что вероятность того, что человек угадает имя другого человека значительно выше чем должна была бы быть статистически и сделали вывод, что имя, являясь первой и основной социальной меткой личности, каким-то образом влияет на ее внешность.

Сотрудники MITRE обучили нейросеть на базе из 13 тыс. изображений человеческих лиц и добились точности угадывания имени от 72 до 80,5%. Логично предположить, что если бы база была больше, то и точность угадывания была бы выше. Более того MITRE предполагает использование этой технологии и в обратную сторону - выбор наиболее соответствующего имени изображения из представленного набора.

Можно было бы пошутить, но мы не будем. Потому что это именно то, что называется "выявлением скрытых закономерностей" и что должно стать новым философским камнем в эпоху Big Data. И это может существенно улучшить уровень жизни на всем земном шаре, поскольку может быть применено буквально во всех сферах человеческой жизни - от медицины до открытия новых физических принципов.

Но это в возможном ближайшем будущем. А пока Big Data используется для оценки проходимости торговых точек в интересах маркетологов (чтобы их так-разэтак).

Интересное интервью на канале Russian OSINT с польским исследователем Войцехом, автором OSINT-инструмента Kamerka-GUI.

Пересказывать не будем, ознакомьтесь сами, весьма познавательно. Основная обсуждаемая тема - уязвимость промышленных систем управления (ICS) и объектов критической информационной инфраструктуры в мире вообще и на территории США и России в частности.

Russian OSINT, кстати говоря, мы уже упоминали, когда на этом канале выходило интервью с Unknown из группы, стоящей за ransomware REvil.

Необычное происшествие в авиасекторе Британии, которое случилось летом прошлого года.

21 июля 2020 года при подготовке к вылету Боинга 737 из аэропорта Бирмингема (Великобритания) в Пальма-де-Майорка (Испания) экипаж обнаружил расхождение веса в полетном плане с грузовой ведомостью более чем на 1,5 тонны.

Оказалось, что апгрейд IT-системы аэропорта, который произошел во время локдауна, связанного с первой волной COVID-19, привел к ошибке из-за которой женщина, указанная в полетной ведомости как "Мисс", учитывалась системой как ребенок. Соответственно вместо среднего веса в 69 кг считался вес в 35 кг.

В течение нескольких дней небольшое расхождение было незаметно, пока 21 июля таких женщин на борту не оказалось 38 человек. Соответственно расхождение составило 1244 кг (не спрашивайте нас почему 1244, ибо 38х(69-35)=1292, так в оригинале написано). Ошибку заметили и исправили, начав писать "Мс." вместо "Мисс".

Забавный случай, если бы не одно но - в 2003 году в США похожая ошибка в расчете веса находящихся на борту пассажиров и багажа рейса 5481 привела к неправильной центровке самолета и, как следствие, к катастрофе на взлете, в ходе которой погибли все 21 человек, летевшие этим рейсом.

ESET разместили отчет о новом бэкдоре Vyveva, который северокорейские хакеры из APT Lazarus использовали в ходе атаки на южноафриканские компании в сфере грузоперевозок.

Вредонос состоит из нескольких модулей, не все из которыъ исследователям удалось найти - дроппер, к примеру. Основной модуль для связи с C2 использует Tor. Бэкдор имеет основной функционал RAT по сбору и эксфильтрации информации и заточен под кибершпионаж.

Данные телеметрии ESET свидетельствуют о его применении как минимум с декабря 2018 года, однако первоначальный вектор атаки остался неизвестен.

Анализ Vyveva указывает на его схожесть со более старыми вредоносами Lazarus, например с NukeSped aka Manuscrypt. Это, а также ряд совпадений в техниках, к примеру поддельные TLS-соединения, свидетельствуют о принадлежности малвари северокорейским хакерам.

​​Неприятные новости для пользователей Android: второй после Google Play Store магазин приложений APKPure был скомпрометирован вредоносным ПО. Apkpure.com является одной из самых популярных платформ сторонних игр и каталогов программного обеспечения для ОС Android.

В конце прошлой недели стало известно, что версия 3.17.18 приложения содержала копию трояна Triada. По функциональности встроенный код реализует стандартный для данного типа угроз функционал: от отображения и нажатия на рекламу до подписки на платные подписки и загрузки других вредоносных программ.

Пролить свет на обстоятельства инцидента и узнать сколько из владельцев Android-смартфонов обновились до версии 3.17.18 и заразились вредоносным ПО специалистам так и не удалось, и вряд ли удастся.

Рассматриваются две версии случившегося: троян был намеренно внедрен инсайдерами или произошел взлом и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений.

Учитывая, что компания официально отказалась от комментариев, заражение является повторением инцидента с CamScanner, когда разработчик внедрил новый рекламный SDK из непроверенного источника.

В любом случае мы рекомендуем пользователям клиента APKPure накатить 3.17.19, а владельцам старых девайсов, не поддерживающих обновлений - поскорее обзавестись «обновками».

Завершился Pwn2Own 2021, проводимый в рамках программы Zero Day Initiative от японской инфосек компании Trend Micro (результаты первого дня - здесь, второго - здесь).

Призовой фонд составил рекордные 1 210 000 долларов США за демонстрацию эксплойтов в течение трех дней. Соревнование закончилось ничьей между DEVCORE, OV и Дэаном Кеупером и Тийсом Алкемаде из Computest, каждый из которых заработал по 200 000 долларов и 20 очков Master of Pwn.

Чем запомнился Pwn2Own 2021:

- выполнение кода в ядре macOS путем эксплуатации целочисленного переполнения и записи за пределы границ в Apple Safari;
- обход аутентификации и повышение привилегий в многострадальном Microsoft Exchange;
- использование "пары багов" для компрометации Microsoft Teams и удаленно выполненный код;
- локальное повышение привилегий в Windows 10 и Ubuntu;
- эксплойт для Chrome и Edge, благодаря которому был удаленно выполнен код (RCE);
- эксплойт трех ошибок, влекущий RCE в ZOOM;
- эксплойт для Parallels Desktop, позволяющий добиться выполнения кода в хостовой ОС;
⁃ использование ошибки повреждения памяти для успешного выполнения кода в операционной системе хоста из Parallels Desktop;
⁃ первая женщина, выигравшая Pwn2Own после обнаружения ошибки в программном обеспечении виртуализации Parallels;
⁃ абсолютно невредимая репутация и Tesla Model 3 Илона Маска, за которую так никто и не стал заморачиваться.

Ждем волны внеочередных апдейтов от пострадавших производителей, а заодно и волны атак с использованием вновь обнаруженных уязвимостей. У спонсоров есть 90 дней, чтобы исправить ошибки, прежде чем они будут опубликованы на портале Zero Day Initiative.

«Большой брат следит за тобой» и будет продолжать это делать и дальше. «Под шумок» борьбы за анонимный Интернет и конфиденциальность IT-гигант Google уже придумал замену трекерам, которые отслеживают поведение пользователей в сети с помощью сторонних файлов cookie.

Буквально на днях Google объявил о запуске «пробной версии» Chrome для тестирования новой экспериментальной технологии слежения Federated Learning of Cohorts (FLoC), над которой они трудились еще с 2019 года и посвятили ей целый ресурс privacysandbox.com.

FLoC представляет собой новый подход к таргетинговой рекламе на основе изучения интересов групп пользователей - «когорт». Встроенный в браузер FLoC следит за историей просмотров и профилирует пользователя в группу с другими «похожими» юзерами по всему миру - «когорту» (выделено уже более 33 000 поведенческих групп), присваивая им единый идентификатор FLoC ID, который фиксирует консолидированную значимую информацию об их привычках и интересах. В дальнейшем привязка пользователей к определенным FLoC ID позволяет рекламодатели отображать релевантную рекламу большим группам.

Все бы ничего, но дело в том, что согласия на эксперименты у пользователей Chrome никто не спрашивал и спрашивать не намерен. Пробная версия Chrome origin для FLoC была уже развернута среди миллионов случайных пользователей, которые даже не подозревают об этом. Лишь в апреле разработчик намерен представить доступ к управлению функцией FLoC в настройках Chrome.

Вопреки мнению экспертов о наличии у FLoC собственных проблем с конфиденциальностью, в том числе потенциально связанных с дискриминацией и хищническим таргетингом, в Google убеждены, что бесплатный и открытый Интернет не может существовать без таких альтернатив «сторонним cookie».

И даже не возражайте, пока у вас не появится собственный google.com считайте, что IT'S NOTHING PERSONAL, JUST BUSINESS.

Специализирующаяся на вопросах корпоративной безопасности Интернета вещей компания Forescout Research Labs совместно с JSOF Research в рамках программы Project Memoria завершили крупнейшее исследование безопасности стека TCP/IP и представили инфосек-сообществу шокирующие результаты.

Специалисты обнаружили новый набор уязвимостей NAME:WRECK, которые затрагивают сотни миллионов интеллектуальных и промышленных устройств по всему миру.

Несмотря на то, что NAME:WRECK - это пятый набор вскрытых уязвимостей в стеке TCP/IP за последние три года после Ripple 20, URGENT/11, NUMBER:JACK и Amnesia:33, принципиальным отличием стало изучение механизмов реализации функции сжатия DNS-сообщений, позволяющая DNS-серверам сократить размер DNS-ответов, избегая дублирования одних и тех же доменных имен. По итогу Forescout удалось обнаружить в общей сложности девять уязвимостей, воздействующих на семь из 15 стеков TCP/IP.

К моменту публикации почти все разработчики исправили баги и выпустили исправления (кроме IPNet).

Однако до happy end ещё далеко: проблема оказалась куда глубже и серьезнее.

Прежде всего, уйдет много времени пока производители смогут имплементировать исправления в обновленные прошивки для железа, которые, в свою очередь, необходимо будет инсталлировать в устройства. И этот этап будет самым сложным, а в некоторых случаях - никогда не реализуется: значительное число устройств останется уязвимым для атак вплоть до окончания срока эксплуатации.

Но главная проблема, которой благодаря Forescout озадачено сообщество, теперь лежит в совсем в другой плоскости и ее решение потребует от разработчиков принципиально пересмотреть методологию работы с DNS.

Проблема общая, а под ударом вновь Google, продукты которой базируются на компонентах с открытым исходным кодом.

Индийский спец Раджвардхан Агавал сегодня в Twitter сообщил о публикации кода PoC-эксплойта для обнаруженной в ходе Pwn2Own уязвимости, затрагивающей Chromium-браузеры (Chrome, Edge, Opera, Brave и др.). Изучая исходный код JavaScript-движка V8 он нашел патчи для этой уязвимости, что и позволило ему воссоздать эксплоит.

Хотя разработчики Chromium уже исправили ошибку в V8, патчи еще не добрались до новейших версий Chromium-браузеров, которые по-прежнему уязвимы для атак. Ожидается, что Google выпустит Chrome 90 уже завтра, однако неизвестно, будет ли эта версия включать нужные патчи.

Ох уж эти, инженеры по безопасности Chrome Security, теперь пятилетку за год выполнять будут: совсем недавно после продолжающихся нападок со стороны Exodus Intelligence с пробелами в патчах они объявили о сокращении вдвое срока (до 15 дней) и заявили о грандиозных планах выпускать критические исправления безопасности Chrome чуть ли не еженедельно.

Ну что ж, Google, теперь все карты в ваших руках.

И все же мы прикинули реальный масштаб угрозы, описанной в нашем материале о результатах исследования NAME:WRECK от компании Forescout.

Упомянутые в NAME:WRECK уязвимости могут использоваться для выполнения атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода или отключения устройств.

Оказалось, что идентифицированные в продуктах DNS FreeBSD, Nucleus NET, IPnet и NetX уязвимости могут затронуть примерно 10 миллиардов устройств:

- более 3 миллиардов устройств работают на Nucleus RTOS с использованием стека Nucleus TCP/IP;
- ThreadX RTOS только в 2017 году развернула 6,2 миллиарда устройств со стеком NetX;
- FreeBSD работает на устройствах в миллионах сетей.

Но главное - не количество. Только представьте последствия возможных атак:
- стек Nucleus NET TCP/IP развернут на объектах здравоохранения, в IT и критически важных системах;
- FreeBSD работает на высокопроизводительных серверах и является основой многих известных проектов с открытым исходным кодом;
- NetX используется в том числе в устройствах медицинского назначения, автомобильных решениях и даже в космической отрасли, например, использован в орбитальном аппарате NASA Mars Reconnaissance Orbiter и др.