Twitter подверглась крупнейшей в истории соцсети хакерской атаке
Социальная сеть Twitter стала жертвой масштабного хакерского взлома. Атака стала крупнейшей и наиболее опасной за всю историю существования платформы. Взломали десятки верифицированных аккаунтов, включая страницы Барака Обамы, Илона Маска, Джо Байдена, Канье Уэста, Ким Кардашьян, Джеффа Безоса и Билла Гейтса.
После взлома на захваченных аккаунтах мошенники разместили информацию о раздаче якобы двукратного количества биткоинов тем, кто пришлет криптовалюту на указанные в твитах кошельки. В результате на один из таких биткоин-кошельков перечислили криптовалюту в эквиваленте свыше $120 тысяч.
Все взломанные аккаунты уже вернули их реальным владельцам. В Twitter убеждены, что взломщики использовали методы социальной инженерии, атаковав тех сотрудников социальной сети, у которых был административный доступ к внутренним системам и инструментам.
Социальная сеть Twitter стала жертвой масштабного хакерского взлома. Атака стала крупнейшей и наиболее опасной за всю историю существования платформы. Взломали десятки верифицированных аккаунтов, включая страницы Барака Обамы, Илона Маска, Джо Байдена, Канье Уэста, Ким Кардашьян, Джеффа Безоса и Билла Гейтса.
После взлома на захваченных аккаунтах мошенники разместили информацию о раздаче якобы двукратного количества биткоинов тем, кто пришлет криптовалюту на указанные в твитах кошельки. В результате на один из таких биткоин-кошельков перечислили криптовалюту в эквиваленте свыше $120 тысяч.
Все взломанные аккаунты уже вернули их реальным владельцам. В Twitter убеждены, что взломщики использовали методы социальной инженерии, атаковав тех сотрудников социальной сети, у которых был административный доступ к внутренним системам и инструментам.
Выяснилось, что мобильный Firefox забывает выключать камеру при переключении из приложения и блокировке смартфона
Стало известно о том, что компания Mozilla работает над исправлением ошибки в своём браузере Firefox для платформы Android, из-за которой камера устройства не выключается даже в тех случаях, когда пользователь переводит обозреватель в фоновый режим или блокирует экран. Согласно имеющимся данным, исправление появится в октябре этого года.
Упомянутая ошибка была обнаружена сотрудником платформы Appear TV. Он сообщил о ней в Mozilla ещё в июле прошлого года, но до сих пор она не была исправлена. Проблема возникает в случаях, когда пользователь запускает стрим через браузер, не устанавливая при этом специальных приложений из соображений конфиденциальности. Многие пользователи предпочитают вести трансляции непосредственно через браузер, поскольку он явно предупреждает пользователей в случаях, когда тот или иной ресурс пытается получить доступ к камере или микрофону, и не собирает никаких дополнительных данных. Но как оказалось, включённая через Firefox камера продолжает работать и передавать видеопоток не только после того, как обозреватель переводится в фоновый режим, но и в случае блокировки экрана.
Представитель пресс-службы Mozilla подтвердил наличие проблемы, добавив, что после её устранения Firefox будет лучше обеспечивать конфиденциальность пользовательских данных. Он также отметил, что в настоящее время ведётся разработка патча, который должен стать общедоступным в октябре этого года.
«Как и в случае с приложениями для проведения видеоконференций, мы уведомляем пользователей, когда открытый в Firefox сайт получает доступ к камере или микрофону. Исправление направлено на то, чтобы после блокировки экрана устройство переходило в режим «только аудио», — сказал представитель Mozilla.
Стало известно о том, что компания Mozilla работает над исправлением ошибки в своём браузере Firefox для платформы Android, из-за которой камера устройства не выключается даже в тех случаях, когда пользователь переводит обозреватель в фоновый режим или блокирует экран. Согласно имеющимся данным, исправление появится в октябре этого года.
Упомянутая ошибка была обнаружена сотрудником платформы Appear TV. Он сообщил о ней в Mozilla ещё в июле прошлого года, но до сих пор она не была исправлена. Проблема возникает в случаях, когда пользователь запускает стрим через браузер, не устанавливая при этом специальных приложений из соображений конфиденциальности. Многие пользователи предпочитают вести трансляции непосредственно через браузер, поскольку он явно предупреждает пользователей в случаях, когда тот или иной ресурс пытается получить доступ к камере или микрофону, и не собирает никаких дополнительных данных. Но как оказалось, включённая через Firefox камера продолжает работать и передавать видеопоток не только после того, как обозреватель переводится в фоновый режим, но и в случае блокировки экрана.
Представитель пресс-службы Mozilla подтвердил наличие проблемы, добавив, что после её устранения Firefox будет лучше обеспечивать конфиденциальность пользовательских данных. Он также отметил, что в настоящее время ведётся разработка патча, который должен стать общедоступным в октябре этого года.
«Как и в случае с приложениями для проведения видеоконференций, мы уведомляем пользователей, когда открытый в Firefox сайт получает доступ к камере или микрофону. Исправление направлено на то, чтобы после блокировки экрана устройство переходило в режим «только аудио», — сказал представитель Mozilla.
Найдена уязвимость в быстрой зарядке, через которую можно удалённо сжечь миллионы устройств
Технологии быстрой зарядки мобильных устройств прогрессируют всё стремительнее: недавно сразу несколько компаний анонсировали решения мощностью 100–125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Однако, как оказалось, в руках хакеров быстрая зарядка может стать настоящим физическим оружием.
Эксперты по кибербезопасности из Tencent Security Xuanwu Lab опубликовали отчёт, согласно которому злоумышленники могут получить контроль над зарядным устройством значительной части гаджетов с быстрой зарядкой. По самым скромным оценкам, число устройств с такой уязвимостью достигает сотен миллионов, и всё, что получает энергию по USB, теперь может стать жертвой атаки. Данное явление они назвали BadPower («плохая энергия» в дословном переводе с английского). В Tencent считают, что BadPower может стать самой крупной по своему масштабу атакой из цифрового мира на физический.
Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведёт к выходу оборудования из строя, в худшем — к возгоранию и даже нанесению вреда здоровью находящихся рядом людей.
Возгорание чипа в результате атаки BadPower
Метод взлома зарядного устройства может быть как физическим, то есть с непосредственным доступом к зарядному устройству при помощи специального прибора, так и удалённым — через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причём нет никакой разницы, о какой технологии быстрой зарядки идёт речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт, или хотя бы надёжно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60 % применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт.
Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства. Обычным же пользователям рекомендуется лишний раз не одалживать «зарядку» от своего смартфона, планшета или ноутбука.
На фото: Возгорание чипа в результате атаки BadPower
Технологии быстрой зарядки мобильных устройств прогрессируют всё стремительнее: недавно сразу несколько компаний анонсировали решения мощностью 100–125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Однако, как оказалось, в руках хакеров быстрая зарядка может стать настоящим физическим оружием.
Эксперты по кибербезопасности из Tencent Security Xuanwu Lab опубликовали отчёт, согласно которому злоумышленники могут получить контроль над зарядным устройством значительной части гаджетов с быстрой зарядкой. По самым скромным оценкам, число устройств с такой уязвимостью достигает сотен миллионов, и всё, что получает энергию по USB, теперь может стать жертвой атаки. Данное явление они назвали BadPower («плохая энергия» в дословном переводе с английского). В Tencent считают, что BadPower может стать самой крупной по своему масштабу атакой из цифрового мира на физический.
Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведёт к выходу оборудования из строя, в худшем — к возгоранию и даже нанесению вреда здоровью находящихся рядом людей.
Возгорание чипа в результате атаки BadPower
Метод взлома зарядного устройства может быть как физическим, то есть с непосредственным доступом к зарядному устройству при помощи специального прибора, так и удалённым — через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причём нет никакой разницы, о какой технологии быстрой зарядки идёт речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт, или хотя бы надёжно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60 % применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт.
Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства. Обычным же пользователям рекомендуется лишний раз не одалживать «зарядку» от своего смартфона, планшета или ноутбука.
На фото: Возгорание чипа в результате атаки BadPower
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.12, в котором отмечено 14 исправлений. Одновременно предложены обновления 6.0.24 и 5.2.44.
Основные изменения в выпуске 6.1.12:
-В дополнениях для гостевых систем добавлен экспериментальный вывод графики через GLX;
-В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) добавлен новый экспериментальный тип сетевых подключений, позволяющих локальной VM действовать так, будто она выполняется в облаке;
-В API улучшено управление ресурсами гостевой системы;
-Решены проблемы с пиктограммой обратного поиска в интерфейсе просмотра логов;
-Улучшена поддержка эмуляции контроллера BusLogic;
-В реализации последовательного порта устранена регрессия в обработке данных в режиме FIFO;
-В VBoxManage решены проблемы с разбором опций команды "snapshot edit" и устранён крах при передаче некорректного ввода команде 'VBoxManage internalcommands repairhd';
-В 3D-компонентах из дополнений для гостевых систем решены проблемы с освобождением объектов текстур, приводившие к крахам гостевых систем;
-Решена проблема с упущением на стороне хоста операции записи в файл в совместном каталоге, для которого используется mmap на системах с ядрами Linux с 4.10.0 по 4.11.x;
-Решена проблема с драйвером совместного доступа к каталогам, в редких случаях приводившая к выводу ошибки на 32-разрядных системах Windows при выполнении операции сброса буферов записи на диск для файлов, отражённых в оперативную память;
-Расширены возможности изменения размера экрана для виртуального графического адаптера VMSVGA;
-Решена проблема с определением ISO-образа с дополнениями для гостевых систем.
Дополнение: В новых версиях также устранено 25 уязвимостей, явно не упомянутых в списке изменений.
А вы пользуетесь VirtualBox? Знаете что это такое?
Основные изменения в выпуске 6.1.12:
-В дополнениях для гостевых систем добавлен экспериментальный вывод графики через GLX;
-В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) добавлен новый экспериментальный тип сетевых подключений, позволяющих локальной VM действовать так, будто она выполняется в облаке;
-В API улучшено управление ресурсами гостевой системы;
-Решены проблемы с пиктограммой обратного поиска в интерфейсе просмотра логов;
-Улучшена поддержка эмуляции контроллера BusLogic;
-В реализации последовательного порта устранена регрессия в обработке данных в режиме FIFO;
-В VBoxManage решены проблемы с разбором опций команды "snapshot edit" и устранён крах при передаче некорректного ввода команде 'VBoxManage internalcommands repairhd';
-В 3D-компонентах из дополнений для гостевых систем решены проблемы с освобождением объектов текстур, приводившие к крахам гостевых систем;
-Решена проблема с упущением на стороне хоста операции записи в файл в совместном каталоге, для которого используется mmap на системах с ядрами Linux с 4.10.0 по 4.11.x;
-Решена проблема с драйвером совместного доступа к каталогам, в редких случаях приводившая к выводу ошибки на 32-разрядных системах Windows при выполнении операции сброса буферов записи на диск для файлов, отражённых в оперативную память;
-Расширены возможности изменения размера экрана для виртуального графического адаптера VMSVGA;
-Решена проблема с определением ISO-образа с дополнениями для гостевых систем.
Дополнение: В новых версиях также устранено 25 уязвимостей, явно не упомянутых в списке изменений.
А вы пользуетесь VirtualBox? Знаете что это такое?
Сотрудники Amazon были уволены из-за «слива» email-адресов пользователей
Журналисты Vice Motherboard обратили внимание, что Amazon предупреждает некоторых клиентов об утечке данных, из-за которой в итоге были уволены несколько сотрудников.
В распоряжении издания оказать копия письма, которое Amazon в последние дни рассылает пострадавшим. Документ гласит, что неназваный сотрудник компании передал третьей стороне адреса электронной почты пользователей, нарушив тем самым правила компании. Сообщается, что в настоящее время этот человек уже уволен, а информация о случившемся была передана в правоохранительные органы, которые расследуют инцидент.
При этом представители Amazon сообщили журналистам, что из-за этого «слива» был уволен не один человек: речь идет о нескольких увольнениях, то есть, похоже, у человека, сливавшего данные, были сообщники.
В компании отказались как-либо комментировать произошедшее и не уточнили даже, сколько человек пострадало в результате этой утечки данных.
Нужно отметить, что это дело не первый раз, когда сотрудников Amazon ловят на подобном. К примеру, в начале текущего года стало известно, что как минимум четверо бывших служащих компании злоупотребляли своим доступом и просматривали видео с пользовательских камер Ring.
Журналисты Vice Motherboard обратили внимание, что Amazon предупреждает некоторых клиентов об утечке данных, из-за которой в итоге были уволены несколько сотрудников.
В распоряжении издания оказать копия письма, которое Amazon в последние дни рассылает пострадавшим. Документ гласит, что неназваный сотрудник компании передал третьей стороне адреса электронной почты пользователей, нарушив тем самым правила компании. Сообщается, что в настоящее время этот человек уже уволен, а информация о случившемся была передана в правоохранительные органы, которые расследуют инцидент.
При этом представители Amazon сообщили журналистам, что из-за этого «слива» был уволен не один человек: речь идет о нескольких увольнениях, то есть, похоже, у человека, сливавшего данные, были сообщники.
В компании отказались как-либо комментировать произошедшее и не уточнили даже, сколько человек пострадало в результате этой утечки данных.
Нужно отметить, что это дело не первый раз, когда сотрудников Amazon ловят на подобном. К примеру, в начале текущего года стало известно, что как минимум четверо бывших служащих компании злоупотребляли своим доступом и просматривали видео с пользовательских камер Ring.
Официальный сайт кампании Дональда Трампа дефейснули
Вчера неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа (donaldjtrump[.]com). Злоумышленники разместили на главной странице ресурса «заглушку», пародирующую стандартное уведомление об изъятии домена правоохранительными органами.
Как видно на скриншоте выше, послание взломщиков гласило, что «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».
Также хакеры заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Вместе с этим преступники опубликовали адреса двух криптовалютных кошельков, предложив всем желающим «проголосовать» за или против публикации этих данных, жертвуя Monero на один из кошельков. Вероятнее всего, это была лишь уловка, чтобы выманить побольше денег у пользователей.
Дейфейс продержался на сайте около получаса (до 23:30 UTC), после чего ресурс вернулся к норме. Официальный представитель штаба Дональда Трампа, Тим Мурто, уже выступил с официальным заявлением и сообщил, что никакие конфиденциальные данные в ходе атаки скомпрометированы не были, а правоохранительные органы уже занимаются расследованием произошедшего.
Вчера неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа (donaldjtrump[.]com). Злоумышленники разместили на главной странице ресурса «заглушку», пародирующую стандартное уведомление об изъятии домена правоохранительными органами.
Как видно на скриншоте выше, послание взломщиков гласило, что «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».
Также хакеры заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Вместе с этим преступники опубликовали адреса двух криптовалютных кошельков, предложив всем желающим «проголосовать» за или против публикации этих данных, жертвуя Monero на один из кошельков. Вероятнее всего, это была лишь уловка, чтобы выманить побольше денег у пользователей.
Дейфейс продержался на сайте около получаса (до 23:30 UTC), после чего ресурс вернулся к норме. Официальный представитель штаба Дональда Трампа, Тим Мурто, уже выступил с официальным заявлением и сообщил, что никакие конфиденциальные данные в ходе атаки скомпрометированы не были, а правоохранительные органы уже занимаются расследованием произошедшего.
Злоумышленники вновь обманули проверки Apple
В сентябре 2020 год мы рассказывали о том, что малварь Shlayer благополучно прошла процесс нотаризации (notarization process), и получила возможность запускаться на любом Mac под управлением macOS Catalina и новее.
Этот защитный механизм компания Apple представила в феврале текущего года: любое ПО для Mac, распространяемое за пределами App Store, должно пройти процедуру нотаризации чтобы его можно было запускать на macOS Catalina и выше. По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода. Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать и устанавливать его в системе.
К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально. Так, суммарно уже было обнаружено более 40 нотаризованных приложений, зараженных трояном Shlayer и рекламной малварью BundleCore.
Теперь же исследователь Джошуа Лонг (Joshua Long) из компании Intego, сообщил, что выявил еще шесть вредоносных приложений, благополучно прошедших процедуру нотаризации.
Все шесть найденных "продуктов" выдавали себя за установщики Flash, но на самом деле загружали на машины жертв рекламную малварь OSX/MacOffers, которая, в частности, вмешивается в работу поисковой системы в браузере пользователя.
Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование. Неясно, как в Apple обнаружили эти приложения: возможно компания получила предупреждение от другого ИБ-исследователя, или кто-то их пострадавших пользователей Mac уведомил компанию о происходящем.
Так как Adobe, наряду с другими компаниями, планирует окончательно отказаться от поддержки Flash в конце 2020 года, Лонг в очередной раз призвал пользователей прекратить скачивать установщики Flash, которые обычно оказываются вредоносными.
В сентябре 2020 год мы рассказывали о том, что малварь Shlayer благополучно прошла процесс нотаризации (notarization process), и получила возможность запускаться на любом Mac под управлением macOS Catalina и новее.
Этот защитный механизм компания Apple представила в феврале текущего года: любое ПО для Mac, распространяемое за пределами App Store, должно пройти процедуру нотаризации чтобы его можно было запускать на macOS Catalina и выше. По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода. Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать и устанавливать его в системе.
К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально. Так, суммарно уже было обнаружено более 40 нотаризованных приложений, зараженных трояном Shlayer и рекламной малварью BundleCore.
Теперь же исследователь Джошуа Лонг (Joshua Long) из компании Intego, сообщил, что выявил еще шесть вредоносных приложений, благополучно прошедших процедуру нотаризации.
Все шесть найденных "продуктов" выдавали себя за установщики Flash, но на самом деле загружали на машины жертв рекламную малварь OSX/MacOffers, которая, в частности, вмешивается в работу поисковой системы в браузере пользователя.
Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование. Неясно, как в Apple обнаружили эти приложения: возможно компания получила предупреждение от другого ИБ-исследователя, или кто-то их пострадавших пользователей Mac уведомил компанию о происходящем.
Так как Adobe, наряду с другими компаниями, планирует окончательно отказаться от поддержки Flash в конце 2020 года, Лонг в очередной раз призвал пользователей прекратить скачивать установщики Flash, которые обычно оказываются вредоносными.
Хак-группу Energetic Bear обвиняют во взломе правительственных сетей США
Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.
Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года. При этом, по состоянию на 1 октября 2020 года, хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух серверов».
Новый бюллетень безопасности является прямым продолжением другого предупреждения, опубликованного американскими властями ранее в этом месяце. Тогда CISA и ФБР предупреждали, что неназванные правительственные хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) и различные баги в VPN-продуктах. Теперь же стало известно, что речь шла о группе Energetic Bear.
По данным правоохранителей, для атак хакеры прибегали к эксплуатации уязвимостей в Citrix Access Gateway (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), почтовом агенте Exim (CVE 2019-10149), а также Fortinet SSL VPN (CVE-2018-13379). Упомянутую выше проблему Zerologon применяли для получения доступа и кражи учетных данных Windows Active Directory (AD), с целью последующего бокового перемещения по скомпрометированным сетям.
Сообщается, что когда атаки оказывались успешными, члены Energetic Bear похищали из правительственных сетей различные файлы, в том числе связанные с конфиденциальными сетевыми конфигурациям и паролями; стандартным операционными процедурами (СОП); ИТ-инструкциями, такими как запросы на сброс пароля; информацией о поставщиках и закупках; печатью электронных пропусков.
«На сегодняшний день у ФБР и CISA нет информации, свидетельствующей о том, что данная APT намеренно нарушила работу авиационного или образовательного секторов, выборов или правительственных операций. Однако группировка могла искать доступ, чтобы в будущем иметь возможности для атак, которые могли бы повлиять на политику и действия США или лишить легитимности государственные структуры», — пишут представители ФБР и CISA.
Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.
Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года. При этом, по состоянию на 1 октября 2020 года, хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух серверов».
Новый бюллетень безопасности является прямым продолжением другого предупреждения, опубликованного американскими властями ранее в этом месяце. Тогда CISA и ФБР предупреждали, что неназванные правительственные хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) и различные баги в VPN-продуктах. Теперь же стало известно, что речь шла о группе Energetic Bear.
По данным правоохранителей, для атак хакеры прибегали к эксплуатации уязвимостей в Citrix Access Gateway (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), почтовом агенте Exim (CVE 2019-10149), а также Fortinet SSL VPN (CVE-2018-13379). Упомянутую выше проблему Zerologon применяли для получения доступа и кражи учетных данных Windows Active Directory (AD), с целью последующего бокового перемещения по скомпрометированным сетям.
Сообщается, что когда атаки оказывались успешными, члены Energetic Bear похищали из правительственных сетей различные файлы, в том числе связанные с конфиденциальными сетевыми конфигурациям и паролями; стандартным операционными процедурами (СОП); ИТ-инструкциями, такими как запросы на сброс пароля; информацией о поставщиках и закупках; печатью электронных пропусков.
«На сегодняшний день у ФБР и CISA нет информации, свидетельствующей о том, что данная APT намеренно нарушила работу авиационного или образовательного секторов, выборов или правительственных операций. Однако группировка могла искать доступ, чтобы в будущем иметь возможности для атак, которые могли бы повлиять на политику и действия США или лишить легитимности государственные структуры», — пишут представители ФБР и CISA.
Bleeping Computer сообщает, что в минувшие выходные на хакерском форуме выставили на продажу базу данных популярного фотобанка 123rf, содержащую около 8 300 000 записей. Продавец заявляет, что дамп был сделан в 2020 году.
Журналисты изучили опубликованный хакерами образец данных и пишут, что финансовой информации дамп не содержит, однако там можно найти полное имя пользователя, адрес электронной почты, хешированные пароли (MD5), название компании, номер телефона, адрес, привязанный к PayPal email-адрес (если используется), а также IP-адрес.
Еще в начале текущей недели журналисты уведомили о своей находке компанию Inmagine Group, которой принадлежит 123rf, и получили ответ, что сервер в центре обработки данных действительно был взломан, и хакеры успели похитить данные пользователей. Компания уже проводит расследование случившегося вместе со специалистами из правоохранительных органов.
При этом в Inmagine Group говорят, что выставленный на продажу дамп – это не новейшая копия базы клиентов за 2020 год. Похоже, это правда, так как самые свежие образцы, изученные Bleeping Computer, были датированы 27 октября 2019 года.
Хотя в компании заявили, что все пароли клиентов были зашифрованы, речь, очевидно, идет про MD5, то есть взлом таких паролей, к сожалению, не доставит злоумышленникам особенных проблем.
Журналисты изучили опубликованный хакерами образец данных и пишут, что финансовой информации дамп не содержит, однако там можно найти полное имя пользователя, адрес электронной почты, хешированные пароли (MD5), название компании, номер телефона, адрес, привязанный к PayPal email-адрес (если используется), а также IP-адрес.
Еще в начале текущей недели журналисты уведомили о своей находке компанию Inmagine Group, которой принадлежит 123rf, и получили ответ, что сервер в центре обработки данных действительно был взломан, и хакеры успели похитить данные пользователей. Компания уже проводит расследование случившегося вместе со специалистами из правоохранительных органов.
При этом в Inmagine Group говорят, что выставленный на продажу дамп – это не новейшая копия базы клиентов за 2020 год. Похоже, это правда, так как самые свежие образцы, изученные Bleeping Computer, были датированы 27 октября 2019 года.
Хотя в компании заявили, что все пароли клиентов были зашифрованы, речь, очевидно, идет про MD5, то есть взлом таких паролей, к сожалению, не доставит злоумышленникам особенных проблем.
Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов.
Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Методы черного SEO используются для распространения малвари
По данным экспертов Microsoft и Sophos, инфостилер Gootkit превратился в сложный и скрытный фреймворк, который теперь носит название Gootloader. Вредонос распространяет широкий спектр малвари через взломанные сайты под управлением WordPress, злоупотребляя методами так называемого черного SEO.
Отмечается, что увеличилось не только количество полезных нагрузок: Gootloader распределяет пейлоады по нескольким регионам и сотням взломанных серверов, которые всегда активны. По данным исследователей, в настоящее время Gootloader контролирует около 400 серверов, на которых размещены взломанные легитимные сайты.
Еще в прошлом году специалисты впервые заметили вредоносные кампании, основанные на механизме Gootloader. Тогда они отвечали за доставку вымогателя REvil и в основном атаковали цели в Германии. Это ознаменовало своеобразный новый старт для Gootkit, так как до этого малварь была неактивна после утечки данных, которую ее операторы допустили в 2019 году.
Теперь хакеры перегруппировались, построили обширную сеть из взломанных сайтов на базе WordPress и стали использовать разные приемы SEO, чтобы показывать в Google поддельные форумы с вредоносными ссылками.
Такие поддельные форумы видны только пользователям из определенных регионов. Эти «обсуждения» якобы содержат ответ на конкретный запрос пользователя. Причем сообщение с ответом публикуется от имени администратора сайта, и в нем присутствует вредоносная ссылка. Чтобы показывать потенциальным жертвам такие фальшивые обсуждения, хакеры модифицируют CMS взломанных ресурсов.
На примере ниже видно, как фальшивое сообщение на форуме дает ответ на конкретный поисковый запрос, связанный с операциями с недвижимостью. Причем это «обсуждение» происходит на сайте о неонатальной медицине, который не имеет ничего общего с искомой темой, «однако, это первый результат, который появляется при запросе определенного типа соглашения о недвижимости», — говорят эксперты.
При нажатии на такую ссылку с «форума» посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Отмечается, что это единственный этап, на котором файл записывается на диск, все остальные операции малварь производит в памяти, поэтому многие инструменты безопасности бесполезны против Gootloader.
Сообщается, что теперь, помимо стандартной полезной нагрузки (вымогателей Gootkit и REvil), Gootloader также может распространять троян Kronos и Cobalt Strike. Такие атаки нацелены на посетителей из США, Германии и Южной Кореи.
Пока неясно, как именно операторы малвари получают доступ к сайтам, на которых потом размещают фальшивые форумы. Исследователи подозревают, что злоумышленники могли получить учетные данные этих ресурсов благодаря установкам Gootkit, купив их на черном рынке, или воспользовавшись известными багами в плагинах для CMS.
«Разработчики Gootkit, похоже, перенаправили свои ресурсы и энергию с доставки собственного вредоносного ПО на создание скрытной и сложной платформы для доставки любых видов пейлоадов, включая шифровальщика REvil.
Это показывает, что преступники, как правило, повторно используют уже проверенные решения, а не разрабатывают новые механизмы доставки. Кроме того, вместо использования агрессивных атакующих инструментов, как это делают некоторые распространители малвари, авторы Gootloader выбрали извилистый путь сложных техник уклонения, которые помогают скрыть конечный результат», — заключают эксперты Sophos.
По данным экспертов Microsoft и Sophos, инфостилер Gootkit превратился в сложный и скрытный фреймворк, который теперь носит название Gootloader. Вредонос распространяет широкий спектр малвари через взломанные сайты под управлением WordPress, злоупотребляя методами так называемого черного SEO.
Отмечается, что увеличилось не только количество полезных нагрузок: Gootloader распределяет пейлоады по нескольким регионам и сотням взломанных серверов, которые всегда активны. По данным исследователей, в настоящее время Gootloader контролирует около 400 серверов, на которых размещены взломанные легитимные сайты.
Еще в прошлом году специалисты впервые заметили вредоносные кампании, основанные на механизме Gootloader. Тогда они отвечали за доставку вымогателя REvil и в основном атаковали цели в Германии. Это ознаменовало своеобразный новый старт для Gootkit, так как до этого малварь была неактивна после утечки данных, которую ее операторы допустили в 2019 году.
Теперь хакеры перегруппировались, построили обширную сеть из взломанных сайтов на базе WordPress и стали использовать разные приемы SEO, чтобы показывать в Google поддельные форумы с вредоносными ссылками.
Такие поддельные форумы видны только пользователям из определенных регионов. Эти «обсуждения» якобы содержат ответ на конкретный запрос пользователя. Причем сообщение с ответом публикуется от имени администратора сайта, и в нем присутствует вредоносная ссылка. Чтобы показывать потенциальным жертвам такие фальшивые обсуждения, хакеры модифицируют CMS взломанных ресурсов.
На примере ниже видно, как фальшивое сообщение на форуме дает ответ на конкретный поисковый запрос, связанный с операциями с недвижимостью. Причем это «обсуждение» происходит на сайте о неонатальной медицине, который не имеет ничего общего с искомой темой, «однако, это первый результат, который появляется при запросе определенного типа соглашения о недвижимости», — говорят эксперты.
При нажатии на такую ссылку с «форума» посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Отмечается, что это единственный этап, на котором файл записывается на диск, все остальные операции малварь производит в памяти, поэтому многие инструменты безопасности бесполезны против Gootloader.
Сообщается, что теперь, помимо стандартной полезной нагрузки (вымогателей Gootkit и REvil), Gootloader также может распространять троян Kronos и Cobalt Strike. Такие атаки нацелены на посетителей из США, Германии и Южной Кореи.
Пока неясно, как именно операторы малвари получают доступ к сайтам, на которых потом размещают фальшивые форумы. Исследователи подозревают, что злоумышленники могли получить учетные данные этих ресурсов благодаря установкам Gootkit, купив их на черном рынке, или воспользовавшись известными багами в плагинах для CMS.
«Разработчики Gootkit, похоже, перенаправили свои ресурсы и энергию с доставки собственного вредоносного ПО на создание скрытной и сложной платформы для доставки любых видов пейлоадов, включая шифровальщика REvil.
Это показывает, что преступники, как правило, повторно используют уже проверенные решения, а не разрабатывают новые механизмы доставки. Кроме того, вместо использования агрессивных атакующих инструментов, как это делают некоторые распространители малвари, авторы Gootloader выбрали извилистый путь сложных техник уклонения, которые помогают скрыть конечный результат», — заключают эксперты Sophos.
СЕРВИС ВЗЛОМА ЭЛЕКТРОННОЙ ПОЧТЫ INFOCRAFT™
🔐 Взлом почты на заказ без предоплаты.
🔐 Работаем по всем популярным почтовым сервисам.
🔐 Взлом корпоративных e-mail.
🔐 Рассмотрим сложные случаи.
❕Оплата только после предоставления докозательств взлома.
🔕 Анонимно и безопасно.
🎖 Команда профи - опыт 10 лет.
Писать в ЛС @craftservis
🔐 Взлом почты на заказ без предоплаты.
🔐 Работаем по всем популярным почтовым сервисам.
🔐 Взлом корпоративных e-mail.
🔐 Рассмотрим сложные случаи.
❕Оплата только после предоставления докозательств взлома.
🔕 Анонимно и безопасно.
🎖 Команда профи - опыт 10 лет.
Писать в ЛС @craftservis
Неизвестные вымогают у компании Tether 500 биткоинов
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Chrome будет принудительно подставлять к адресам префикс HTTPS
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
Расширение для Firefox использовали для взлома Gmail
Компания Proofpoint обнаружила кампанию, связанную с китайской группировкой TA413. По данным исследователей, кампания была активна с января по февраль 2021 года. Хакеры атаковали тибетские организации по всему миру, используя вредоносное расширение для Firefox, которое похищало данные Gmail и Firefox, а затем загружало малварь в зараженные системы.
Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на сайты, где им предлагалось установить фейковое обновление для Flash, якобы необходимое для просмотра контента.
На самом деле эти ресурсы содержали код, разделяющий пользователей на группы. Так, лишь пользователям Firefox с активным сеансом Gmail предлагали установить вредоносное расширение, а другие жертвы хакеров не интересовали.
Вредоносное расширение носило имя Flash update components, но на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями.
Gmail:
•Искать электронные письма
•Архивировать электронные письма
•Получать уведомления Gmail
•Читать электронные письма
•Изменение функций звуковых и визуальных оповещений в браузере Firefox
•Пометить электронные письма
•Пометить электронные письма как спам
•Удалить сообщения
•Обновить папку «Входящие»
•Пересылка писем
•Выполните поиска
•Удалить сообщения из корзины Gmail
•Отправить почту из взломанного аккаунта
Firefox (зависит от предоставленных прав):
•Доступ к пользовательским данным для всех сайтов
•Отображать уведомления
•Читать и изменять настройки конфиденциальности
•Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженную машину малварь ScanBox. Это старый вредоносный инструмент на базе PHP и JavaScript, который не раз использовался в атаках китайских хак-групп. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox способен отслеживать посетителей определенных сайтов, работать как кейлоггер, а также воровать пользовательские данные, которые могут быть использованы в будущих атаках.
Интересно, что на этот раз атаки с использованием поддельного Flash сработали как никогда хорошо. Хотя большинство пользователей давно знает, что следует держаться подальше от сайтов, предлагающих обновления Flash, в начале текущего года поддержка Flash была окончательно прекращена. 12 января 2021 года весь Flash-контент перестал воспроизводиться в браузерах, и, похоже, именно это сделало атаки TA413 намного успешнее, чем обычно.
Компания Proofpoint обнаружила кампанию, связанную с китайской группировкой TA413. По данным исследователей, кампания была активна с января по февраль 2021 года. Хакеры атаковали тибетские организации по всему миру, используя вредоносное расширение для Firefox, которое похищало данные Gmail и Firefox, а затем загружало малварь в зараженные системы.
Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на сайты, где им предлагалось установить фейковое обновление для Flash, якобы необходимое для просмотра контента.
На самом деле эти ресурсы содержали код, разделяющий пользователей на группы. Так, лишь пользователям Firefox с активным сеансом Gmail предлагали установить вредоносное расширение, а другие жертвы хакеров не интересовали.
Вредоносное расширение носило имя Flash update components, но на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями.
Gmail:
•Искать электронные письма
•Архивировать электронные письма
•Получать уведомления Gmail
•Читать электронные письма
•Изменение функций звуковых и визуальных оповещений в браузере Firefox
•Пометить электронные письма
•Пометить электронные письма как спам
•Удалить сообщения
•Обновить папку «Входящие»
•Пересылка писем
•Выполните поиска
•Удалить сообщения из корзины Gmail
•Отправить почту из взломанного аккаунта
Firefox (зависит от предоставленных прав):
•Доступ к пользовательским данным для всех сайтов
•Отображать уведомления
•Читать и изменять настройки конфиденциальности
•Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженную машину малварь ScanBox. Это старый вредоносный инструмент на базе PHP и JavaScript, который не раз использовался в атаках китайских хак-групп. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox способен отслеживать посетителей определенных сайтов, работать как кейлоггер, а также воровать пользовательские данные, которые могут быть использованы в будущих атаках.
Интересно, что на этот раз атаки с использованием поддельного Flash сработали как никогда хорошо. Хотя большинство пользователей давно знает, что следует держаться подальше от сайтов, предлагающих обновления Flash, в начале текущего года поддержка Flash была окончательно прекращена. 12 января 2021 года весь Flash-контент перестал воспроизводиться в браузерах, и, похоже, именно это сделало атаки TA413 намного успешнее, чем обычно.
Утекли данные 21 млн пользователей бесплатных VPN-приложений
Издание «Коммерсант», ссылаясь на CyberNew, сообщило, что в даркнете выставлена на продажу база, содержащая данные 21 млн пользователей бесплатных VPN-приложений для Android, популярных в России. В базе собраны не только адреса электронной почты, пароли и логины клиентов разных сервисов, но также данные об их мобильных устройствах, странах и оплате премиум-аккаунтов.
Полученные сведения, по мнению экспертов, мошенники могут использовать для фишинга и атак типа man-in-the-middle. Все это может поставить под угрозу конфиденциальные данные, в том числе пароли и данные банковских карт.
Речь идет о пользователях приложений GeckoVPN, SuperVPN и ChatVPN. База, с которой ознакомились журналисты издания, датируется 24 февраля 2021. SuperVPN входит в число самых популярных VPN для Android: число загрузок приложения в Google Play превышает 100 000 000. Число скачиваний GeckoVPN и ChatVPN составляет 10 000 000 и 50 000 соответственно. Причем данные пользователей SuperVPN уже «утекали» и раньше.
Основная аудитория этих приложений приходится на жителей стран, где блокируются интернет-ресурсы (в первую очередь, это Россия, КНР и ряд государств Ближнего Востока), рассказал изданию руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.
Основатель компании «Интернет-розыск» Игорь Бедеров полагает, что эта утечка произошла в результате «очевидной халатности при обращении с конфиденциальной информацией». Он заявил, что «владельцы сервисов банально не стали изменять пароли по умолчанию на своих серверах баз данных».
В свою очередь гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что используя публичный VPN, пользователь должен осознавать, что в случае атаки на провайдера или утечки информации все его данные окажутся под угрозой.
Издание «Коммерсант», ссылаясь на CyberNew, сообщило, что в даркнете выставлена на продажу база, содержащая данные 21 млн пользователей бесплатных VPN-приложений для Android, популярных в России. В базе собраны не только адреса электронной почты, пароли и логины клиентов разных сервисов, но также данные об их мобильных устройствах, странах и оплате премиум-аккаунтов.
Полученные сведения, по мнению экспертов, мошенники могут использовать для фишинга и атак типа man-in-the-middle. Все это может поставить под угрозу конфиденциальные данные, в том числе пароли и данные банковских карт.
Речь идет о пользователях приложений GeckoVPN, SuperVPN и ChatVPN. База, с которой ознакомились журналисты издания, датируется 24 февраля 2021. SuperVPN входит в число самых популярных VPN для Android: число загрузок приложения в Google Play превышает 100 000 000. Число скачиваний GeckoVPN и ChatVPN составляет 10 000 000 и 50 000 соответственно. Причем данные пользователей SuperVPN уже «утекали» и раньше.
Основная аудитория этих приложений приходится на жителей стран, где блокируются интернет-ресурсы (в первую очередь, это Россия, КНР и ряд государств Ближнего Востока), рассказал изданию руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.
Основатель компании «Интернет-розыск» Игорь Бедеров полагает, что эта утечка произошла в результате «очевидной халатности при обращении с конфиденциальной информацией». Он заявил, что «владельцы сервисов банально не стали изменять пароли по умолчанию на своих серверах баз данных».
В свою очередь гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что используя публичный VPN, пользователь должен осознавать, что в случае атаки на провайдера или утечки информации все его данные окажутся под угрозой.
В Google Play нашли мошенническое приложение с платными подписками
В феврале 2021 года эксперты «Лаборатории Касперского» обнаружили в популярном мессенджере фейковую рассылку с сообщением о привлекательной акции от одной из крупнейших торговых сетей. Ссылка для скачивания вела в Google Play Store, где было размещено фальшивое приложение бонусной карты.
Для использования этой «карты» требовалось оформить платную подписку. В реальности приложение оказывалось практически пустым: при запуске пользователю показывалась картинка с логотипом магазина и предложением оформить карту, при нажатии запускался процесс покупки. У пользователя снимались деньги, но никакой бонусной карты он не получал. Малвари был присвоен идентификатор Trojan.AndroidOS.Fakeapp.cw.
Помимо популярной российской сети продовольственных магазинов (название не раскрывается) троян мимикрировал под цифровые дисконтные, бонусные и подарочные карты различных ритейл-брендов, популярных в РФ. Также он выдавал себя за приложение для кастомизации тем и заставок для смартфонов и даже за приложение с читами для популярной мобильной игры. В целом малварь маскировалась более чем под 20 разных программ и брендов.
В среднем подписка, которую должен был оформить пользователь при установке приложения, стоила 600 рублей в неделю. У одного только приложения, которое мимикрировало под популярную в России торговую сеть, число установок превысило 10 000. Таким образом, потенциальный ущерб только мог составить около 6 000 000 рублей.
«Зачастую из-за спешки или невнимательности люди не сразу понимают, что столкнулись с мошеннической рассылкой или приложением, и в итоге рискуют лишиться денег. Злоумышленники усыпляют бдительность пользователей не только c помощью логотипов и узнаваемых цветов брендов, но и накрученных оценок и комментариев. У найденных поддельных приложений были высокие оценки и много положительных откликов. Вероятнее всего, они были фейковыми, поскольку написаны по единому шаблону с отзывами не о самом приложении, а о магазине или бренде», — отмечает Игорь Головин, исследователь мобильных угроз в «Лаборатории Касперского».
Исследователи уже уведомили об этойпроблеме инженеров Google, однако компания не сообщает, удалены ли уже мошеннические приложениях из официального каталога.
В феврале 2021 года эксперты «Лаборатории Касперского» обнаружили в популярном мессенджере фейковую рассылку с сообщением о привлекательной акции от одной из крупнейших торговых сетей. Ссылка для скачивания вела в Google Play Store, где было размещено фальшивое приложение бонусной карты.
Для использования этой «карты» требовалось оформить платную подписку. В реальности приложение оказывалось практически пустым: при запуске пользователю показывалась картинка с логотипом магазина и предложением оформить карту, при нажатии запускался процесс покупки. У пользователя снимались деньги, но никакой бонусной карты он не получал. Малвари был присвоен идентификатор Trojan.AndroidOS.Fakeapp.cw.
Помимо популярной российской сети продовольственных магазинов (название не раскрывается) троян мимикрировал под цифровые дисконтные, бонусные и подарочные карты различных ритейл-брендов, популярных в РФ. Также он выдавал себя за приложение для кастомизации тем и заставок для смартфонов и даже за приложение с читами для популярной мобильной игры. В целом малварь маскировалась более чем под 20 разных программ и брендов.
В среднем подписка, которую должен был оформить пользователь при установке приложения, стоила 600 рублей в неделю. У одного только приложения, которое мимикрировало под популярную в России торговую сеть, число установок превысило 10 000. Таким образом, потенциальный ущерб только мог составить около 6 000 000 рублей.
«Зачастую из-за спешки или невнимательности люди не сразу понимают, что столкнулись с мошеннической рассылкой или приложением, и в итоге рискуют лишиться денег. Злоумышленники усыпляют бдительность пользователей не только c помощью логотипов и узнаваемых цветов брендов, но и накрученных оценок и комментариев. У найденных поддельных приложений были высокие оценки и много положительных откликов. Вероятнее всего, они были фейковыми, поскольку написаны по единому шаблону с отзывами не о самом приложении, а о магазине или бренде», — отмечает Игорь Головин, исследователь мобильных угроз в «Лаборатории Касперского».
Исследователи уже уведомили об этойпроблеме инженеров Google, однако компания не сообщает, удалены ли уже мошеннические приложениях из официального каталога.