ХАКЕРСТВО


Гео и язык канала: Россия, Русский
Категория: Технологии


~~~~~~~~~~~~~~~~~~~~~~~~
Секреты операционных систем, малоизвестные программы и новости о вирусах и уязвимостях!
• По рекламе: @boyko9
~~~~~~~~~~~~~~~~~~~~~~~~


Гео и язык канала
Россия, Русский
Категория
Технологии
Статистика
Фильтр публикаций


Админы «пуленепробиваемого» хостинга признали себя виновными


Четырем выходцам из Восточной Европы грозит до 20 лет тюремного заключения по обвинениям в рамках Федерального закона о противодействии рэкету и коррупции. Два гражданина России, а также граждане Литвы и Эстонии уже признали себя виновными в администрировании «пуленепробиваемого» хостинга, которые использовался для преступных операций, нацеленных на американские организации.

Хостинг, название которого не разглашается, был основан гражданами России Александром Гричишкиным и Андреем Скворцовым, которые затем наняли литовца Александра Скородумова и эстонца Павла Стасси в качестве системного администратора и руководителя, соответственно. Сами Гричишкин и Скворцов занимались маркетингом, управлением персоналом и поддержкой клиентов, тогда как Скородумов и Стасси поддерживали в рабочем состоянии все системы и помогали клиентам – операторам ботнетов и малвари.

Министерства юстиции США пишет, что хостинг предоставлял киберпреступникам инфраструктуру, которую те использовали для проведения вредоносных кампаний в период с 2008 по 2015 год.


•«Группа арендовала IP-адреса, серверы и домены для своих клиентов-киберпреступников, которые затем использовали эту инфраструктуру для размещения вредоносных программ, необходимых для получения доступа к компьютерам жертв, формирования ботнетов и кражи банковских учетных данных с целью последующего мошенничества, — гласит заявление Минюста. — Вредоносное ПО, размещенное данной компанией, включало Zeus, SpyEye, Citadel и Blackhole Exploit Kit, которые в период с 2009 по 2015 год постоянно атаковали американские компании и финансовые учреждения, причиняя или пытаясь причинить убытки, исчисляющиеся миллионами долларов».


Также хостинг оказывал клиентам другие услуги, включая регистрацию новой инфраструктуры с использованием фиктивных или ворованных личных данных, чтобы хакеры могли обойти блокировки правоохранительных органов и проводить атаки, избегая обнаружения.


•«На протяжении многих лет обвиняемые способствовали транснациональной преступной деятельности и работали с обширной сетью киберпреступников по всему миру, предоставляя тем анонимное убежище для их преступной деятельности. Это привело к потерям миллионов долларов среди пострадавших в США», — говорит специальный агент ФБР Тимоти Уотерс.

Приговоры Стасси, Скородумову, Гричишкину и Скворцову будут вынесены 3 июня, 29 июня, 8 июля и 16 сентября текущего года. Каждому из четырех обвиняемых грозит максимальное наказание в виде 20 лет лишения свободы.


​​0-day уязвимость в Adobe Reader уже находится под атаками


На этой неделе разработчики Adobe исправили множество проблем в 12 различных продуктах, включая уязвимость нулевого дня, затрагивающую Adobe Reader, которая уже активно используется хакерами.
Различные обновления были выпущены для следующих приложений: Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Genuine Service, Adobe Acrobat и Reader, Magento, Adobe Creative Cloud для настольных ПК, Adobe Media Encoder, Adobe After Effects, Adobe Medium и Adobe Animate.

Наиболее серьезной уязвимостью этого месяца стала проблема в Adobe Acrobat и Reader, имеющая идентификатор CVE-2021-28550. По данным компании, эта ошибка использовалась для «ограниченных атак на Adobe Reader в Windows-системах».
CVE-2021-28550 относится к типу use-after-free и позволяет осуществить удаленное выполнение произвольного кода, то есть позволяет злоумышленникам выполнять практически любые команды в Windows, в том числе устанавливать малварь или полностью перехватить контроль над уязвимой машиной.
В общей сложности Adobe исправила 43 уязвимости в своих продуктах (не считая зависимостей Adobe Experience Manager), и 14 из них были обнаружены в Adobe Acrobat и Reader.


Microsoft пропатчила 55 уязвимостей, включая три бага нулевого дня


Майские обновления для продуктов Microsoft содержат исправления для 55 уязвимостей, четыре из которых классифицированы как критические, еще пятьдесят помечены как «важные», и один баг имеет умеренную степень опасности.

Три патча из этого «вторника обновлений» представляют собой уязвимости нулевого дня. То есть данные об этих проблемах были публично раскрыты до выхода патчей, однако пока не сообщается, об эксплуатации этих уязвимостей хакерами:

•CVE-2021-31204: повышение привилегий в .NET и Visual Studio;

•CVE-2021-31207: обход защиты Microsoft Exchange Server (показана на Pwn2Own 2021);

•CVE-2021-31200: RCE в Common Utilities (относится к инструментарию Microsoft Neural Network Intelligence).

Сообщается, что наиболее серьезная из 55 уязвимостей может быть использована для удаленного выполнения произвольного кода.

Вышеупомянутые критические баги, это: CVE-2021-31166 (удаленное выполнение кода в стеке протокола HTTP), CVE-2021-28476 (удаленное выполнение кода через Hyper-V), CVE-2021-31194 (удаленное выполнение кода через OLE) и CVE-2021-26419 (повреждение информации в памяти).

Также в этом месяце регулярные патчи и обновления представили и другие компании:
Adobe представила обновления для Adobe Creative Cloud Desktop, Framemaker и Connect, исправив 0-day в Adobe Reader;
Майские обновления безопасности для Android были опубликованы  на прошлой неделе;
Apple выпустила обновления безопасности для iOS, macOS, iPadOS, watchOS и Safari, где устранила активно эксплуатируемые баги в Webkit;
Cisco выпустила обновления для множества своих продуктов;
SAP представила пакет майских обновлений;
VMware тоже обнародовала майский пакет патчей.


Фишеры атакуют пользователей криптокошельков Trust Wallet и MetaMask


Издание Bleeping Computer сообщает, что в Twitter пользователей кошельков Trust Wallet и MetaMask активно атакуют фишеры, выдающие себя за техническую поддержку. Цель данной кампании — кража криптовалюты пользователей.

Мобильные приложения MetaMask и Trust Wallet позволяют создавать кошельки для хранения, покупки, отправки и получения различной криптовалюты и NFT. Когда пользователь впервые запускает любое из приложений, ему предлагают создать новый кошелек. В рамках этого процесса нужно будет придумать фразу для восстановления, состоящую из 12 слов, и сохранить ее в безопасном месте, ведь фраза нужна для создания приватных ключей для доступа к кошельку. То есть любой, кто знает эту фразу, может импортировать кошелек на свое устройство и использовать хранящиеся в нем средства.

Около двух недель в Twitter идет вредоносная кампания. Всё начинается с того, что обычный и настоящий пользователь MetaMask или Trust Wallet жалуется в социальной сети на некую проблему, с которой столкнулся (от кражи средств и проблем с доступом к кошельку, да трудностей с использованием приложения).
Мошенники оперативно отвечают на такие твиты, выдавая себя за службу поддержки приложения, или за другого пользователя, который уверяет, что «Мгновенная поддержка» недавно помогла ему с точно такой же проблемой. В сообщениях будущим жертвам рекомендуют перейти на ссылке на docs.google.com или forms.app, чтобы заполнить заявку в поддержку и получить помощь.


После перехода по ссылке пользователь увидит фишинговую страницу, якобы предназначенную для заполнения заявки в поддержкуTrust Wallet или MetaMask. Здесь у жертвы спросят адрес электронной почты, имя, попросят описать проблему, а затем потребуют указать фразу для восстановления кошелька, состоящую из 12 слов.

Если доверчивый пользователь попадается на удочку мошенников и сообщает им свою фразу, злоумышленники могут импортировать кошелек жертвы на свои устройство и похитить всю криптовалюту.
Журналисты отмечают, что в такой ситуации поделать можно очень мало, и пострадавшие вряд ли сумеют вернуть свои средства. Издание подчеркивает, что фразу для восстановления кошелька ни в коем случае нельзя сообщать никому, ни на каких сайтах или в приложениях.


В 2020 году из App Store удалили более 95 000 мошеннических приложений

Компания Apple поделилась статистикой за 2020 год: за это время из-за нарушений и участия в различном мошенничестве (включая спам, обман и нарушение конфиденциальности) Apple удалила или не позволила разместить в App Store сотни тысяч приложений.
Так, в прошлом году компания не допустила в App Store около 200 000 приложений, которые либо содержали скрытые функции, либо были признаны спамерскими, имитаторскими и пытались заставить пользователей совершать покупки.

Еще 95 000 приложений были удалены за нарушения правил App Store. В основном речь идет схеме bait-and-switch, когда функциональность приложения кардинально меняется (обычно для совершения вредоносных действий) уже после его утверждения в App Store.
«Только за последние месяцы Apple отклонила или удалила приложения, которые изменили свою функциональность после первоначальной проверки. Они превращались в приложения для азартных игр на реальные деньги, грабительские эмитенты займов и порно-хабы; использовали сигналы внутри игр для облегчения покупки наркотиков; вознаграждали пользователей за трансляцию незаконного и порнографического контента через видеочаты», — рассказывают в компании.
Также в 2020 году команда Apple App Review не позволила разместить в App Store более 215 000 приложений, которые собирали больше пользовательских данных, чем необходимо, или неправильно обрабатывали собранные данные.
Кроме того, компания заявляет, что попытки мошенничества в App Store могут распространяться и за пределы самих приложений, то есть мошенничество может быть связано с рейтингами и обзорами, учетными записями разработчиков и пользователей, а также финансовыми транзакциями. В итоге из App Store удалили 250 000 000 оценок и отзывов, заблокировали 470 000 учетных записей разработчиков и отклонили еще 205 000 попыток регистрации из-за подозрений в мошенничестве. Также было деактивировано 244 000 000 учетных записей пользователей и отклонено 424 000 000 попыток создания учетных записей (тоже из-за подозрений в мошенничестве и возможных злоупотреблениях).
Apple заявляет, что в прошлом году ей удалось предотвратить потенциально мошеннические транзакции на сумму более 1,5 миллиарда долларов. Компания выявила попытки использования примерно 3 000 000 украденных карт и повторно запретила совершать транзакции примерно для 1 000 000 счетов.


На смену банковскому трояну Osiris пришел троян Ares


В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян.


Заявление Anubi
Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений.



Реклама с описанием функций Osiris
Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях.
Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы.
Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику.
По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.


Из-за взлома Codecov произошла утечка исходного кода Rapid7


Представители Rapid7 сообщили, злоумышленники получили доступ к исходному коду компании после недавнего взлома онлайн-платформы для тестирования ПО Codecov. Ранее о компрометации из-за этой атаки на цепочку поставок также сообщали разработчики софта из компании Hashicorp, облачный провайдер Confluent и сервис голосовых вызовов Twilio.
Напомню, что в январе текущего года неизвестные злоумышленники сумели скомпрометировать Codecov и добавили сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа. При этом взлом был обнаружен только 1 апреля 2021 года.

Хакер получил доступ к скрипту Bash Uploader 31 января и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Точкой входа для злоумышленника стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила хакеру извлечь учетные данные, необходимые для внесения изменений в Bash Uploader.

На этой неделе представители Rapid7 заявили, что в компании использовался всего один экземпляр Codecov Bash Uploader, который применялся «на одном CI-сервере для тестирования и создания ряда внутренних инструментов для службы Managed Detection and Response». Однако злоумышленникам хватило и одного сервера.

«Неавторизованная сторона получила доступ к небольшому подмножеству наших репозиториев с исходным кодом для внутренних инструментов MDR. Эти репозитории содержали внутренние учетные данные, которые уже были обновлены, а также данные, связанные с предупреждениями, для ряда наших клиентов, использующих MDR», — гласит заявление компании.
Хотя известно, что злоумышленники обращались к исходному коду компании, сообщается, они не изменяли исходники и не вмешивались в работу прочих корпоративных систем и производственных сред.
Похоже, Rapid7 пострадала из-за взлома Codecov сильнее других компании. Так, ранее сообщалось, что Hashicorp пришлось сменить приватный ключ GPG; в случае Confluent хакеры получили доступ к учетной записи GitHub, доступной только для чтения; а Twilio заявила, что доступа к конфиденциальным данным злоумышленники не получили вовсе.

Впрочем, еще в прошлом месяце ИБ-эксперты предупреждали, что взлом с Codecov мог затронуть сотни или даже тысячи компаний, однако обнаружение и расследование этих вторжений может занять недели и месяцы.


На смену банковскому трояну Osiris пришел троян Ares

В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян.


Заявление Anubi
Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений.



Реклама с описанием функций Osiris
Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях.
Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы.
Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику.
По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.


Исследователи пишут, что такой метод передачи информации отлично подходит для загрузки показаний сенсоров и других данных с IoT-устройств; для извлечения данных из закрытых и изолированных от интернета систем; а также может ударить по кошельку ближайшего пользователя iPhone из-за большого количества переданных данных и множества уникальных открытых ключей. Дело в том, что передача большого количества уникальных открытых ключей значительно увеличивает объемы мобильного трафика, так как размеры отчетов превышают 100 байт.

При этом атаку Send My, конечно, вряд ли назвать высокоскоростной. Так, скорость отправки данных в среднем составляет примерно 3 байта в секунду, хотя можно достичь и более высоких скоростей. Также передача данных происходит с задержкой от 1 до 60 минут, в зависимости от количества находящихся поблизости устройств Apple.

Тем не менее, Бройнлейн считает, что с помощью атаки Send My, по сути, можно создать аналог Amazon Sidewalk (IoT-сети Amazon) на базе сетевой инфраструктуры Apple. По его мнению, в целом эту угрозу нельзя назвать новой, учитывая существование глобальных мобильных и спутниковых сетей, которые можно использовать для передачи данных. Однако Send My может быть особенно полезна для извлечения данных из закрытых систем и сетей.
Для защиты от подобных атак эксперты рекомендуют Apple реализовать аутентификацию BLE advertising’а (в настоящее время нет разницы между реальными и спуфинговыми AirTags), а также ограничить частоту получения отчетов о местоположении.


Эксперты передают данные через сеть Apple Find My


Разработчики компании Positive Security рассказали, что приспособили для передачи данных сервис Find My («Локатор») компании Apple, который обычно используется для поиска гаджетов, личных вещей и передачи данных о местоположении.

Напомню, что в 2019 году приложения «Найти друзей» и «Найти iPhone» (Find my Friends и Find My iPhone) были объединены в единый сервис Find My. Он представляет собой краудсорсинговую систему отслеживания местоположения, позволяя легко находить потерянные и украденные устройства, а также в одном месте отслеживать любые гаджеты Apple, личные вещи с брелоками AirTag, а также местоположение родных и друзей.

Find My работает посредством Bluetooth Low Energy (BLE), то есть функционирует даже если устройство не подключено к интернету, а сотовая связь отсутствует. Для этого устройства Apple время от времени транслирую вовне специальный Bluetooth-сигнал, который могут обнаруживать и распознавать другие устройства Apple, оказавшиеся поблизости. Такие сигналы подаются даже в спящем режиме, а затем ретранслируются другими пользователями на серверы Apple.

В марте текущего года эксперты Дармштадского технического университета в Германии опубликовали исследовательскую работу, которая проливала свет на различные уязвимости и недостатки Apple Find My. Именно на этот документ опирались специалисты Positive Security, которые сумели развить идею злоупотребления сервисом гораздо дальше. В итоге они создали атаку под названием Send My, которая эксплуатирует технологию Find My для передачи произвольных данных.

Соучредитель Positive Security Фабиан Бройнлейн (Fabian Bräunlein) рассказывает, что хотя соединение между брелоком AirTag и устройством

|
Apple всегда защищено с помощью пары ключей Elliptic Curve, устройство владельца не знает, какой именно ключ используется AirTag. Для этого генерируется целый список ключей, которые недавно использовались AirTag, а также у службы Apple запрашиваются их хэши SHA256.
«Apple не знает, какие открытые ключи принадлежат вашему AirTag и, следовательно, какие отчеты о местоположении предназначены для вас», — пишет эксперт.

По идее упомянутые отчеты о местоположении могут быть расшифрованы только с помощью корректного приватного ключа, однако исследователи обнаружили, что они могут проверить, существуют ли отчеты для определенного хэша SHA256 в принципе, и даже добавить отчеты для определенного хеша SHA256.

|
 «Мы можем внедрить произвольный набор битов в открытый ключ в хранилище, а затем снова осуществить запрос. Если отправитель и получатель согласовывают схему кодирования, мы получаем возможность передавать произвольные данные».

Для своих опытов и представленного proof-of-concept специалисты использовали микроконтроллер ESP32, прошивку на основе опенсорсного инструмента OpenHaystack (созданного учеными Дармштадского технического университета в рамках своей исследовательской работы), а также macOS-приложение, предназначенное для извлечения, декодирования и отображения переданных данных.

Для получения данных с устройства macOS нужно использовать плагин Apple Mail, который работает с повышенными привилегиями (чтобы соблюсти требования Apple к аутентификации для доступа к данным о местоположении). Кроме того, пользователь должен установить OpenHaystack и запустить приложение DataFetcher для macOS, созданное Бройнлейном для просмотра таких несанкционированных передач.


Colonial Pipeline заплатила вымогателям 5 000 000 долларов

В конце прошлой недели крупнейший в США оператор трубопроводов, которая Colonial Pipeline, которая занимается транспортировкой топлива, пострадала от атаки шифровальщика DarkSide. Из-за атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки, а в ряде штатов был введен режим ЧС.
Инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.

14 мая 2021 года Bloomberg, со ссылкой на собственные анонимные источники, сообщил, что компания выплатила вымогателям выкуп в размере 5 000 000 долларов США. Хотя ранее Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, Bloomberg заявляет, что эта информация не соответствовала действительности.
Причем, по данным издания, утилита для дешифрования данных, которую хакеры в итоге предоставили Colonial Pipeline, работала так медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.
Интересно, что представители Colonial Pipeline сообщили, что компании действительно удалось восстановить штатную работу своего трубопровода, и теперь поставки нефтепродуктов возобновлены в нормальном объеме.
Сообщения возможной выплате выкупа Colonial Pipeline «в настоящее время не комментирует».


Фишеры атакуют пользователей, пострадавших от взлома


На прошлой неделе мы сообщали о том, что австралийская компания Click Studios, стоящая за разработкой менеджера паролей Passwordstate, уведомила своих клиентов о взломе.
Passwordstate — локальное решение для управления паролями, которым, согласно официальной статистике разработчиков, пользуются более 370 000 ИБ- и ИТ-специалистов в 29 000 компаниях по всему миру.

В письме, которое получили все компании-клиенты Passwordstate, сообщалось, что инцидент произошел между 20 и 22 апреля 2021 года. Компания пострадала от атаки на цепочку поставок: злоумышленники распространили среди пользователей Passwordstate вредоносное обновление и в итоге заразили их машины малварью Moserware.
К сожалению, эта малварь успела передать на сервер преступников следующие данные пользователей: имя компьютера, имя пользователя, имя домена, имя текущего процесса, идентификатор текущего процесса, имя и идентификатор всех запущенных процессов, имена всех запущенных служб, отображаемое имя и статус, адрес прокси-сервера Passwordstate, имя пользователя и пароль.
То есть хранилище паролей Passwordstate было скомпрометировано, и разработчики писали, что обычно в таблице паролей содержатся хедер, имя пользователя, описание, GenericField1, GenericField2, GenericField3, примечания, URL и сам пароль.
После сообщения об инциденте Click Studios оказывает помощь пострадавшим по почте, предоставляя клиентам исправления, призванные удалить вредоносное ПО из их систем. Так как эти письма от Click Studios можно было найти в социальных сетях, ими не преминули воспользоваться злоумышленники.
Хакеры создали фишинговые копии посланий Click Studios, и принялись рассылать их некоторым пострадавшим клиентам, продвигая таким образом малварь Moserpass.
«Судя по всему, злоумышленники активно отслеживают социальные сети в поисках любой информации о взломе и эксплуатации. Важно, чтобы клиенты не публиковали в социальных сетях информацию, которая может быть использована злоумышленниками. Именно это произошло перед появлением фишинговых писем, которые копируют содержимое писем Click Studios. Если вы не уверены, что письмо пришло от нас, отправьте его в службу технической поддержки в виде вложения, — предупреждают представители компании в новом сообщении. — Фишинговая атака строится на том, что клиенты должны загрузить модифицированный файл исправления Moserware.zip из сети CDN, не контролируемой Click Studios (которая теперь, похоже, отключена). Первоначальный анализ показывает, что это недавно измененная версия вредоносного Moserware.dll, который при загрузке пытается использовать альтернативный сайт для получения пейлоада. Мы все еще анализируем этот файл полезной нагрузки».


В Docker Hub нашли 30 вредоносных образов с криптовалютными майнерами



Специалисты Palo Alto Networks обнаружили 30 вредоносных образов в официальном репозитории контейнеров Docker. «Находки» специалистов были загружены более 20 000 000 раз и занимались скрытым майнингом криптовалюты.
Эксперты пишут, что эти вредоносные образы происходили с 10 разных аккаунтов, и большинство из них были доступны в Docker Hub на момент публикации исследования. Названия некоторых образов ясно давали понять, какова их цель, тогда как названия других пытались ввести пользователей в заблуждение (proxy, ggcloud или docker).

В большинстве случаев злоумышленники добывали с помощью зараженных образов криптовалюту Monero с помощью майнера XMRig. Однако в некоторых случаях образы майнили такие криптовалюты как Grin (GRIN) и ARO (Aronium).


Проверив майнинговые пулы, исследователи пришли к выводу, что криптоджекинг уже принес злоумышленникам примерно 200 000 долларов США.
Изучив теги вредоносных образов, специалисты заметили, что те относятся к разным версиям, архитектурам процессоров и ОС. По мнению аналитиков, «злоумышленники добавляют эти теги, чтобы охватить более широкий круг потенциальных жертв, включая ряд операционных систем и архитектур ЦП».
Хуже того, исследователи полагают, что это находка – лишь верхушка айсберга, и в действительности ситуация с облачным криптоджекингом обстоит гораздо хуже, ведь Docker Hub является лишь одним из публичных репозиториев, которым можно злоупотреблять таким образом.


Не знаешь что посмотреть?
Канал КИНОМАНИЯ подскажет тебе фильм 🎥 или сериал с рейтингом выше 6.5 🥰
Только топовые сериалы и фильмы


Akamai сообщает, что мощные DDoS-атаки становятся нормой


По подсчетам компании Akamai, мощные вымогательские DDoS-атак становятся нормой. Хотя они не дотягивают до прошлых рекордов (можно вспомнить прошлогоднюю атаку мощностью 2,54 Тб/сек или атаку на 1,35 Тб/сек в 2018 году), это все равно большая проблема.
Дело в том, что сразу три недавние атаки входят в число шести крупнейших DDoS-атак, когда-либо обнаруженных Akamai. Эксперты объясняют, что такое количество мощных DDoS-атак на самом деле становится новой нормой. К примеру на три месяца 2021 года компания уже зафиксировала больше атак мощностью свыше 50 Гбит/сек, чем за весь 2019 год в целом.

Самыми заметными были атаки на 800+ Гбит/сек, 824 Гбит/сек и 812 Гбит/сек. Две последние произошли в один и тот же день — 24 февраля, а еще одну мощную атаку (594 Гбит/сек) компания обнаружила 5 марта.
Все три атаки вышеперечисленные атаки были нацелены на неназванную европейскую организацию из области игорной индустрии, а также на неназванную азиатскую компанию по производству видеоигр. Две из этих атак стали самыми крупными из известных на сегодняшний день вымогательских DDoS-атаками в принципе.


«Недавняя вымогательская атака со скоростью более 800 Гбит/сек, нацеленная на европейскую игорную компанию, была самой крупной и сложной из всех, что мы видели с момента массового возвращения вымогательских атак, которые начались в середине августа 2020 года», — говорят аналитики.
Также в компании отмечают, что злоумышленники расширяют охват по географическим регионам и отраслям, и из-за этого количество целей на сегодня выросло на 57% по сравнению с прошлым годом.

В целом ожидается, что DDoS-кампании 2021 года будут более узконаправленными и устойчивыми. Некоторые из таких атак, нацеленные адреса двух конкретных клиентов, длились несколько дней, и хакеры старались активно эксплуатировать любые слабые места в защите компаний.


«В одной атаке злоумышленники нацелились на почти дюжину IP-адресов и перебрали несколько векторов DDoS-атак, пытаясь повысить вероятность отказа серверной среды. Фактически 65% DDoS-атак, направленных против наших клиентов, были многовекторными», — сообщают в Akamai.


Сердце кита бьется всего 9 раз минуту.
😳😳😳
Хочешь прокачать свой мозг подписывайся на канал ПОЛЕЗНО ЗНАТЬ
Открой для себя больше нового и делись с друзьями


Мошенники в Китае обманули государственную систему проверки личности с помощью фото


По информации китайского издания Xinhua, два гражданина Китая обошли государственную биометрическую систему проверки личности ради налогового мошенничества и создания фальшивых счетов.
По данным правоохранительных органов, обвиняемые использовали эту тактику с 2018 года. Дело в том, что в стране давно в ходу проверка личности с помощью распознавания лиц, и этот метод аутентификации используется как в повседневной жизни, для совершения розничных транзакций, так и для доступа к различным государственным услугам.

По данным СМИ, обойти биометрию оказалось совсем нетрудно: понадобилось фото высокого разрешения и популярное приложение, которое превращает фотографии в видео. Изображение обрабатывается таким образом, чтобы фотография "двигалась", с создается видео с нужными действиями, включая кивание, качание головой, моргание и открывание рта. Полученную фальшивку обвиняемые залили на специально подготовленный смартфон с "захваченной" камерой, и использовали фейк для обхода проверок и аутентификации по лицу.
Войдя таким способом в систему, мошенники выставляли фальшивые счета от имени подставной компании, надеясь, подлог не заметят, и счета будут оплачены. Таких счетов было создано примерно на 500 млн юаней (примерно 57,5 млн рублей).
Предполагается, что злоумышленники также взломали приложение для выдачи бизнес-лицензий и добавили в систему собственные биометрические данные, чтобы иметь возможность входить в систему как легитимные пользователи.


Секс, наркотики и криминал не предлагаем!
Предлагаем заценить один из лучших информационно-познавательных каналов о космосе - KOSMOS TV (тот самый)


DuckDuckGo предупреждает, что отказ от сторонних cookie не мешает браузерной слежке

На этой неделе в блоге разработчиков DuckDuckGo появилась ­­публикация, посвященная отказу от сторонних cookie. Создатели ориентированного на конфиденциальность поисковика предупреждают, что широко обсуждаемый план Google по отказу сторонних cookie в Chrome к концу 2022-2023 года, а также связанные с этим ограничения, уже реализованные в таких браузерах, как Brave, Firefox и Safari, не помешают производителям следить за пользователями.
 
«Чтобы действительно помешать Google и Facebook отслеживать вас на других сайтах, вы должны заблокировать загрузку их трекеров в вашем браузере при посещении других сайтов, — рассказывает глава DuckDuckGo Габриэль Вайнберг. — Недостаточно просто ограничить их после загрузки (например, запретив использовать сторонних файлов cookie)».

Два наиболее распространенных трекера, теги Google Analytics и пиксель Facebook , могут быть реализованы посредством основных cookie, поэтому они не блокируются даже после ограничения сторонних файлов cookie. Вайнберг утверждает, что простая загрузка трекера (скрипта, изображение или файла cookie), это уже начало слежки:

«Трекер может собрать многое заранее, включая информацию о вашем устройстве (IP-адрес, user agent, заголовки HTTP и так далее). А также вашу информацию, которую сайт решит отправить вместе с ними (например, из основных файлов cookie)».
В DuckDuckGo пишут, что, в сущности, существует множество способов отслеживания пользователей без сторонних cookie, например, IP-адреса, в сочетании с другими сетевыми данными, могут использоваться для фингерпринтинга и создания идентификатора браузера.

Вайнберг уверен, что технологии Google, предназначенные для замены сторонних файлов cookie, например, Federated Learning of Cohorts (FLoC), и связанные с ними методы доставки рекламы, якобы разработанные с упором на конфиденциальность, по-прежнему могут быть полезны для отслеживания людей. В частности, FLoC нацелен на присвоение пользователям идентификаторов групп интересов и может быть объединен с IP-адресом, в итоге став уникальным идентификатором конкретного человека.

«Таким образом, любой трекер, который получает и то и другое [идентификатор FLoC и IP-адрес], может использоваться для отслеживания и исключительно хорошо ориентироваться в поведении пользователя без сторонних файлов cookie и чего-либо еще», — подытоживает Вайнберг.

Для защиты от такой слежки разработчики предлагают использовать браузерное расширение DuckDuckGo, доступное для Chrome, Firefox, Edgeи Safari, а также мобильный браузер компании для iOS и Android.
Согласно тесту на время загрузки страницы от WebMD.com, расширение DuckDuckGo сократило время загрузки страницы для Chrome, Firefox и Safari (с настройками по умолчанию) с 20,2, 15,3 и 13,1 секунд до 9,9, 9,1 и 7,5 секунд соответственно, то есть в среднем на 46%.
Также расширение сократило объем передаваемых данных в среднем на 34% и количество запросов на загрузку файлов в Chrome, Firefox и Safari на 66% в среднем.


Астронавт NASA Джек Фишер наглядно показывает что происходит с водой в невесомости.

ИНТЕРЕСНО?

Переходи на канал Kosmos TV и узнай много нового и интересного про Космос, Науку и Технологии

Показано 20 последних публикаций.

4 183

подписчиков
Статистика канала