Darknet Methods

2024-01-23 17:03:36 Взломан сайт поддержки Trezor. Пострадали данные 66 000 пользователей

Компания Trezor, разрабатывающая одноименные аппаратные кошельки для криптовалюты, сообщила об утечке данных. Атака произошла 17 января 2024 года, когда злоумышленники получили несанкционированный доступ к стороннему порталу технической поддержки.

Хотя расследование инцидента еще продолжается, в компании подчеркивают, что пока не обнаружено никаких доказательств того, что в результате атаки могли быть скомпрометированы цифровые активы пользователей. «Ваше устройство Trezor остается таким же безопасным, как и вчера», — уверяет производитель.

Однако информация о 66 000 пользователей, которые взаимодействовали со службой поддержки Trezor в период с декабря 2021 года по настоящее время, могла быть раскрыта злоумышленникам. Сообщается, что атака затронула email-адреса, номера телефонов и другую личную информацию, которая хранились в взломанной системе.

Хуже того, специалисты Trezor уже обнаружили 41 случай использования утекших данных: злоумышленники связывались к пользователям, чтобы обманом вынудить их выдать seed для восстановления, необходимый для получения доступа к кошельку. Открыть/Комментировать

2024-01-21 17:33:44 Более 40% публикаций об инвестициях в криптовалюты в Telegram оказались мошенническими

Специалисты AngaraSecurity с помощью OSINT-инструментов изучили публикации на тему криптовалюты в открытых Telegram-каналах. В общей сложности было выявлено около 22 000 материалов, связанных с криптовалютами, из которых почти 9000 были отмечены как подозрительные и впоследствии удалены.

В большинстве удаленных сообщений авторы предлагали пользователям инвестировать в крипторынок, например, «из 1000 рублей сделать 70 000 рублей», при этом перевод предлагали осуществить на банковскую карту.

Для привлечения пользователей мошенники использовали агрессивные названия для своих Telegram-каналов: «Заработок сейчас», «Путь к успеху», «Финансовая независимость», «Умные инвестиции», «Крипто ферма», «Крипто бабос», «Официальный канал».

Основные типы контента на таких каналах – курсы по обучению заработка на криптовалютах, предложениях о вкладах в криптоактивы, реклама групп и каналов инвесторов, скрытая реклама различных платформ, реклама криптокошельков, скидок и бонусов за регистрацию. Открыть/Комментировать

2024-01-19 17:03:11 Специалисты FACCT изучили новый троян удаленного доступа RADX RAT

В конце 2023 года специалисты FACCT зафиксировали несколько фишинговых рассылок от хак-группы, которая обычно использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди целей злоумышленников были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании.

В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров.

Однако проанализировали содержимое рассылок, специалисты обнаружили новый троян удаленного доступа — RADX.

Исследователи рассказывают, что в конце ноября 2023 года злоумышленники рассылали с почты sergkovalev@b7s[.]ru фишинговые письма с темой «Оплата сервера». В письма содержалось два вида вложений: «скрин оплаты за сервер zip» или «скрин оплаты за сервер.pdf zip». Открыть/Комментировать

2024-01-17 17:03:23 Инфостилер Phemedrone использует уязвимость для обхода Windows SmartScreen

Недавно обнаруженная уязвимость в Windows SmartScreen активно используется в атаках, приводящих к заражению новым стилером Phemedrone, предупреждает компания Trend Micro.

Уязвимость CVE-2023-36025 (8,8 балла по шкале CVSS) была устранена инженерами Microsoft еще в рамках ноябрьского «вторника обновлений» в прошлом году. Тогда сообщалось, что баг связан с обходом защиты Windows Defender SmartScreen. Уязвимость позволяет вредоносному ярлыку Internet Shortcut обойти проверки и связанные с ними предупреждения безопасности.

Вскоре после публикации информации об этой ошибке были замечено, что хакеры начали использовать ее, а в сети появились различные PoC-эксплоиты, которые многие злоумышленники поспешили задействовать в своих цепочках атак.

Как сообщает теперь компания Trend Micro, одна вредоносная кампания уже активно использует CVE-2023-36025 для распространения инфостилера Phemedrone, ранее неизвестного исследователям. Написанный на C#, Phemedrone представляет собой опенсорсную малварь с активной поддержкой на GitHub и в Telegram. Открыть/Комментировать

2024-01-15 17:32:03 Steam прекращает поддержку Windows 7 и 8.1 из соображений безопасности

С 1 января 2024 года Steam перестал поддерживать Windows 7, Windows 8 и Windows 8.1, и компания Valve рекомендует пользователям переходить на более «свежие» ОС.

Еще в прошлом году Valve анонсировала, что в 2024 году Steam перестанет поддерживать ряд операционных систем, а в верхней части клиента появился обратный отсчет, показывающий, через какое количество дней игровой клиент перестанет получать обновления. С начала января этот счетчик дошел до нуля и теперь ссылается на статью об окончании поддержки Windows 7, Windows 8 и Windows 8.1.

Стоит отметить, что согласно статистике Steam Hardware Survey от декабря 2023 года, лишь 0,89% пользователей до сих пор работают с этими версиями Windows.

Пользователям рекомендуется перейти на поддерживаемую версию Windows, например Windows 10 или 11. При этом стоит отметить, что клиент Steam по-прежнему работает в Windows 7 и 8.1, но после 1 января 2024 года его нормальная работа не гарантирована. Открыть/Комментировать

2024-01-13 16:03:25 Новый червь NoaBot заражает Linux-устройства майнерами

Исследователи компании Akamai обнаружили новый ботнет NoaBot, который атакует серверы по всему миру. NoaBot построен на основе самораспространяющегося червя Mirai, использует SSH для атак и устанавливает в зараженные системы криптовалютный майнер.

По информации экспертов, NoaBot нацелен на Linux-устройства и активен как минимум с января 2023 года. Однако, в отличие от оригинальной версии вредоноса Mirai, NoaBot использует в своих атаках не Telnet, а SSH. Кроме того, вместо малвари для организации DDoS-атак, новый вредонос использует модифицированную версию майнера XMRig и ориентируется на добычу криптовалюты.

Специалисты Akamai наблюдали за активностью NoaBot в течение последних 12 месяцев. На сегодняшний день им удалось выявить 849 различных IP-адресов по всему миру, с которых исходят атаки. Почти за каждым из них, вероятно, стоит уже зараженное NoaBot устройство. Открыть/Комментировать

2024-01-08 17:34:08 ФБР захватило сайт вымогательской группы BlackCat и разработало инструмент для расшифровки данных

Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.

Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.

Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.

Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров. Открыть/Комментировать

2024-01-06 17:04:18 Microsoft отключает обработчик протокола MSIX, так как им злоупотребляют хакеры

Разработчики Microsoft снова отключают обработчик протокола MSIX ms-appinstaller, так как сразу несколько хакерских группировок используют его для заражения пользователей Windows малварью.

Сообщается, что злоумышленники эксплуатируют уязвимость CVE-2021-43890 в Windows AppX Installer, связанную с обходом защитных решений. Этот баг позволяет обойти компоненты защиты от фишинга и вредоносного ПО в Defender SmartScreen, а также предупреждения браузеров, предостерегающие пользователей от загрузки исполняемых файлов.

По информации Microsoft, теперь для распространения вредоносных пакетов MSIX-приложений хакеры используют как вредоносную рекламу популярного софта, так и фишинговые сообщения в Microsoft Teams. Открыть/Комментировать

2024-01-04 17:03:19 Krasue RAT атакует серверы Linux и использует руткиты

Специалисты Group-IB обнаружили трояна удаленного доступа Krasue, нацеленного на Linux-системы телекоммуникационных компаний. Малвари удавалось остаться незамеченной с 2021 года.

В бинарный файл Krasue входят семь вариантов руткита, который поддерживает несколько версий ядра Linux и основан на коде трех проектов с открытым исходным кодом. По словам исследователей, основная функция этой вредоносной программы заключается в сохранении доступа к зараженному хосту, что может свидетельствовать о том, что она распространяется через ботнет или продается брокерами доступов другим злоумышленникам, стремящимся проникнуть в сети определенных организаций.

Пока неясно, как именно распространяется малварь, однако она может развертываться после эксплуатации уязвимости, бтурфорса учетных данных или даже загружаться из стороннего источника в виде пакета или бинарного файла, маскирующегося под легитимный продукт.

Судя по всему, пока жертвами Krasue стали только телекоммуникационные компании в Таиланде. Открыть/Комментировать

2024-01-02 17:32:53 Инфостилер JaskaGO нацелен на пользователей Windows и macOS

Исследователи рассказали об обнаружении новой кроссплатформенной Go-малвари, JaskaGO, которая предназначена для кражи информации и атакует системы под управлением Windows и macOS.

Впервые следы macOS-версии JaskaGO были замечены еще в июле 2023 года, и тогда малварь выдавала себя за установщики различного легитимного ПО (например, CapCut, AnyConnect и ИБ-инструменты).

Специалисты AT&T Alien Labs, обнаружившие вредоноса, рассказывают, что тот поддерживает обширный набор команд, поступающих с управляющего сервера.

После установки на машину жертвы JaskaGO проверяет, не работает ли она на виртуальной машине, и если ответ положительный, малварь выполняет какую-нибудь безобидную задачу, например пингует Google, стремясь остаться незамеченной. Открыть/Комментировать