Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Антифишинг-дайджест № 239 с 10 по 16 сентября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для новой фишинговой кампании мошенники зарегистрировали десятки доменов, названия которых созвучны московским энергетическим компаниям, в том числе «Мосгазу» и «Мосэнергосбыту».

Массовая регистрация доменов, содержащая сочетания rusgaz, mosgaz и energo была зафиксирована в первых числах сентября. Пока ни один из этих сайтов не продвигается в поисковой выдаче.

Наполнение сайтов отличается в зависимости от региона пользователя: с территории РФ открываются потенциально фишинговые страницы, а пользователей из-за рубежа переадресует на случайные ресурсы.

Часть зарегистрированных по новой схеме сайтов похожа на классический фишинг. Например, сайт mosenergosbut.ru представляет собой подделку под сайт «Мосэнергосбыта» mosenergosbyt.ru. Скорее всего, злоумышленники пытаются собрать учетные данные пользователей — логины, телефоны, почты, пароли.

На других сайтах, упоминающих в названии «Мосэнерго», идет атака уже на сотрудников компании. Например, на одном из сайтов предлагается ввести логин и пароль для доступа к медицинской карте работника.

Мошенники распространили в интернете фальшивый пресс-релиз Walmart, в котором говорилось, что торговая сеть начнет принимать для оплаты криптовалюту Litecoin, чтобы взвинтить цены на неё. Стоимость Litecoin в результате выросла почти на 35%.

Документ содержал вымышленные цитаты главы Walmart Дуга Макмиллона и создателя Litecoin Чарли Ли, которые якобы заключили соглашение о партнерстве.
После публикации релиза на ведущих новостных сайтах и появления ретвитов новости в официальном Twitter криптовалюты, цена Litecoin поднялась со 175 до 237 долларов США.

Однако вскоре пользователи заметили, что в пресс-релизе использовался email-адрес на домене wal-mart.com, который зарегистрировали в августе 2021 года на Namecheap и который никак не связан с компанией Walmart.

Официальные представители Walmart тут же поспешили сообщить CNBC, что пресс-релиз был подделкой. Цена Litecoin быстро снизилась и теперь криптовалюта торгуется на уровне 180 долларов США.

Атаки и уязвимости

Разработан новый метод, с помощью которого злоумышленники могут заставить жертву подключиться к вредоносной беспроводной точке доступа.

Первая сеть The «aireye_network» настоящая, а вторая содержит в имени суффикс «%p%s%s%s%s%n», который не отображается на iPhone.

Метод, получивший название SSID Stripping, работает на Windows, macOS, Ubuntu, Android и iOS. Он состоит заключается в манипуляциях с именем подконтрольной хакерам беспроводной сети (SSID), в результате которых оно отображается как имя настоящей беспроводной сети.

Исследователям удалось сгенерировать три типа так называемых «ошибок отображения» («display errors»):

  1. Внедрение в SSID байта NULL, в результате чего устройства Apple отображают только часть имени, расположенного перед этим байтом. На устройствах под управлением Windows для этого можно использовать символ новой строки.
  2. Внедрение в SSID непечатаемых символов. Злоумышленник может добавить в SSID специальные символы, которые будут включены в имя, но не будут видны пользователю. Например, имя сети «aireye_x1cnetwork», где x1c представляет собой байт со значением 0x1C hex, отображается так же, как «aireye_network».
  3. Скрытие части имени сети из видимой области экрана. Например, имя сети «aireye_networknnnnnnnnnnnrogue», где «n» обозначает символ новой строки на iPhone будет отображаться как «aireye_network», поскольку слово «rogue» находится вне поле зрения. Вместе с ошибкой второго типа это можно использовать для эффективного скрытия суффикса названия вредоносной сети.

Уязвимости CVE-2021-40823 и CVE-2021-40824 в некоторых клиентах открытого протокола мгновенного обмена сообщениями Matrix дают злоумышленнику возможность заставить уязвимые клиенты выдать ключи шифрования для сообщений, ранее отправленных этим клиентом пользователю, чья учетная запись была взломана.

Проблема встречается в клиентах Matrix Element (web/десктоп/Android), FluffyChat, Nheko, Cinny и SchildiChat. В Element для iOS уязвимости нет.

Чтобы прочитать зашифрованные сообщения с помощью этих уязвимостей нужно получить контроль над учетной записью получателя. Для этого требуется либо скомпрометировать непосредственно его учетные данные, либо домашний сервер.

Таким образом, наибольшему риску подвержены пользователи в зашифрованных комнатах с вредоносными серверами. Администраторы вредоносных серверов могут выдавать свои устройства за устройства пользователей и перехватывать сообщения, отправляемые уязвимыми клиентами в этой комнате.

Инциденты

В открытом доступе обнаружены данные абонентов домашнего интернета компании Beeline.

Данные содержатся в общедоступном сервере Elasticsearch и включают ФИО, номер телефона, адрес эл. почты, серию и номер паспорта, адрес, дату рождения.
Сервер впервые появился в свободном доступе 27 августа и содержал более 4,1 Тб данных.

Производитель спортивной одежды Puma стал жертвой вымогателей, которые похитили исходный код внутреннего приложения компании и требуют выкуп, угрожая опубликовать украденную информацию в даркнете.

Глава отдела корпоративных коммуникаций Puma, подтвердил журналистам, что у компании произошла утечка, но подчеркнул, что инцидент не затронул данные пользователей.

Хакеры утверждают, что похитили у компании более 1 Гб данных. Чтобы подкрепить эти заявления доказательствами, злоумышленники обнародовали примеры некоторых файлов, которые, судя по всему, были взяты из официального Git-репозитория Puma.

В результате кибератаки хостинг-провайдера MskHost приостановил работу всех сервисов, после чего объявил о банкротстве.

Вся инфраструктура хостинга была взломана, был получен доступ к пользовательским серверам и данным, а большая часть серверов была безвозвратно удалена.

Ответственность за взлом MskHost взяли на себя анонимные хактивисты. Они разместили на сайте провайдера ссылку , ведущую в Telegram-канал с обращением, объясняющим мотивы взлома.

По их словам, они неоднократно жаловались провайдеру на размещение фишинговых и кардинговых сайтов, но их просьбы были проигнорированы. Поэтому хактивисты «вместе c ведущими пентестерами СНГ были вынуждены нанести удар по инфраструктуре этого хостинг-проекта, и очистить Рунет от такого масштабного хостера черни».

Японская компания Olympus стала жертвой вымогателя, атаковавшего инфраструктуру подразделений в Европе, на Ближнем Востоке и в Африке.

При обнаружении подозрительной активности, обмен данными в затронутых системах был приостановлен. Расследование инцидента продолжается.

Olympus не раскрывает, с какого рода инцидентом столкнулась компания, однако, судя по вымогательскому уведомлению, атаку провела вымогательская группировка BlackMatter. Какой выкуп требуют у Olympus, пока неизвестно.

Из-за кибератаки произошёл сбой в работе систем Департамента юстиции Южно-Африканской республики (ЮАР).

В результате атаки были зашифрованы все информационные системы ведомства. Из-за инцидента в ЮАР недоступны электронные услуги, оказываемые Департаментом юстиции, пострадала административная платежная система MojaPay.

Специалисты ведомства продолжают работу над восстановлением систем. Сотрудники в ручном режиме проводят судебные заседания, выдачу документов и выплаты.

Виновник кибератаки пока не установлен, не имеется свидетельств утечки данных и пока не поступало требований выкупа.

Компания TTEC занимается устранением сбоев в работе компьютерных систем в результате атаки вымогательского ПО.

Сети компании предположительно были атакованы вымогательской группировкой Ragnar Locker. ИТ-службы TTEC призывают сотрудников не нажимать на файл под названием «! RA! G! N! A! R!», который внезапно мог появиться в меню «Пуск» Windows.

Большинство служб компании сообщают о «неработоспособности». Cотни сотрудников TTEC, которым поручено работать с предоплаченными услугами Bank of America, не могут удаленно подключиться к инструментам обслуживания клиентов TTEC. Более тысячи сотрудников TTEC не могут выполнять свою обычную работу по поддержке клиентов Verizon.

Хактивисты Anonymous заявили о похищении почти 180 гигабайт данных у регистратора доменов Epik.

Один из праворадикальных сайтов клиента Epik, содержимое которого хакеры заменили на собственное.

В список клиентов компании входят праворадикальные сайты, в том числе Texas GOP, Gab, Parler, 8chan и пр. Похищенные данные были опубликованы в виде torrent-файлов, а также выложены на сайте Distributed Denial of Secrets (DDoSecrets).

По словам Anonymous, что набор данных содержит «все необходимое для отслеживания реальных владельцев и руководителей фашистской стороны интернета».

В Epik отрицают утечку и сообщают о том, что проводится расследование.

 58   3 дн   дайджест   фишинг

Антифишинг-дайджест № 238 с 3 по 9 сентября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В социальных сетях появилось созданное с использованием технологии Deepfake видео, где человек, похожий на главу банка «Тинькофф» Олега Тинькова, обещает подарить половину суммы, переведенной на сервис для инвестиций.

Мошенническое видео распространяется под заголовком «Важное заявление от Олега Тинькова» от страницы Tinkоff Вonus. В нем Тиньков якобы обещает подарить 50% к сумме вложений при регистрации. «Например, вы инвестируете 20 тыс. руб., а на счет для работы получаете 30 тыс. руб.», — говорит поддельный Тиньков.

Подделку можно отличить по голосу, непохожему на голос Олега Тинькова, низкому качеству монтажа — например, движение губ и речь не согласованы. При этом преступникам удалось создать реалистичное моргание, в то время как в других дипфейках люди не моргают, так как они создаются по фото с открытыми глазами.

После перехода по ссылке в посте с фальшивкой пользователь попадает на фишинговую страницу с логотипами банка «Тинькофф» и «Тинькофф Инвестиций», где его просят оставить имя, email и телефон.

Обнаружена вредоносная рассылка против ритейлеров, в которой используется вредоносный документ, якобы созданный на Windows 11.

Организатор кампании — APT-группировка FIN7, также известная как Carbanak.

Схема кампании:

1. Жертва получает письмо с документом Microsoft Word, якобы содержащий сведения о возможностях Windows 11.

2. Для просмотра документа пользователя просили включить активный контент.

3. Если пользователь включал контент, запускался обфусцированный макрос, загружающий на машину вредоносный JavaScript-бэкдор, который FIN7 использует как минимум с 2018 года.

4. VBA-загрузчик извлекает из документа шифрованные списки по ним проводит ряд проверок:

  • ищет имя домена CLEARMIND — связь с PoS-провайдером американских рителейров и владельцев отелей;
  • пытается определить язык, которым пользуется владелец компьютера;
  • ищет признаки виртуального окружения;
  • проверяет доступный объем памяти — не менее 4 Гбайт;
  • через LDAP ищет объект RootDSE, с помощью которого можно получить имя домена в каталоге Active Directory, к которому привязан данный компьютер.

5. Если проверка прошла успешно, в папку TEMP загружается скрипт word_data.js, заполненный мусорными данными для маскировки полезной нагрузки.

6. Установка JavaScript-бэкдора не происходи, если обнаружен какой-либо язык из стоп-листа, в который входят русский, украинский, молдавский, эстонский, сербский, серболужицкий, словацкий, словенский, или присутствие виртуальной машины VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper или Parallels.

В Индии обнаружена вымогательская кампания сексуального характера с использованием технологии Deepfake.

Схема мошенничества:

  1. С мужчинами в социальных сетях связываются «женщины» с фальшивых аккаунтов, а затем звонят по видео, общаются с пользователем и производят действия сексуального характера.
  2. После разговора мужчины получают угрозы разослать записанное видео знакомым и родственникам жертвы, если тот не перечислит определённую сумму на счёт шантажистов.
  3. И хотя жертва не совершала ничего непристойного, мошенники с помощью технологий Deepfake и синтеза речи создают фальшивый ролик, где жертва ведёт себя неподобающим образом, и рассылают его родственникам и знакомым мужчины.
  4. Если раньше в такой схеме участвовали настоящие женщины, то сейчас благодаря технологиям расходы на подобные кампании стали значительно меньше.

Обнаружена кибершпионская кампания, в которой профили в Facebook и Android-бэкдоры использовались для слежки за курдами.

Организатор кампании — группировка BladeHawk. Для атак использовались шесть Facebook-профилей, два которых публиковали фальшивые новости, а остальные делились контентом в поддержку курдов. Каждый пост содержал ссылки на шпионские программы Android 888 RAT и SpyNote.

В общей сложности обнаружено 28 вредоносных публикаций в Facebook, относящихся к кампании BladeHawk. Шпионское ПО было загружено почти 1,5 тыс. раз в период с июля 2020 года по июнь 2021 года.

Вредонос 888 RAT доступен на подпольных форумах с 2018 года. Windows-версия стоит 80 долларо США, версии для Android и Linux — от 150 до 200 долларов США. Троян похищает и удаляет данные на устройстве, создаёт скриншоты, собирает информацию о местонахождении устройства, крадёт учетные данные для аккаунтов в Facebook, SMS, список контактов.

Атаки и уязвимости

В компоненте Microsoft MSHTML обнаружена уязвимость нулевого дня, которая позволяет выполнить произвольный код от имени текущего пользователя.

Уязвимость получила идентификатор CVE-2021-40444 и оценена в 8,8 баллов из 10 по шкале CVSS. Она присутствует в во всех версиях Windows, включая Windows Server 2008-2019 и Windows 8.1-10. Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.

Используя уязвимость, можно создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Злоумышленнику останется лишь убедить пользователя открыть такой вредоносный файл.

Уже сообщается о реальной атаке по этому вектору с использованием файла .DOCX. При открытии документ загружал движок ​​Internet Explorer для рендеринга удаленной веб-страницы атакующего. Затем, с помощью элемента управления ActiveX, расположенного на этой странице, при помощи функции «Cpl File Execution» загружалось вредоносное ПО.

Эксперты сообщают, что такой метод атак на 100% надежен, что делает его очень опасным.

В Microsoft Outlook обнаружена уязвимость, с помощью которой можно обмануть пользователя и выдать поддельное письмо за сообщение от настоящего контакта.

Источником проблемы стал компонент Address Book, позволяющий любому подменить контактную информацию сотрудников организации, используя внешний похожий домен, имя которого содержит Unicode-символы из других языков.
Например, если доменом компании является ’somecompany[.]com’, атакующий, который зарегистрировал домен с национальными символами, например, ’ѕomecompany[.]com’ (xn—omecompany-l2i[.]com), может отправить убедительные фишинговые письма сотрудникам компании ’somecompany.com’, использующей Microsoft Outlook для Windows.

Оказалось, что письма, отправленные с похожих на легитимные домены, в Outlook будут отображать контактную карту реального человека, зарегистрированного на официальном домене из-за того, что Address Bookне делает различий при отображении контактной информации.

Инциденты

В результате взлома сайта CITY4U были похищены личные данные 7 миллионов израильских граждан.

Через портал CITY4U местные органы власти во многих городах Израиля собирают различные платежи. Граждане оплачивают через него воду, муниципальный налог на недвижимость, штрафы.

По сообщению израильских СМИ, злоумышленник выложил в интернет личные данные десятков израильтян и утверждает, что владеет информацией о 7 миллионах граждан.

В украденных данных содержатся сведения об удостоверениях личности, водительских правах, налоговых декларациях, уведомлениях о штрафах и других документах.

Разработчики Jenkins сообщили о кибератаке, в результате которой злоумышленники установили на один из внутренних серверов проекта программу для майнинга криптовалюты Monero.

Хакеры взломали один из использующих Atlassian Confluence серверов, содержавших уязвимость удаленного выполнения кода CVE-2021-26084. Проблема имеется в Confluence Server и Confluence Data Center и позволяет обойти аутентификацию и выполнить вредоносные OGNL команды, что даёт возможность полностью скомпрометировать уязвимую систему.

По заявлению разработчиков, злоумышленники скомпрометировали сервер, поддерживающий ныне не функционирующий вики-портал Jenkins. Сам сервер был признан устаревшим в октябре 2019, когда системы проекта «переехали» на GitHub.

 76   10 дн   дайджест   фишинг

Антифишинг-дайджест № 237 с 27 августа по 2 сентября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, направленная против пользователей криптовалютной биржи Luno.

Схема обмана:

1. Пользователь получает на электронную почту письмо якобы от команды Luno о том, что входящий платеж поставлен на паузу из-за ошибки в данных профиля. Чтобы решить проблему, ему предлагают перейти по ссылке в письме.

2. После перехода по ссылке жертва попадает на поддельный сайт криптобиржи, где ей предлагают авторизоваться. Ресурс мошенников очень похож по дизайну на сайт настоящей Luno, но вот его адрес даже не попытались замаскировать, рассчитывая на невнимательность пользователя.

3. Чтобы криптоинвестор ничего не заподозрил, мошенники даже установили строгие требования к безопасности. Например, для авторизации на фейковом сайте, как и на официальном, нужно ввести сложный пароль, и требования к нему тоже совпадают.

4. Если жертва вводит учетные данные, на экране появляется сообщение об ошибке сервера 403: отсутствие доступа к материалу на странице. Пароль отправляется злоумышленникам, и если срочно его не поменять, они смогут зайти в кошелек жертвы и забрать оттуда всю криптовалюту.

Очередная мошенническая кампания направлена на родителей школьников, которых заманивают обещанием крупных призов от известных брендов к 1 сентября.

Схема кампании:

  1. В соцсетях и мессенджерах производится массовая рассылка от имени крупных магазинов, в которой сообщается о подарках к 1 сентября и школе. Потенциальных жертв пытаются привлечь достаточно крупными суммами — 100-200 тысяч рублей.
  2. Злоумышленники пытаются вовлечь пользователей в распространение фейков: для участия в лотерее нужно поделиться ссылкой на акцию в соцсетях или отправить её в несколько чатов в мессенджерах.
  3. Поверивших в «приз» заманивают на мошеннический сайт, где пользователям предлагалось ввести свои банковские данные для получения определённой суммы.
  4. После этого на экране появлялось сообщение об отмене операции перевода в несколько тысяч долларов из-за неверной валюты зачисления и сообщалось, что для успешного завершения транзакции необходимо оплатить комиссию за конвертацию долларов в рубли в размере 300 рублей.
  5. Согласившись на оплату «комиссии», жертва пополняла счёт злоумышленников, не получив никакого подарка.

Атаки и уязвимости

Уязвимость в функции фильтрации изображений WhatsApp для чтения конфиденциальной информации из памяти приложения.

Проблема CVE-2020-1910 получила оценку 7,8 балла по шкале CVSS и связана c некорректной реализацией некоторых фильтров изображений, из-за которой происходило чтение/запись за пределами границ буфера.

Используя эту уязвимость, злоумышленники могли отправить специально сформированное изображение жертве и получить доступ к данным, хранящимся в памяти приложения.

В протоколе Bluetooth Classic [BR/EDR] обнаружены 16 уязвимостей, которые могут использоваться для выполнения различных вредоносных действий от нарушения работы устройств до выполнения произвольного кода и перехвата контроля над уязвимой системой.

Уязвимости, получившие общее название BrakTooth, присутствуют в однокристальных системах от Intel, Qualcomm, Texas Instruments, Infineon (Cypress) и Silicon Labs.

Наиболее опасной является уязвимость CVE-2021-28139, позволяющая удаленно выполнить произвольный код с помощью пакетов Bluetooth LMP. Она затрагивает смарт-устройства и промышленное оборудование, использующее однокристальные схемы Espressif Systems ESP32.

С помощью прочих уязвимостей атакующий может вызвать сбой в работе сервиса Bluetooth на смартфонах и ноутбуках. В числе уязвимых устройств специалисты указывают лэптопы Microsoft Surface, настольные компьютеры Dell, а также несколько моделей смартфонов на базе чипов Qualcomm.

Для проведения атак с использованием BrakTooth потребуется Bluetooth-оборудование, стоимостью менее 15 долларов США.

В домашних охранных системах компании Fortress Security Store обнаружены уязвимости, позволяющие удаленно «обезвредить» их.

Уязвимость CVE-2021-39276 представляет собой проблему доступа к API без аутентификации. Злоумышленник, который знает email жертвы, может использовать email для запроса к API и получения номера IMEI, связанного с охранной системой. Получив IMEI, злоумышленник сможет отправлять неаутентифицированные POST-запросы для внесения изменений в систему, в том числе для снятия с охраны.

Уязвимость CVE-2021-39277 может быть использован для запуска атаки с воспроизведением радиосигнала. Так как связь между различными компонентами охранной системы не защищена должным образом, злоумышленник может перехватывать различные команды (включая постановку на охрану или снятие с охраны) с помощью программируемого радиоприёмника (SDR), а затем воспроизводить эти команды позже. Такая атака не требует каких-то предварительных знаний о целевой системе, но может быть осуществлена только в радиусе действия радиосигнала.

Систему бесключевого доступа некоторых моделей автомобилей Honda и Acura возможно взломать с помощью простой атаки повторного воспроизведения (replay attack).

Проблема заключается в отсутствии скользящего кода (rolling code), применяемого в системах бесключевого доступа для защиты от атак повторного воспроизведения.

В результате для взлома Honda или Acura достаточно всего лишь записать сигналы с брелока и воспроизвести команды. Таким образом злоумышленник сможет блокировать или разблокировать автомобиль, открывать/закрывать окна, открыть багажник или запускать двигатель.

Уязвимые модели:

  • 2009 Acura TSX,
  • 2016 Honda Accord V6 Touring Sedan,
  • 2017 Honda HR-V,
  • 2018 Honda Civic Hatchback,
  • 2020 Honda Civic LX.

В серверах Microsoft Exchange обнаружена новая уязвимость, которая позволяет неавторизованному злоумышленнику изменить конфигурации сервера, что приведет к раскрытию информации и возможности идентифицировать пользователей.

Проблема CVE-2021-33766 получила название ProxyToken и оценку в 7,3 балла по шкале CVSS.

Причина уязвимости в том, что фронтэнд-сайт Microsoft Exchange (Outlook Web Access, Exchange Control Panel) в основном работает как прокси для бэкэнда (Exchange Back End), которому передает запросы аутентификации. В установках Exchange, где активна функция Delegated Authentication, фронтэнд пересылает бэкэнду запросы, требующие аутентификации, и тот идентифицирует их по наличию файла cookie SecurityToken. Если в запросе /ecp присутствует непустой файл cookie SecurityToken, фронтэнд делегирует решение об аутентификации бэкэнду.

Однако конфигурация Microsoft Exchange по умолчанию не загружает для бэкэнда ECP-модуль, ответственный за делегирование процесса валидации (DelegatedAuthModule). В итоге запросы, содержащие непустой файл cookie с именем SecurityToken, которые перенаправляются с фронтэнда бэкэнду, не аутентифицируются, а ответы с ошибкой HTTP 500 раскрывают canary-токен Exchange Control Panel.

Инциденты

Авиакомпания Bangkok Airways стала жертвой вымогательской атаки, в ходе которой злоумышленники успели похитить информацию о пассажирах.

Официальный пресс-релиз об инциденте был выпущен на следующий день после того, как хак-группа LockBit разместила на своем сайте в даркнете сообщение о взломе и пригрозила опубликовать данные, похищенные у авиакомпании, если та не оплатит выкуп.

Пять дней, которые злоумышленники дали Bangkok Airways на оплату выкупа, уже истекли, поэтому хакеры обнародовали более 200 Гб украденных данных.

В руки хакеров могли попасть следующие данные: имя пассажира, фамилия, национальность, пол, номер телефона, адрес электронной почты, адрес, контактная информация, паспортная информация, информация об истории поездок, частичная информация о банковской карте, информация о специальном питании. Подчеркивается, что оперативные и авиационные системы безопасности не пострадали.

Хакеры похитили у DeFi-платформы Cream Finance криптовалютные активы на сумму более 29 млн долларов США.

Для хищения использовалась reentrancy-атаку, направленная против функции мгновенного кредитования (flash loan). Это позволило похитить у Cream Finance 418 311 571 токен AMP (на момент взлома примерно 25,1 млн долларов США), а также 1308,09 ETH (примерно 4,15 млн долларовСША).

Термином flash loan в данном случае обозначаются контракты на блокчейне Etherium, которые позволяют пользователям Cream Finance брать быстрые ссуды из средств компании, а затем возвращать их. Reentrancy-атаки работают за счет ошибки в этих контрактах и позволяют злоумышленнику запустить повторный вывод средств в цикле прежде чем исходная транзакция будет одобрена или отклонена, а средства должны быть возвращены.

Создатель криптовалютного приложения ZenGo и специалисты PeckShield подтвердили, что при взломе Cream Finance использовалась ошибка в интерфейсе контракта токена ERC777, который применяется Cream Finance для взаимодействия с базовым блокчейном Etherium.

На подпольной торговой площадке Marketo в даркнете выставлены на аукцион данные объёмом 1 Гб, предположительно похищенные у производителя спортивной одежды Puma.

Украденные данные Puma включают исходные коды приложений внутреннего управления, предположительно связанных с порталом управления продуктами компании. Эти данные могут быть использованы злоумышленниками для организации более изощренной атаки на компанию.

В результате кибератаки на Бостонскую публичную библиотеку произошёл масштабный сбой в работе компьютерной сети и online-сервисов учреждения.

Администрация немедленно отключила затронутые системы и приняла меры по изоляции проблемы. На данный момент нет свидетельств утечки конфиденциальной информации сотрудников или посетителей. Расследование инцидента продолжается.

В сообщении администрации не раскрывается информация о том, какого рода атака была осуществлена. В письме сотрудникам президент Бостонской публичной библиотеки Дэвид Лионард (David Leonard) сообщил, что проблема не связана с халатностью работников или ошибкой. Он также отметил, что в результате кибератаки некоторые данные могли быть потеряны безвозвратно.

 86   17 дн   дайджест   фишинг
Ранее Ctrl + ↓