Rose debug info
---------------

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 236 с 20 по 26 августа 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая мошенническая кампания с продажей фальшивых билетов на выступления популярных стендап-комиков.

Схема кампании

  1. Мошенники создают в соцсетях и на сайтах знакомств страницы c фотографиями красивых девушек.
  2. После недолгого общения «девушка» предлагает жертве сходить на концерт популярного комика, скидывая ссылку на фишинговый сайт
  3. Сайты мошенников, как правило, полностью копируют дизайн сайта standupbilet.ru.
  4. Человек покупает билеты, не получает их, пишет в поддержку мошенников.
  5. Ему предлагают оформить возврат. Для этого нужно перейти по ссылке и ввести данные карты. При этом на карте должна быть минимум та сумма, которую исходно потратили.

Порой жертве требуется один-три круга таких «возвратов», чтобы заподозрить что-то неладное.

Средняя цена билетов на фишинговых ресурсов колеблется от двух до девяти тысяч рублей.

В ходе новой фишинговой кампании мошенники используют XSS-уязвимость на сайте UPS.con для загрузки вредоносного файла.

Схема кампании;

1. :Жертва получает письмо от UPS с уведомлением о получении посылки. Письмо наполнено множеством легитимных ссылок, которые не выполняют никаких вредоносных действий. Однако номер отслеживания — это ссылка на сайт UPS, содержащая эксплойт для XSS-уязвимости, который внедряет вредоносный JavaScript в браузер при открытии страницы.

Ссылка на сайт UPS с эксплойтом для XSS-уязвимости.

2. При переходе по ссылке выполняется скрипт Cloudflare, внедренный с помощью XSS-уязвимости. Этот скрипт заставляет сайт UPS отобразить страницу загрузки файла:

3. Страница загружает на компьютер пользователя вредоносный документ Word с сайта злоумышленника на Cloudflare. Примечательно, что фишинговая кампания сделана настолько грамотно, что пользователь, перейдя по URL-адресу, увидит легитимный адрес ups.com, предлагающий загрузить счет-фактуру.

4. Загруженный документ называется «invoice_1Z7301XR1412220178» и выдает себя за счет-фактуру компании UPS. При открытии документа весь текст будет нечитабельным. Для корректного просмотра пользователя попросят «Включить содержимое».

5. Если пользователь разрешает содержимое, макрос попытается загрузить файл https[:]//divine-bar-3d75[.]visual-candy[.]workers[.[dev/blackhole.png. URL больше не работает, поэтому увидеть полезную нагрузку невозможно.

Эта фишинговая кампания наглядно демонстрирует креативность и развитие методов, используемых преступниками для создания доверия при распространении вредоносных файлов. В данном случае хотя отправитель электронной почты явно указывает на подозрительный домен, XSS-уязвимость позволяет URL-адресу и странице загрузки выглядеть вполне легитимно, в результате чего многие люди поддались на уловку преступников.

Пользователи NFT-маркетплейса OpenSea подвергаются фишинговым атакам в Discord, цель которых — кража средств в криптовалюте и токенов NFT.

Схема кампании:

  1. Если пользователю OpenSea требуется поддержка, он может запросить помощь в справочном центре OpenSea или через Discord сайта. Когда пользователь присоединялся к Discord и отправлял запрос о помощи, мошенники присылали жертве личные сообщения, в которых приглашали на якобы специальный сервер «Поддержка OpenSea».
  2. На поддельном сервере поддержки мошенники просили жертву предоставить удаленный доступ к экрану, чтобы они могли помочь и дать рекомендации по устранению проблемы.
  3. После этого жертве сообщили, что ей необходимо повторно синхронизировать расширение MetaMask для Chrome с мобильным приложением MetaMask.
  4. Во время этого на экране пользователя отображается QR-код, который тот должен отсканировать, но им пользуются мошенники. После появления QR-кода пользователь почти сразу видит сообщение о том, что приложение синхронизировано, потому что кодом воспользовались преступники
  5. Просканировавт QR-код жертвы в своем мобильном приложении, злоумышленники получают полный доступ к криптовалюте и всем хранящимся в кошельке NFT. Затем злоумышленники переводят средства в свои кошельки.

Атаки и уязвимости

В шприцевых насосах B. Braun Infusomat Space и док-станциях SpaceStation обнаружены уязвимости, которые позволяют посторонним модифицировать настройки насоса в режиме ожидания, например, менять дозировки вводимых пациентам лекарственных препаратов.

Уязвимости связаны с тем, что ОС насоса не проверяет источник команд, чем могут воспользоваться злоумышленники. Использование неаутентифицированных и незашифрованных проприетарных протоколов предоставляет хакерам дополнительные векторы атак для получения доступа к внутренним системам насоса, регулирующим дозировку каждого медпрепарата.

Всего выявлено пять уязвимостей:

  1. CVE-2021-33886 — Использование контролируемой извне строки формата (CVSS 7.7).
  2. CVE-2021-33885 — Недостаточная проверка подлинности данных (CVSS 9.7).
  3. CVE-2021-33882 — Отсутствие аутентификации для критической функции (CVSS 8.2)/
  4. CVE-2021-33883 — Передача чувствительной информации открытым текстом (CVSS 7.1).
  5. CVE-2021-33884 — Неограниченная загрузка файлов с опасным типом (CVSS 5.8).

В ПО Razer Synapse обнаружена уязвимость нулевого дня, которая позволяет получить привилегии администратора на Windows-компьютере при подключении к нему мыши или клавиатуры производства Razer.

При подключении гаджета к Windows 10 или Windows 11 ОС автоматически загружает и устанавливает соответствующие драйвера и ПО Razer Synapse, которое позволяет настраивать устройства Razer. Исполняемый файл RazerInstaller.exe запускается с помощью процесса с правами SYSTEM, поэтому установщик Razer тоже получает привилегии SYSTEM.

Уязвимостью можно воспользоваться, когда мастер установки предлагает указать папку для установки ПО. При этом появляется диалоговое окно «Выбрать папку». Если в это время нажать Shift и кликнуть правой кнопкой мыши на диалоговое окно, появится контекстное меню, среди пунктов которого буде запуск PowerShell. Если произвести этот запуск, PowerShell запускается с привилегиями SYSTEM, поскольку унаследует эти привилегии от родительского процесса.

В итоге потенциальный атакующий получает консоль с привилегиями SYSTEM.

Инциденты

В открытом доступе обнаружены данные более 38 миллионов человек, принадлежащих 47 различным организациям, которые работают с платформой Microsoft Power Apps.

В результате утечки пострадали государственные органы Индианы, Мэриленда и Нью-Йорка, а также частные компании, включая таких гигантов, как American Airlines, Ford, JB Hunt и даже саму Microsoft. В составе утечки имеются 332 тысячи email-адресов и ID сотрудников, используемые для расчета заработной платы в Microsoft, а также более 85 тысяч записей, связанные с порталами Business Tools Support и Mixed Reality.

Эти данные были доступны любому желающему через API OData PowerApps из-за неправильной конфигурации портала. Причина в том, что для защиты информации необходимо не только задать конкретные Table Permissions для таблиц, но также активировать опцию «Enable Table Permissions». К сожалению, пострадавшие организации этого не сделали.

На хакерском форуме RaidForums продают сканы паспортов 1,3 млн российских клиентов косметической компании Oriflame.

Утечка произошла в результате серии кибератак с использованием вымогательского ПО, в ходе которых злоумышленники получили несанкционированный доступу к информационным системам Oriflame.

По документам из слитой базы можно взять микрозайм, зарегистрировать домены в зоне .ru, сим-карты или кошельки платежных систем. Качественная копия реального паспорта является исходной точкой во многих мошеннических схемах. Объединив информацию, например, с базой пластиковых карт, злоумышленник может подготовить оформить электронную подпись, что может привести к краже всех денег с банковских счетов или перепродаже активов.

Крупнейшая в Бразилии сеть магазинов одежды Lojas Renner подверглась кибератаке с использованием вымогательского ПО, в результате которой некоторые ее IT-системы оказались недоступны.

Атака привела к закрытию всех физических магазинов Lojas Renner в Бразилии. Однако уже на следующий день после инцидента компания уверила акционеров, что все магазины продолжают работать, а атака затронула только подразделение электронной коммерции.

Хотя компания и подтвердила факт кибератаки, она попыталась приуменьшить ее значение, заявив, что ее главная база данных не была взломана или зашифрована. Удалось ли злоумышленникам похитить данные с скомпрометированных серверов, не сообщается.

По словам анонимного источника издания The Record, Lojas Renner заплатила вымогателям 20 млн долларов США, однако сама компания не комментирует это заявление.

 86   24 дн   дайджест   фишинг

Антифишинг-дайджест № 235 с 13 по 19 августа 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Злоумышленники используют фальшивую captcha, чтобы заставить пользователей обойти предупреждения браузеров и загрузить банковский троян Gozi, также известный как Ursnif.

Схема кампании:

1. С помощью различных уловок пользователя заманивают на страницу, где якобы демонстрируется видео из женской тюрьмы

2. При попытке просмотреть видео на компьютер автоматически загружается исполняемый файл console-play.exe

3. Поскольку загруженный файл является исполняемым, Google Chrome автоматически предупреждает, что файл может быть вредоносным, и спрашивает, хочет ли пользователь «Сохранить» его или «Отменить» загрузку. Чтобы обойти это предупреждение, злоумышленники показывают жертве поддельную reCAPTCHA, где пользователя просят нажать на клавиатуре клавиши «B», «S», «Tab», «A», «F» и «Enter»:

4. При нажатии клавиш «B», «S», «A» и «F» ничего не происходит, но нажатие «Tab» переместит фокус на кнопку «Сохранить», а затем нажатие клавиши «Enter» сработает как клик по этой кнопке, заставляя браузер загрузить и сохранить файл на компьютер. Видео в итоге начнет воспроизводиться автоматически, поэтому пользователь решит, что успешно прошёл captcha.

5. Получив управление, исполняемый файл создаст папку в %AppData%\Bouncy for .NET Helper и установит в нее множество файлов. Все эти файлы — фальшивка, за исключением исполняемого файла BouncyDotNet.exe.

6. BouncyDotNet.exe будет читать различные строки из реестра Windows, используемые для запуска команд PowerShell. Эти команды в итоге скомпилируют приложение .NET с помощью встроенного компилятора CSC.exe, который запустит DLL банковского трояна Ursnif.

7. После запуска банкер похитит учетные данные жертвы, загрузит на компьютер дополнительную малварь и выполнит любые команды, переданные ему удаленными злоумышленниками.

Обнаружена мошенническая схема, направленная против школьников, желающих подработать.

Подробности кампании:

  1. Мошенники создают в ВК специального бота, который предлагает всем желающим подработать, зарабатывая виртуальные «алмазы».
  2. Заработанные алмазы можно обменять на реальные деньги.
  3. Чтобы получить больше, нужно проявлять активность, приглашая друзей и покупая «VIP-доступ».
  4. В пользовательском соглашении явно указано, что владельцы бота могут, но не обязаны выводить деньги на счета своих пользователей, причём сумма вознаграждения определяется исходя из субъективного мнения администрации.
  5. После оплаты аккаунт пользователя блокируется, никаких заработанных денег не выводится.

Авторы очередной вредоносной кампании постоянно меняют механизмы обфускации и шифрования, а также используют азбуку Морзе, чтобы скрыть свои следы и похитить учетные данные пользователей.

Схема кампании

1. Фишинговые приманки замаскированы под счета-фактуры, связанные с финансовыми бизнес-операциями, а письма содержат файл HTML («XLS.HTML»). Конечная цель злоумышленников — собрать учетные данные пользователей, которые впоследствии используются в качестве отправной точки для атак.

2. HTML-вложения разделены на несколько сегментов, включая файлы JavaScript, используемые для кражи паролей, которые затем кодируются с использованием различных техник. Злоумышленники перешли от использования открытого HTML-кода к использованию разных методов кодирования, включая старые и необычные методы шифрования и азбуку Морзе, стремясь скрыть фрагменты атак.

3. При открытии вредоносного вложения открывается окно браузера, в котором отображается фиктивное окно для ввода учетных данных Microsoft Office 365 поверх размытого документа Excel. В этом окне пользователя призывают снова войти в систему, так как его доступ к документу Excel якобы истек.

4. Если человек вводит пароль, он получает сообщение о том, что введенный пароль неверен, тогда как на самом деле вредонос незаметно похищает данные.

5. Cсылки на файлы JavaScript преступники кодировали с использованием ASCII, а затем — азбуки Морзе. Позже уже весь HTML-код кодировался с использованием азбуки Морзе

Атаки и уязвимости

Обнаружена первая в мире кибератака на домашние IoT-устройства с использованием вредоносной рекламы.

Для незаметной установки приложений на подключенные к Wi-Fi домашние устройства использовалась online-реклама. Для проведения кампании злоумышленникам было достаточно обладать базовыми знаниями о документации API устройства, немного разбираться в JavaScript и владеть примитивными навыками в online-рекламе.

Злоумышленники распространяют вредоносное ПО путем внедрения вредоносного кода в рекламные баннеры через сети online-рекламы, которые, как правило, даже не предполагают, что помогают распространять вредоносный контент. В обнаруженной кампании для заражения вредоносным ПО не требовалось кликать на зараженный баннер или переходить на вредоносную страницу.

В межсетевом экрана FortiWeb компании Fortinet была обнаружена уязвимость внедрения команд, эксплуатация которой позволяет повысить привилегии и полностью перехватить контроль над устройством.

Проблема содержится в интерфейсе управления FortiWeb версии 6.3.11 и старше и получила оценку в 8,7 балла по шкале CVSSv3. Эксплуатация проблемы может позволить удаленному авторизованному злоумышленнику выполнять произвольные команды на системе через страницу конфигурации SAML-сервера.

После аутентификации в интерфейсе управления устройства FortiWeb злоумышленники могут передавать команды, используя обратные кавычки в поле «Name» на странице конфигурации сервера SAML. Далее эти команды выполняются от имени суперпользователя базовой операционной системы, что позволяет установить командную оболочку, программное обеспечение для майнинга криптовалют или другое вредоносное ПО.

В популярных почтовых клиентах и ​​серверах, включая Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, «Яндекс» и KMail обнаружены более 40 уязвимостей, связанных с реализацией с механизма шифрования STARTTLS.

Эксплуатация этих уязвимостей позволяет проводить атаки типа «человек посередине» (MitM), подделывать содержимое почтового ящика и похищать учетные данные.

Описано три варианта атак, использующих недостатки реализации STARTTLS:

  • MitM-атака, которая позволяет вмешаться в процесс согласования STARTTLS между почтовым клиентом и почтовым сервером, причём для этого необходимы валидные учетные данные для входа в учетную запись на том же сервере;
  • «ответное внедрение» — подделка почтового ящика путем вставки дополнительного содержимого в сообщение сервера в ответ на команду STARTTLS перед TLS-рукопожатием. Атакующий может обманом заставить клиент обработать команды сервера так, как если бы они были частью зашифрованного соединения.
  • атака через IMAP-протокол, который определяет стандартизированный способ получать сообщения электронной почты с почтового сервера через соединение TCP/IP. Злоумышленник может обойти STARTTLS в IMAP, отправив приветствие PREAUTH — ответ, который указывает, что соединение уже было аутентифицировано внешними средствами. Таким образом хакер может предотвратить обновление соединения и заставить клиента установить незашифрованное соединение.

В процессорах AMD Zen обнаружена уязвимость блока безопасности, которой позволяет взять их под сторонний контроль.

Схема для проведения атаки на AMD Zen.

Для эксплуатации уязвимости достаточно добавить на материнскую плату любого процессора AMD Zen сверхдешёвый «жучок», который позволяет обмануть встроенный в процессоры ARM-блок безопасности AMD Secure Processor (SP) и взять компьютер и потоки данных под полный контроль. Программных патчей для устранения этой уязвимости нет и не будет, поскольку для этого придётся менять саму архитектуру Secure Processor.

Уязвимость касается работы специального шифровального модуля AMD Secure Encrypted Virtualization (SEV), который отвечает за шифрование данных при использовании на компьютере виртуальных машин.

Имея физический доступ к компьютеру, можно создать процессору сбой питания, после чего развернуть методы шифрования SEV, которые использует процессор, и «вытащить» всю информацию о работе виртуальной машины.

Атакованный процессор дольше загружается, однако в серверах с большим объемом памяти данную просадку заметить непросто. AMD пока не прокомментировала обнаруженную уязвимость.

Инциденты

На хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов компании T-Mobile.

Продавец утверждал, что взломал серверы компании (производственные, промежуточные и серверы разработки, в том числе сервер Oracle, содержавший данные клиентов), получив доступ к незащищенному шлюзу T-Mobile GPRS, и похитил данные оттуда.

Весь дамп взломщик продаёт за 6 биткоинов, что составляет около 280 тыс. долларов США, заявляя, база содержит информацию о 100 млн человек, в том числе IMSI, IMEI, номера телефонов, имена, PIN-коды безопасности. Примерно для 30 млн человек в базе имеются даты рождения, номера водительских прав и даже номера социального страхования.

Представители T-Mobile опубликовали официальное заявление, в котором подтвердили факт взлома.

Операторы вымогательского ПО Hive взломали и зашифровали компьютерные системы некоммерческой медицинской организации Memorial Health System.

Атака привела к сбоям в работе клинической и финансовой деятельности. Были отменены срочные хирургические операции и рентгенологические обследования.

Злоумышленники украли базы данных с конфиденциальной информацией 200 тыс. пациентов, включающей номера социального страхования, имена и даты рождения.

Из-за атаки вымогателя некоммерческий поставщик медицинских услуг из Калифорнии Scripps Health, управляющий пятью больницами и 19 амбулаторными учреждениями, может потерять около 106,8 млн долларов США.

Основная часть убытков в размере 91,6 млн долларов США связана с упущенной выгодой. В течение четырех недель Scripps Health не могла получить доступ к своему web-порталу, регистрировать и предоставлять некоторые услуги пациентам, а персоналу приходилось перенаправлять пациентов в другие больницы.

21,1 млн долларов США Scripps Health потеряла из-за расходов, связанных с реагированием на инцидент и восстановлением систем. Поставщику удалось вернуть 5,9 млн долларов США за счет своего страхового полиса, однако к концу года финансовые потери предположительно превысят 100 млн долларов США.

 100   1 мес   дайджест   фишинг

Антифишинг-дайджест № 234 с 6 по 12 августа 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В телеграм появился вредоносный OTP Bot, который умеет получать от своих жертв данные банковских карт и коды подтверждения платежей от банков.

В диалогах с пользователями бот использует данные, найденные в даркнете или в утекших базах.

Самая популярная схема обмана выглядит так:

  • бот предлагает жертве подключить банковскую карту к мобильному счёту для проведения автоматических платежей.
  • после получения необходимых сведений, злоумышленники тратят деньги с карт на покупку подарочных карт в обычных магазинах.

Злоумышленники не вступают в прямой контакт с жертвой. Чтобы узнать одноразовый код, бот звонит на номер выбранного человека и просит назвать необходимую комбинацию цифр. Кроме финансовых данных мошенники способны таким же образом красть пароли и данные для входа на различные сервисы.

Обнаружена вредоносная кампания, в ходе которой операторы ботнета StealthWorker атакуют сетевые устройства хранения данных Synology и заражают их программами-вымогателями.

В атаках используется ряд уже скомпрометированных устройств с целью угадать распространенные учетные данные администратора. В случае успеха хакеры получают доступ к системе для установки вредоносных полезных данных, которые могут включать программы-вымогатели. Зараженные устройства могут выполнять дополнительные атаки на другие устройства под управлением Linux, включая Synology NAS.

В телеграм-каналах и чатах распространяется троян удаленного доступа FatalRAT, который не только крадет данные пользователей, но и поражает систему безопасности устройства, на котором установлен мессенджер.

Троян FatalRAT спрятан в ссылках, по которым могут пройти потенциальные жертвы. Для повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фальшивыми копиями сайтов популярных СМИ.

FatalRAT может не только управлять внешними соединениями и веб-браузерами, но и вносить изменения в систему без ведома владельца устройства. Под угрозой также оказываются одноразовые пароли, рассылаемые банками и другими сервисами для аутентификации.

Раскрыта сложная мошенническая BEC-схема, в которой использовалась скомпрометированная электронная почта и платежные системы.

Схема кампании:

  1. Преступники создала сеть поддельных сайтов и электронных почтовых ящиков, очень похожих на настоящие сайты и почту известных ритейлеров и поставщиков.
  2. С их помощью мошенники обманом вынуждали жертв делать заказы и вносить предоплату.
  3. Никаких заказанных товаров жертвы не получали, заплаченные ими деньги отмывались через счета в румынских банках и обналичивались через банкоматы.

В ходе одновременных обысков в Ирландии, Нидерландах и Румынии были арестованы 23 подозреваемых. По версии следствия, они обманули компании как минимум в 20 странах Европы и Азии на сумму в 1 млн евро.

Обнаружена новая вредоносная кампания FlyTrap, нацеленная на пользователей Android.

В ходе кампании используется вредоносное ПО, взламывающее учетные записи Facebook путем похищения cookie-файлов сеанса. Жертвами вредоноса уже стали более 10 тыс. пользователей в 140 странах мира.

Кампания FlyTrap основывается на социальной инженерии. Злоумышленники обманом заставляют жертв авторизоваться в вредоносном приложении с использованием учетных данных Facebook. В свою очередь, приложение собирает данные, связанные с сеансом.

Для обмана жертв злоумышленники используют высококачественные вредоносные приложения, распространяемые через Google Play и сторонние магазины Android-приложений.

Например, мошенники предлагают потенциальным жертвам бесплатные коды для Netflix и Google AdWords за участие в голосовании за свою любимую футбольную команду или игрока. Чтобы получить вознаграждение, жертва должна авторизоваться в приложении с помощью учетных данных Facebook.

В ходе вредоносной кампании китайская кибергруппировка атаковала израильские организации, маскируясь под иранских преступников.

Целями атак были израильские правительственные учреждения, IT-компании и поставщиков телекоммуникационных услуг. Злоумышленники, которых отслеживают под кодовым именем UNC215, использовали для взлома серверы Microsoft SharePoint, содержащие уязвимость CVE-2019-0604 .

Получив доступ к одному из серверов, хакеры устанавливали инструмент WHEATSCAN для сканирования внутренней сети жертвы, а затем web-оболочку FOCUSFJORD и бэкдор HYPERBRO для закрепления в сетях жертв.

Чтобы скрыть следы, преступники удаляли вредоносные утилиты и использовали легитимное ПО для выполнения вредоносных операций. Кроме того, UNC215 часто использовала пути к файлам с упоминанием Ирана (например, C:\Users\Iran) или сообщения об ошибках на арабском языке. Дополнительным «признаком» иранского следа было периодическое использование иранской веб-оболочки SEASHARPEE.

Атаки и уязвимости

В диспетчере печати Windows обнаружена ещё одна уязвимость класса PrintNightmare — CVE-2021-36958, которая позволяет локальному атакующему получить на компьютере привилегии системы.

Microsoft исправила PrintNightmare в июльских и августовских плановых обновлениях безопасности, однако новая ошибка по-прежнему позволяет злоумышленникам быстро получать привилегии системы, просто подключившись к удаленному серверу печати.

С помощью уязвимости злоумышленник может воспользоваться функцией CopyFile и наряду с драйвером для принтера скопировать в клиент DLL-файл, при подключении к принтеру открывающий интерпретатор командной строки.

Новая атака Glowworm позволяет подслушивать конференции в Zoom, Skype, Teams и аналогичных сервисах.

Метод базируется на отслеживании изменений светодиодного индикатора периферийных устройств, подключенных к компьютеру, на котором проходит конференция, и преобразовании их в аудио.

Тестовая установка для демонстрации атаки

Такое отслеживание возможно благодаря тому, что звуковые волны во время конференции вызывают изменения в энергопотреблении светодиодов подключенных устройств, вызывая их мерцание. И по этим изменениям можно восстановить звук, который их вызвал.

Во время демонстрации атаки телескоп со специальным датчиком направили с расстояния 35 метров на динамики, подключённые к ноутбуку. В результате удалось восстановить фразу, которая транслировалась через динамики.

Видео: демонстрация атаки

Инциденты

Неизвестные злоумышленники похитили у платформы децентрализованного финансирования Poly Network криптовалюту на сумму более 600 млн долларов США.

Среди похищенных активов:

  • Токены Ethereum : 273 млн долларов;
  • Binance Smart Chain : 253 млн долларов;
  • Polygon Network (в USDC): 85 млн долларов.

Для взлома была использована уязвимость в функции _executeCrossChainTx, которая получает управление между вызовами контракта.

Злоумышленники использовали эту функцию для передачи тщательно сконструированных данных, чтобы изменить хранителя контракта EthCrossChainData. Это позволило хакерам объявить себя владельцами любых средств, обрабатываемых платформой.

подпольного маркетплейса AllWorld Cards опубликовали на многих хакерских форумах данные миллиона банковских карт, украденных в период с 2018 по 2019 год.

Утечка содержит номера карт, даты окончания срока действия, CVV, имена владельцев, информацию о стране, штате, городе, адресе, почтовом индексе для каждой карты, а также номер телефона или адрес электронной почты.

Частичный анализ утечки показал, что в ней содержатся карты следующих банков:

  • Государственный банк Индии (44 654 карты);
  • PMORGAN CHASE BANK NA (27 440 карт);
  • BBVA BANCOMER SA (21 624 карты);
  • THE TORONTO-DOMINION BANK (14 647 карт);
  • POSTE ITALIANE SPA (BANCO POSTA) (14 066 карт).

Тайваньский производитель Gigabyte стал жертвой кибератаки вымогателя RansomEXX. Хакеры угрожают опубликовать более 112 Гб данных, украденных у компании.

В доказательство своих слов злоумышленники уже поделились скриншотами четырех документов, защищенных соглашениями о неразглашении (включая отладочный документ American Megatrends и документ Intel, озаглавленный Potential Issues).

Атака заставила компанию частично отключить тайваньские системы. Известно, что инцидент затронул несколько сайтов Gigabyte, включая сайт поддержки и отдельные разделы тайваньского сайта.

Представители Gigabyte заявили, что инцидент затронул только небольшое количество серверов, поскольку обнаружив аномальную активность, специалисты компании оперативно увели в офлайн остальные ИТ-системы и уведомили о произошедшем правоохранительные органы.

В открытом доступе обнаружены более 800 тыс. файлов, похищенных с сервера шведского производителя средств по уходу за кожей Oriflame.

В частности, были опубликованы свыше 25 тыс. скан-копий документов граждан Грузии и более 700 тыс. — граждан Казахстана в формате JPG.

Хакеры, опубликовавшие файлы, заявляют, что в их распоряжении есть 4 ТБ данных в более 13 млн. файлов с копиями документов граждан РФ, Украины, Великобритании, Китая, Испании.

 216   1 мес   дайджест   фишинг
Ранее Ctrl + ↓