fstecru

Шпион на основе Stealerium находка для бытового шантажиста 5 сентября ANTI MALWARE В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource проекта Stealerium Все замеченные варианты PoC стилера проявляли особое рвение при просмотре жертвой контента 18 Исходники Stealerium были выложены на GitHub в образовательных целях в 2022 году и доступен до сих пор Как и следовало ожидать их стали брать за основу злоумышленники появление Phantom Stealer тому живой пример Создаваемые ими модификации отличаются от других стилеров повышенным интересом к клубничке Кроме кражи системных данных файлов сохраненных в приложениях учеток куки и финансовой информации они умеют фиксировать заходы жертвы на порносайты делать скриншоты и включать веб камеру при просмотре такого контента Открытие целевых страниц в браузере Stealerium подобный вредонос отслеживает по заданным словам porn sex и т п Захваченные изображения отсылаются оператору по электронной почте через Telegram или Discord и впоследствии могут быть использованы для шантажа Имейл рассылки нацеленные на распространение Stealerium зловредов проводятся различным тиражом от пары сотен до десятков тысяч сообщений Поддельные письма с аттачем имитируют послания разных организаций благотворительных фондов банков судов турагентств и даже ЗАГСов Прикрепленные файлы отличаются разнообразием форматов RAR JS VBS ISO IMG ACE По данным экспертов подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран

Огромная дыра зияет в безопасности многих стран Россия не исключение 2 сентября C NEWS Государственные сайты многих стран оказались не приспособлены к миру кишащему хакерами Трафик до них идет через иностранные сети и даже не шифруется во многих странах администраторы таких сайтов не используют протокол HTTPS Россия в этом плане исключением не стала HTTPS внедрен в менее чем в половину отечественных госсайтов Какая такая безопасность В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности потенциально открывающая перед хакерами широкие возможности по взлому The Register со ссылкой на исследование проведенное Северо Западным университетом США Northwestern University пишет что трафик до таких сайтов очень часто идет через зарубежные сети Исследователи выявили три недостатка в безопасности пересечение трафиком иностранных границ игнорирование зашифрованного протокола HTTPS который существует с 2000 г привязка почти всего трафика к единственному внутреннему провайдеру Первая проблема трафик пересекает границы других государств притом в ряде случаев несколько раз Иногда используются зарубежные точки обмена трафиком Вторая проблема как оказалось этот трафик очень часто вообще не шифруется Все очень плохо В рамках исследования была составлена карта мира на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS От обычного и давно устаревшего HTTP от отличается функцией шифрования Исследование затронуло госсайты 58 стран мира в том числе и России Отметим что Россия оказалась в антилидерах по числу госсайтов не использующих HTTPS Их в стране насчитывается 50 23 Другими словами лишь 49 77 сайтов российских госструктур используют HTTPS Для сравнения в США таковых набралось 62 94 в Канаде 68 37 Чем все это грозит Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования это настоящий подарок киберпреступникам находящимся за пределами границ страны чьи госсайты они хотят атаковать Они могут провести множество атак в том числе человек посередине Man in the Middle MITM и банально перехватить трафик А если этот трафик еще и не будет зашифрован киберпреступники сразу получат полный доступ к передаваемой информации Что касается зависимости от сети одного провайдера то это тоже не сулит ничего хорошего отмечают исследователи В таких условиях единичный сбой неправильная настройка или преднамеренное нарушение работы провайдера взлом или саботаж могут повлиять на все государственные услуги

В США обнаружили что пользователи WhatsApp стали уязвимы из за бреши в нем 2 сентября ТАСС Пользователи мессенджера WhatsApp оказались уязвимы и вероятно уже были атакованы хакерами из за недавно выявленной бреши в нем которая использовалась в связке с уязвимостью в системном компоненте операционных систем от Apple следует из данных Национального репозитория уязвимостей правительства США Компания Meta признана на территории РФ экстремистской и запрещена оценила эту уязвимость в WhatsApp в 5 4 балла из 10 по шкале оценки их опасности при этом в Агентстве по кибербезопасности и защите инфраструктуры США присвоили ей рейтинг в 8 из 10 что соответствует высокому уровню Брешь заключается в неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business для iOS и macOS Хакер с ее помощью мог бы обрабатывать содержимое URL на устройстве жертвы Эту дыру в безопасности WhatsApp использовали в связке с уязвимостью компонента ImageIO доступного на iOS 4 0 iPadOS 4 0 и macOS 10 8 и на других ОС от Apple Как уточнил ТАСС ведущий эксперт PT Expert Security Center в компании Positive Technologies Александр Леонов хакерам даже не нужно было контактировать с пользователями чтобы эксплуатировать эти недостатки Уязвимость в ImageIO о которой уже писал ТАСС была оценена Нацрепозиторием США в 8 8 из 10 по шкале опасности причем в банке данных угроз ФСТЭК России также приводились оценка в 10 из 10 по более ранней версии шкалы ImageIO позволяет приложениям считывать и записывать файлы большинства форматов изображений а недостаток в нем был связан с выходом операции за границы буфера в памяти Та уязвимость была устранена и пользователям было рекомендовано обновиться

Один российский программист держит в руках ключевой инструмент Пентагона 29 августа CYBER MEDIA Американская компания Hunted Labs обратила внимание на тревожный факт в основе десятков IT систем Министерства обороны США лежит библиотека написанная единственным разработчиком из России Речь идёт о популярном Node js пакете fast glob который используется для поиска файлов по шаблонам По данным аналитиков библиотеку еженедельно скачивают свыше 79 миллионов раз Она встроена в контейнеры Node js и применяется как в открытых проектах так и в закрытых корпоративных решениях включая более 30 систем Пентагона Особую озабоченность вызывает то что поддержкой fast glob занимается всего один человек под ником mrmlnc которого связывают с подмосковным разработчиком Денисом Малиночкиным Сам пакет не имеет зарегистрированных уязвимостей однако его функционал предполагает прямой доступ к файловым системам Эксперты предупреждают отсутствие внешнего контроля и независимых мейнтейнеров превращает такие проекты в удобную цель для атак или скрытых манипуляций Open source не нуждается в CVE чтобы быть опасным Достаточно доверия и отсутствия проверки говорится в отчёте Hunted Labs Малиночкин уже отреагировал на публикацию заявив что никаких скрытых функций в библиотеку не внедрял и подчеркнул что развитие open source строится на доверии и разнообразии В то же время специалисты по кибербезопасности считают что ситуация показывает хрупкость экосистемы критическая зависимость от одного человека может поставить под угрозу целые отрасли В Пентагоне пока не сообщили планируют ли отказаться от использования fast glob

MAX пугает разрешениями но скрывает другой сюрприз что выяснилось о новом мессенджере 27 августа MoneyTimes О новом мессенджере MAX в последние недели ходит больше слухов чем реальных фактов Его обвиняли во всём от самопроизвольной установки на смартфон до таинственного запуска камеры каждые пять минут На деле как выяснилось многие из этих страшилок оказались мифами Камера сама не оживает данные не текут за границу а истории про самостоятельную установку объясняются системными обновлениями и формальными требованиями закона Разрешения цифры и контекст Самая частая претензия к MAX звучит знакомо слишком уж много разрешений требует Но цифры ломают впечатление У Telegram их 71 у WhatsApp 85 а у MAX всего 63 Да список широкий но он даже короче чем у привычных мессенджеров К тому же за июль команда разработчиков успела заблокировать свыше десяти тысяч мошеннических номеров и удалить более тридцати двух тысяч вредоносных документов явно не просто ради галочки Что говорят разработчики VK стоящая за проектом уверяет что сделала ставку на безопасность Все серверы расположены в России используется собственный протокол шифрования а для любителей охоты за ошибками работает программа Bug Bounty с вознаграждением до пяти миллионов рублей Официальный релиз запланирован на осень а пока приложение продолжает обрастать функциями и отзывами Реакция пользователей Кто то радуется тишине без спама а кто то ворчит на непривычный интерфейс Но оценки в RuStore говорят сами за себя рейтинг 4 4 балла при более чем 61 тысяче отзывов выше среднего по рынку MAX уже успел стать инструментом для тысяч пользователей и похоже намерен задержаться

ФСБ пресекла работу сети мошеннических узлов связи в Крыму 25 августа CYBER MEDIA Силовики перекрыли канал через который украинские колл центры звонили россиянам и выманивали деньги По данным ФСБ двое жителей Татарстана по указанию кураторов из Украины арендовали квартиры в Симферополе и установили там оборудование для массовых звонков В числе изъятого SIM боксы GSM шлюзы сотни SIM карт и техника для управления схемой Организаторы поддерживали работу комплекса регулярно меняли SIM карты и получали за это вознаграждение от украинских координаторов По версии следствия жертвам звонили якобы от имени операторов связи и госорганов выманивали коды подтверждения от Госуслуг и затем оформляли кредиты на их имя В дальнейшем мошенники требовали перевести деньги на так называемые безопасные счета К управлению виртуальными узлами были привлечены и подростки которым поручали техническое сопровождение звонков Сейчас решается вопрос о возбуждении уголовных дел а следствие проверяет связи фигурантов в других регионах В МВД напомнили сотрудники госструктур никогда не требуют по телефону перевести деньги или продиктовать SMS коды Подобные просьбы исходят исключительно от мошенников Гражданам рекомендуют сохранять бдительность а при подозрительных звонках сразу завершать разговор и обращаться в правоохранительные органы

Android троян Anatsa расширил цели до 831 банка и криптоплатформ 23 августа Anti Malware Исследователи из Zscaler ThreatLabz зафиксировали серьёзное обновление Android трояна Anatsa он же TeaBot который действует с 2020 года Изначально он был нацелен на кражу учётных данных кейлоггинг и проведение мошеннических транзакций но теперь превратился в куда более опасный инструмент Если раньше Anatsa атаковал около 650 банковских приложений в Европе США и Великобритании то теперь список жертв вырос до 831 финансовых организаций по всему миру Впервые в число целей попали Германия Южная Корея и даже криптобиржи Злоумышленники прячут троян в якобы безобидных приложениях файловых менеджерах или просмотрщиках документов Они появляются даже в Google Play где выглядят вполне легитимно После установки чистое приложение незаметно скачивает вредоносный модуль с командных серверов маскируя его под обновление В новой версии разработчики отказались от динамической загрузки кода и перешли на прямую установку это ускоряет заражение и усложняет анализ Кроме того внедрены шифрование строк с помощью DES что мешает статическому анализу проверки на эмуляцию чтобы троян активировался только на реальных устройствах повреждённые заголовки APK сбивающие с толку автоматические инструменты анализа Если проверки не проходят приложение ведёт себя как обычный файловый менеджер и не вызывает подозрений После установки Anatsa просит доступ к специальным возможностям ОС Если пользователь соглашается троян автоматически активирует критически важные разрешения чтение СМС отображение окон поверх экрана и другие Дальше он получает список банковских приложений загружает поддельные страницы входа и перехватывает логины и пароли Для маскировки данные пересылаются на серверы в зашифрованном виде Некоторые заражённые приложения приманки уже набрали более 50 тысяч скачиваний А всего ThreatLabz передала Google данные о 77 вредоносных приложениях разных семейств которые суммарно установили более 19 миллионов раз Тренды тоже тревожные на фоне спада активности семейств Facestealer и Coper заметно растёт доля троянов и рекламного софта среди которых Joker Harly и Anatsa Anatsa стал ещё более скрытным и изощрённым а число его целей растёт Эксперты советуют внимательно проверять разрешения при установке приложений и сравнивать их с заявленной функциональностью Если файловый менеджер просит доступ к СМС или возможность показывать окна поверх других программ это повод насторожиться

Обновите iPhone и Mac Apple признала новую уязвимость нулевого дня 23 августа Лайфхакер Apple выпустила экстренные обновления для своих операционных систем чтобы закрыть критическую брешь в системе обработки изображений Уязвимость CVE 2025 43300 уже используется в реальных атаках Проблема затронула фреймворк ImageIO ключевой компонент отвечающий за работу с изображениями Хакеры научились отправлять вредоносные картинки которые вызывают сбой в памяти и позволяют им внедрять произвольный код Благодаря этому они могут получать полный контроль над устройством Apple признала что уязвимость используется в чрезвычайно сложных атаках против конкретных людей Заражение происходит автоматически после получения файла от жертвы даже не требуется кликов и переходов Компания выпустила следующие обновления iOS 18 6 2 iPadOS 18 6 2 iPadOS 17 7 10 macOS Ventura 13 7 8 macOS Sonoma 14 7 8 macOS Sequoia 15 6 1 Новые патчи безопасности усиливают проверку границ памяти чтобы исключить возможность записи за пределами буфера Защита уже доступна всем пользователям в настройках устройств и в компании призывают не затягивать с обновлением

Мошенники маскируются под объявления чтобы красть данные 22 августа Cyber Media Площадки с бесплатными объявлениями стали новым инструментом для кибермошенников Аферисты создают аккаунты на подставных лиц и под видом услуг пытаются выманить у пользователей не только деньги но и личные данные Схема строится на создании доверия Жертве предлагают оформить гарантийный взнос подтвердить личность или подписать документы через Госуслуги В результате злоумышленники получают доступ к паспортным данным банковским кодам и учетным записям в онлайн сервисах Известны случаи когда мошенники оформляли на людей кредиты или даже переоформляли имущество По словам руководителя Центра правопорядка в Москве и Подмосковье Александра Хаминского главная причина успеха таких схем в том что сами пользователи ищут быстрые решения и легко откликаются на подобные объявления В итоге счета обнуляются а жертвы остаются с долгами Юрист подчеркивает площадки должны ужесточить модерацию фильтровать контент и блокировать подозрительные профили Наиболее часто аферисты обещают почистить кредитную историю списать долги или помочь с документами для госорганов Подобные предложения незаконны но находят отклик у доверчивых граждан При этом общий фон киберугроз растет ранее эксперты компании F6 отмечали что только за первое полугодие 2025 года число краж аккаунтов в Telegram увеличилось на 51 по сравнению с тем же периодом прошлого года

Срочный патч Apple закрыл опасную уязвимость в iOS и macOS 21 августа Anti Malware Apple выпустила внеплановые патчи устраняющие очередную критическую уязвимость нулевого дня которая уже использовалась в реальных атаках Проблема получила идентификатор CVE 2025 43300 и связана с ошибкой записи за пределами границ в компоненте Image I O Этот фреймворк отвечает за работу с изображениями в разных форматах Если злоумышленник отправляет специально подготовленный файл система может записать данные за пределами выделенной памяти В итоге это приводит к сбоям повреждению данных или даже удалённому выполнению кода Apple уточнила что баг могли использовать в чрезвычайно сложной атаке против отдельных пользователей Деталей о том кто стоял за атакой компания пока не раскрывает Чтобы закрыть дыру Apple улучшила проверку границ памяти Патчи уже вышли для iOS 18 6 2 и iPadOS 18 6 2 iPadOS 17 7 10 macOS Sequoia 15 6 1 macOS Sonoma 14 7 8 macOS Ventura 13 7 8 Под ударом оказались почти все актуальные устройства iPhone начиная с XS iPad Pro нескольких поколений iPad Air и mini последних лет а также Mac устройства с тремя поддерживаемыми версиями macOS С начала года это уже шестая уязвимость нулевого дня закрытая Apple До этого патчи выходили в январе феврале марте и дважды в апреле В 2024 году таких случаев тоже было шесть Даже если атаки носят точечный характер Apple настоятельно рекомендует всем пользователям как можно скорее обновить устройства