Хакеры из GreedyBear заразили браузеры 150 программами для кражи криптовалют

📌Хакерская группировка GreedyBear использовала сотни фальшивых расширений браузеров, вредоносных программ и поддельных сайтов для кражи криптовалют как минимум на $1 млн. Они вывели хищение монет на новый, промышленный уровень, заявили эксперты Koi Security.

📕 Как это работало?
Участники группировки разместили более 150 расширений для браузера Firefox, маскирующихся под популярные криптокошельки — MetaMask, TronLink, Exodus, Rabby. Сначала расширения выглядели безвредными, проходили проверку и получали искусственно созданные положительные отзывы. После программы превращались в инструменты кражи — вводимые пользователями данные криптокошельков захватывались и отправлялись на сервер злоумышленников, сообщили специалисты по безопасности. В качестве третьего метода атак преступники использовали сеть поддельных сайтов, имитирующие сервисы цифровых кошельков, устройства для холодного хранения или услуг по ремонту аппаратных кошельков (Trezor). Визуально сайты выглядели как безопасные лендинг-страницы, но служили лишь для сбора данных пользователей, пояснили в Koi Security.

🚩 Kuban CTF: соревнования начались!

Всем участникам желаем удачи и ярких эмоций ❤️

➡️ Подключайся: https://kubanctf2025.ru/
———————————————
Следить за ходом соревнований без регистрации можно по ссылке: https://kubanctf2025.ru/scoreboard

❗️Обратите внимание: скоринг динамический
- первые решившие получают максимум (1000 баллов).
- чем больше успешных решений, тем меньше награда
- после 50 решений ценность фиксируется на минимуме — 900 баллов

👮 Интерпол арестовал +1200 киберпреступников в 18 африканских странах в результате глобальной операции "Серенгети 2.0"

🚩 На прошлой неделе Интерпол объявил о задержании 1209 киберпреступников из африканских стран, которые нанесли ущерб 88 000 людям.
"В результате операции было возвращено 97,4 млн. долларов США и ликвидировано 11 432 вредоносных инфраструктур, что подчеркнуло глобальный масштаб киберпреступности и острую необходимость в трансграничном сотрудничестве", - заявил Интерпол.

👮‍♂️ Операция «Серенгети 2.0» (июнь-август 2025 года) объединила следователей из 18 африканских стран и Великобритании для борьбы с киберпреступлениями, наносящими значительный ущерб и оказывающими серьёзное воздействие, включая программы-вымогатели, онлайн-мошенничество и взлом корпоративной электронной почты. Также отмечается, что российская организация "Лаборатория Касперского" принимала участие в данной операции, поставляя индикаторы компрометации.

📍Findomain

Одно из быстрых и полных решений для распознавания доменов, поддерживающее как прямой поиск по домену, так и использование API-сервисов. Findomain предлагает мониторинг поддоменов, включающий фаззинг, сканирование портов, обнаружение уязвимостей и многое другое.

Для работы используется Certificate Transparency и проверенные API для поиска поддоменов. Использует общедоступные API для выполнения поиска (Certspotter, Crt.sh Database, Virustotal, Sublist3r, Facebook, Bufferover, Threatcrowd, AnubisDB, Urlscan.io, SecurityTrails, Threatminer, C99, CTSearch). Для работы некоторых API необходимо создать токен доступа.

Для установки клонируем из репозитория, собираем инструмент и копируем его в директорию /usr/bin/ для удобного запуска.

git clone https://github.com/findomain/findomain.git
cd findomain
cargo build --release
sudo cp target/release/findomain /usr/bin/

ℹ️Характеристики
⏺️Мониторинг поддоменов: отправка данных в Discord, Slack или Telegram.
⏺️Многопоточная поддержка запросов к API позволяет сократить максимальное время, которое Findomain тратит на поиск поддоменов для любой цели, до 15 секунд (в случае превышения времени ожидания API).
⏺️Параллельная поддержка разрешения поддоменов при хороших сетевых условиях позволяет разрешать около 3500 субдоменов в минуту.
⏺️Поддержка DNS через TLS, специальных запросов IPv4 или IPv6 и возвращение IP-адресов в ответах.
⏺️Запись в один уникальный выходной файл, указанный пользователем всех или только разрешенных поддоменов.
⏺️Возможность прямого запроса к базе данных Findomain.
⏺️Возможность импортировать и обрабатывать данные, полученные с помощью других инструментов.
⏺️Обнаружение подстановочных знаков в поддоменах для получения точных результатов.
⏺️Поддержка обнаружения поддоменов методом перебора.
⏺️Поддержка файлов конфигурации в форматах TOML, JSON, HJSON, INI или YAML.

⬇️Примеры использования
Сохранение всех результатов в автоматически созданный файл.

findomain -t example.com -o

Вывод поддоменов, в которых содержится подстрока "login".

findomain -t example.com --filter login

Резолв поддоменов из файла и вывод только тех, что резолвятся с IP.

findomain -x -f subdomains.txt -r -i

Скриншот активных HTTP(S) поддоменов.

findomain -t example.com -s ./screenshots/

TInjA: современный инструмент для тестирования веб-безопасности

TInjA — это инструмент, включённый в дистрибутив Kali Linux, который претерпел значительные изменения. В версии v1.2.0+ он переориентирован на веб-тестирование и более не поддерживает прямой анализ IoT-устройств и прошивок, как это было ранее.

🤩 Новые возможности инструмента
- Обнаружение уязвимостей в веб-приложениях (XSS, инъекции)
- Проверка на клиентские шаблонные инъекции (CSTI)
- Сканирование с кастомными HTTP-заголовками
- Поддержка работы через прокси
- Генерация отчётов в JSON-формате

🔹Установка
Поскольку TInjA входит в состав Kali Linux, его можно установить командой:

sudo apt update && sudo apt install tinja

Проверяем:

tinja --help

🔹Сканирование веб-интерфейса устройства

tinja url -u https://192.168.1.100

Проверяет веб-интерфейс на наличие уязвимостей

🔹Пакетное сканирование URL

tinja raw -R targets.txt

Где targets.txt содержит список URL (по одному на строку)

🔹Проверка с кастомными заголовками

tinja url -u https://example.com -H "Authorization: Basic YWRtaW46YWRtaW4="

⬇️Полезные флаги
--useragentchrome - использование Chrome User-Agent
--csti - проверка шаблонных инъекций
--timeout - установка таймаута (сек)
--reportpath - сохранение отчёта

‼️Важные предупреждения

- Используйте TInjA только для тестирования систем, на которые имеете право тестировать
- Некоторые проверки могут вызывать отказ в обслуживании
- Для IoT-тестирования используйте специализированные инструменты

Уязвимость MadeYouReset в протоколе HTTP/2 позволяет проводить масштабные DDoS-атаки. Исследователи из компаний Imperva и Deepness Lab обнаружили новую критическую уязвимость в протоколе HTTP/2 и присвоили ей идентификатор CVE-2025-8671. Обнаружена 13 августа 2025 года.

Уязвимость MadeYouReset представляет собой усовершенствованную версию разрушительной атаки Rapid Reset, которая была обнаружена в 2023 году и считалась крупнейшей DDoS-атакой на тот момент.

📕 Предыстория
Уязвимость Rapid Reset связана с тем, как HTTP/2 управляет жизненным циклом потоков. Клиент быстро открывает и закрывает потоки с помощью кадров RST_STREAM. Особенность заключается в том, что сервер интерпретирует эти сбросы как завершение работы потока и освобождения ресурсов, включая счётчик активных потоков, который ограничивает количество одновременных запросов от клиента. Фактически же поток остается задействованным, то есть сервер продолжает обрабатывать данные и очищать память, хотя логически он считался завершённым.

Это создаёт лазейку: сервер считает, что у него достаточно ресурсов для обработки большего количества потоков, и продолжает принимать новые, увеличивая нагрузку на ресурсы. Массовое повторение этого цикла может привести к перегрузке даже самой отказоустойчивой инфраструктуры.

✍️ Принцип работы новой атаки
Атака использует встроенные в HTTP/2 механизмы параллельной обработки данных, позволяя злоумышленникам создавать практически неограниченную параллельную работу на серверах, обходя встроенное ограничение параллельной обработки данных в HTTP/2.

1️⃣Злоумышленник начинает со стандартного установления соединения по HTTP/2 и открытия нескольких потоков. Вместо использования RST_STREAM злоумышленник отправляет корректные по структуре, но логически некорректные последовательности кадров, которые нарушают правила протокола.

2️⃣Каждый из таких примитивов по-разному нарушает спецификацию HTTP/2, и в соответствии с RFC 9113 сервер должен отвечать кадром RST_STREAM при обнаружении ошибки PROTOCOL_ERROR. При этом количество потоков может формально оставаться меньше лимита, хотя на самом деле сервер продолжает обрабатывать значительное число активных потоков. Это приводит к чрезмерной нагрузке на процессор и память, что в конечном счёте вызывает полный отказ в обслуживании.

В отличие от традиционных атак типа отказа в обслуживании, требующих значительных ресурсов, MadeYouReset позволяет злоумышленникам добиться максимального сбоя в работе системы с минимальными усилиями со стороны атакующего.

❗️Выявлено, что уязвимость MadeYouReset затрагивает несколько широко используемых реализаций HTTP/2 серверов, в том числе Netty, Jetty, Apache Tomcat, IBM WebSphere и BIG-IP.

🛡 Рекомендации по защите
⏺️более строгая проверка протокола;
⏺️применение жёсткого отслеживания состояний потоков для
⏺️блокировки некорректных переходов;
⏺️внедрение ограничений скорости на уровне соединений;
⏺️использование систем обнаружения аномалий и поведенческого мониторинга.

🪄 Pixiewps

Утилита для подбора пароля к защищенной сети Wi-Fi оффлайн. Написана на языке C и используется для автоматического подбора PIN-кода WPS с использованием низкой или отсутствующей энтропии в некоторых программных реализациях (атака Pixie Dust, обнаруженная Домиником Бонгаром в 2014 году).

В отличие от традиционной онлайн-атаки методом перебора, реализованной в таких инструментах, как Reaver или Bully, которые позволяют восстановить PIN-код за несколько часов, этот метод позволяет получить PIN-код всего за секунды или минуты, в зависимости от цели, если она уязвима.

Pixie Dust — офлайновая атака на WPS PIN. WPS — это функция, упрощающая подключение к Wi-Fi. Некоторые чипсеты (особенно от Broadcom и Ralink) используют недостаточно случайные числа (или вообще фиксированные) при генерации криптографических параметров в WPS, что позволяет рассчитать WPS PIN мгновенно, без перебора всех 10⁷ вариантов.

Как проходит атака
1️⃣Злоумышленник запускает WPS handshake с точкой доступа. Использует утилиту (например, Reaver) для захвата Public Key, Nonce и других параметров, отправленных точкой доступа.
2️⃣Если точка доступа уязвима:
⏺️Утилита офлайн высчитывает WPS PIN.
⏺️Получает WPA-PSK пароль Wi-Fi.

🍽 Установка

git clone https://github.com/wiire/pixiewps 
#OR
wget https://github.com/wiire/pixiewps/archive/master.zip && unzip master.zip
cd pixiewps/
make
sudo make install

✏️ Примеры использования
Базовый вызов для проведения Pixie Dust-атаки.

pixiewps -e 1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF -r ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890 -s AABBCCDDEEFF11223344556677889900AABBCCDDEEFF11223344556677889900 -z 11223344556677889900AABBCCDDEEFF11223344556677889900AABBCCDDEEFF -a 99887766554433221100FFEEDDCCBBAA99887766554433221100FFEEDDCCBBAA -n 0102030405060708090A0B0C0D0E0F10

Все параметры передаваемые в флагах (-e, -r, -s, -z, -a, -n) являются значениями, полученными с помощью инструмента Reaver или Bully во время WPS-сессии.

Вывод в файл и повышенная детализация.

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce> -v 3 -o pixie-output.txt

Атаки на некоторые уязвимые реализации (например, Ralink).

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce>  -m <RegistrarNonce>

🔑 SessionGopher — Утилита для извлечения сохранённых сессий удалённого доступа

SessionGopher — это PowerShell-утилита, разработанная Brandon Arvanaghi (изначально для FireEye), которая помогает выявлять и расшифровывать сохранённую информацию о сессиях удалённого доступа, таких как WinSCP, PuTTY, SuperPuTTY, FileZilla и Microsoft Remote Desktop. Утилита умеет работать локально и удалённо через WMI.

1️⃣ Установка и подготовка
⏺️ Клонирование репозитория:

git clone https://github.com/Arvanaghi/SessionGopher.git
cd SessionGopher

⏺️ Убедитесь, что есть права администратора или аналогичные — доступ к HKEY_USERS необходим для извлечения данных о сессиях.

2️⃣ Запуск утилиты
Локально:

. .\SessionGopher.ps1
Invoke-SessionGopher -Thorough

Удалённо:

Import-Module path\to\SessionGopher.ps1
Invoke-SessionGopher -Target HOSTNAME -Thorough

По списку хостов:

Invoke-SessionGopher -iL computerlist.txt -u domain.com\admin -p SecretPassword -o

Параметры:
⏺️ -Thorough — включает поиск по всему диску .ppk, .rdp, .sdtid файлов
⏺️ -iL — список хостов
⏺️ -AllDomain — опрос всех доменных машин
⏺️ -Target — конкретная цель
⏺️ -o — вывод результатов в папку с CSV

3️⃣ Пример вывода (Thorough)

[+] Digging on Win7-Arvanaghi ...
WinSCP Sessions
Session  : [email protected]
Username : admin-anthony
Password : Super*p@ssw0rd

FileZilla Sessions
Password : imr34llytheFl@sh

PuTTY Private Key Files (.ppk)
Path : C:\Users\Brandon\mykey.ppk
Private Key: {...}

Microsoft Remote Desktop .rdp Files
Hostname : dc01.corp.hackerplaypen.com
Prompts for Credentials : No

Утилита позволяет извлечь пароли, приватные ключи и конфигурацию сессий.
Возможности и особенности
⏺️ Извлечение сессий: WinSCP, FileZilla, SuperPuTTY, PuTTY, RDP (.rdp) и RSA-файлы (.sdtid)
⏺️ Расшифровка сохранённых паролей и приватных ключей
⏺️ Поддержка удалённого выполнения с использованием WMI
⏺️ CSV-вывод для удобной автоматизации и аудита