😈 Хакерские атаки через рекламу в соцсетях

Positive Technologies обнаружили вредоносную кампанию против стран MENA.

Схема проста ⬇️

Хакеры создают фейковые новостные группы, публикуют рекламные посты со ссылками на файлообменники или Telegram.

Там скрывается модифицированный AsyncRAT — троян для кражи криптокошельков.

🔴 Пик таких атак пришёлся на 2018-2020 гг. Злоумышленники маскировали вредоносы под «взломанные» приложения в Telegram-группах и продвигали через рекламу. Сейчас мессенджер активно борется с проблемой, но угроза остаётся.

Всегда проверяйте файлы из неизвестных источников ❗️

🔗 Читать подробнее

🐸 Библиотека хакера

#breach_breakdown

🔊 Шпаргалка Wi-Fi

Внутри: алгоритмы, аутентификация, шифрование, управление ключами.

🔤 Сохраняте и используйте в легитимных тестах.

🐸 Библиотека хакера

#cheat_sheet

🧩 Хакер-челлендж

Сценарий: Microservice-архитектура с JWT-аутентификацией. Сервис A генерирует токены (алгоритм RS256), сервис B их проверяет. В JWT payload:

{
  "user_id": 1337,
  "role": "user",
  "iat": 1699552800,
  "exp": 1699639200
}

Сервис B проверяет подпись, но разработчик добавил фичу:

Если в заголовке токена указан “alg”: “none”, проверка пропускается для «тестовых» запросов. Также в коде есть fallback на HS256 с секретом из переменной окружения.

Публичный ключ RS256 доступен по эндпоинту /jwks.json.

❓ Какой вектор атаки наиболее эффективен для получения admin-доступа? Голосуйте эмодзи:

🔥 — Algorithm confusion: подменить RS256 на HS256, используя публичный ключ как symmetric secret

👾 — None algorithm bypass: создать токен с “alg”: “none”, изменить role на “admin”

❤️ — JWT secret bruteforce: перебрать HS256 секрет (если он слабый) через hashcat

🐸 Библиотека хакера

#ctf_challenge

🤪🤪

🐸 Библиотека хакера

#hack_humor