💻 0-day уязвимость в TikTok используется для взлома аккаунтов известных людей и компаний

За последние несколько дней злоумышленники взломали ряд известных аккаунтов в TikTok, принадлежащих различным компаниям и знаменитостям (включая Sony, CNN и Пэрис Хилтон). Как выяснилось, хакеры использовали уязвимость нулевого дня в системе отправки личных сообщений.

Как сообщает Forbes, эксплоит, использованный неизвестными злоумышленниками, практически не требует взаимодействия с пользователем. Для компрометации учетной записи достаточно просто открыть вредоносное личное сообщение, скачивание полезной нагрузки или переход по ссылке не понадобятся.

После взлома упомянутые учетные записи Sony, CNN и Пэрис Хилтон были удалены, чтобы предотвратить дальнейшие злоупотребления.

По словам Хаурека, злоумышленники скомпрометировали очень небольшое количество аккаунтов TikTok. Пока компания не раскрывает точное число пострадавших и не сообщает никаких подробностей об использованной хакерами уязвимости, так как она пока не исправлена.

Стоит отметить, что это далеко не первая уязвимость, которую находят в TikTok. Например, еще в 2022 году специалисты Microsoft обнаружили серьезную уязвимость в приложении TikTok для Android. Баг позволял злоумышленникам моментально захватывать чужие аккаунты, сразу после того, как жертва нажимала на специальную вредоносную ссылку.

🗄 Подробнее

@linuxkalii

💻 GhostHook: новая бесфайловая угроза для всех актуальных платформ

Опасный браузерный вирус атакует Windows, Android, Linux и macOS.

На одном из киберпреступных форумов стремительно распространяется новая вредоносная программа — GhostHook v1.0. Это инновационное беcфайловое вредоносное ПО для браузеров, разработанное группой хакеров Native-One, отличается уникальными методами распространения и универсальностью, представляя значительную угрозу для различных платформ и браузеров.

GhostHook v1.0 поддерживает работу на операционных системах Windows, Android, Linux и macOS. Программа совместима с основными браузерами, в числе которых: Google Chrome, Mozilla Firefox, Opera и Microsoft Edge.

Вредонос может распространяться через, казалось бы, безобидные URL-адреса, которые могут быть переданы через различные каналы, включая:
— Посты в социальных сетях;
— Сообщения на форумах;
— URL-адреса, отправленные по электронной почте;
— SMS-сообщения;
— Сообщения в WhatsApp, Telegram, XMPP и других мессенджерах;
— Виртуальные и физические QR-коды.

Главным преимуществом GhostHook является его способность действовать без загрузки файлов, используя браузер для внедрения вредоносного кода. Это позволяет программе проникать в системы незаметно.

GhostHook может перенаправлять пользователей на любые сайты, загружать файлы по прямым ссылкам, интегрироваться в существующие сайты или загружать пользовательский HTML для определённых кампаний или целевых страниц.

Новое зловредное ПО имеет все шансы стать мощным инструментом в арсенале киберпреступников. Его активное распространение на хакерских форумах подчёркивает, как быстро такие угрозы способны набирать популярность, и насколько они опасны.

Как эксперты по кибербезопасности, так и простые пользователи — должны быть готовы к этой угрозе, принимая все необходимые меры предосторожности для защиты от нового типа вредоносного ПО.

🗄 Подробнее

@linuxkalii

💻 Злоумышленники стирают GitHub-репозитории жертв и требуют выкуп за восстановление данных

Исследователи заметили новую вредоносную кампанию, в рамках которой злоумышленники атакуют репозитории на GitHub, уничтожают их содержимое, а затем просят жертв связаться с ними через Telegram для «получения дополнительной информации».

Первым эти атаки заметил специалист чилийской ИБ-компании CronUp Херман Фернандес (Germán Fernández). Исследователь пишет, что эта кампания, вероятно, активна еще с февраля текущего года и уже затронула десятки репозиориев.

Хакеры, стоящие за атаками, используют ник Gitloker в Telegram и представляются ИБ-аналитиками. По данным издания Bleeping Computer, вероятнее всего, они компрометируют чужие учетные записи на GitHub, используя для этого украденные учетные данные.

Сами пострадавшие пишут, что взлом их учетных записей произошел после перехода по вредоносной ссылке в спамерском письме, якобы полученном от рекрутеров GitHub. По данным Фернндеса, злоумышленники использовали для этой кампании два домена: githubcareers[.]online и githubtalentcommunity[.]online.

В своих вымогательских посланиях взломщики утверждают, что похитили информацию жертв, создав резервную копию, которая могла бы помочь восстановить удаленные данные. Фактически они очищают и переименовывают репозиторий, а также добавляют в него файл README.me, в котором сообщают жертвам, что те должны выйти на связь с хакерами через Telegram.

@linuxkalii

💻 У Google произошла утечка документации, связанной с работой поисковых алгоритмов

На днях в сети опубликовали подборку внутренних документов Google, содержащую более 2500 страниц. Судя по всему, утечка произошла случайно еще в марте текущего года. В документах детально описывается, как работает и ранжирует результаты поисковая система Google, причем данные не совпадают с официальной версией компании, которой Google придерживается уже много лет.

Похоже, что документация по ошибке попала в общедоступный репозиторий на GitHub, принадлежащий Google. Утечка произошла еще 13 марта 2024 года, и данные слил собственный автоматизированный инструмент компании, который случайно снабдил коммит опенсорсной лицензий Apache 2.0, что является стандартом для публичной документации Google. В последующем коммите от 7 мая 2024 года была предпринята попытка устранить эту утечку.

Однако к этому времени публикацию уже заметил Эрфан Азими (Erfan Azimi), глава компании EA Digital Eagle, специализирующейся на поисковой оптимизации (SEO), а следом за ним на слив обратили внимание глава SparkToro Рэнд Фишкин (Rand Fishkin) и глава iPullRank Майкл Кинг (Michael King), которые придали инцидент огласке (1, 2) и изучили утечку.

Благодаря этому эксперты обнаружили несколько интересных фактов. Один из них касается важности кликов, а также различных типов кликов (хороших, плохих, длинных и так далее) для ранжирования веб-страниц. Так, во время рассмотрения антимонопольного дела США против Google представители компании признали, что учитывают метрики кликов как фактор ранжирования в поиске, а документы дали больше подробностей об этих системах.

🗄 Подробнее

@linuxkalii

💻 Обнаружены вредоносные расширения VSCode, установленные миллионы раз

Израильские исследователи изучили безопасность Visual Studio Code и в рамках эксперимента сумели «заразить» более 100 организаций, создав клона популярной темы Dracula Official с вредоносным кодом. Дальнейший анализ VSCode Marketplace и вовсе выявил тысячи опасных расширений с миллионами установок.

В ходе эксперимента ИБ-исследователи Amit Assaraf, Itay Kruk и Idan Dardikman создали расширение, имитирующее Dracula Official — популярную тему, насчитывающую более 7 млн установок в VSCode Marketplace.

Фальшивое расширение использовало тайпсквоттинг и называлось «Darcula», и исследователи зарегистрировали соответствующий домен по адресу darculatheme[.]com. Этот домен позволил им получить статус проверенного издателя на VSCode Marketplace, что придало подделке убедительности.

Расширение использовало код легитимной темы Darcula, но также содержало дополнительный скрипт, который собирал информацию о системе, включая имя хоста, количество установленных расширений, доменное имя устройства и информацию об ОС, а затем передавал все это на удаленный сервер через HTTPS POST-запрос.

В итоге фальшивое расширение быстро набрало популярность: по ошибке его установили множество крупных организаций, включая неназванную компанию с рыночной стоимостью 483 млрд долларов, ряд крупных охранных компаний и национальную судебную сеть. Исследователи не стали раскрывать названия пострадавших организаций.

🗄 Подробнее

@linuxkalii

💻 Maltrail — cистема обнаружения вредоносного трафика

sudo apt-get install git python3 python3-dev python3-pip python-is-python3 libpcap-dev build-essential procps schedtool
sudo pip3 install pcapy-ng
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
sudo python3 sensor.py

Maltrail — это система обнаружения вредоносного трафика, использующая общедоступные (черные) списки, содержащие вредоносные и/или подозрительные паттерны активности, а также паттерны, собранные из различных отчетов антивирусных программ; может учитывать пользовательские списки.
Кроме того, Maltrail использует (опционально) расширенные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).

🖥 GitHub

@linuxkalii

💻 Хак-группу RansomHub связали с шифровальщиком Knight

Исследователи Symantec изучили новый RaaS-проект (ransomware-as-a-service RansomHub и полагают, что это ответвление от уже несуществующего вымогательского проекта Knight.

Группировка RansomHub привлекла к себе внимание экспертов в середине апреля текущего года, когда в результате атаки шифровальщика BlackCat (ALPHV) у дочерней компании United Healthcare — Change Healthcare произошла утечка данных. Так как данные слили в сеть участники RansomHub, исследователи предположили, что между группировками существует какая-то связь.

Напомним, что на прошлой неделе RansomHub атаковала аукционный дом Christie's и пригрозила опубликовать похищенную у организации информацию в открытом доступе.

Как теперь рассказывают эксперты Symantec, вымогатель Knight появился в конце июля 2023 года и представлял собой ребрендинг малвари Cyclops. Он взламывал машины под управлением Windows, macOS, Linux/ESXi, похищая данные и требуя выкуп. Одной из отличительных особенностей Knight было то, что операторам шифровальщика также предлагался инфостилер, который мог сделать их атаки более эффективными.

В феврале 2024 года исходный код вымогателя Knight был выставлен на продажу на хакерских форумах, сайт вымогателей ушел в офлайн и RaaS-активность затихла.

Но теперь аналитики обнаружили многочисленные сходства между Knight и появившимся недавно RansomHub, которые указывают на то, что у вредоносов общее происхождение:
— оба семейства малвари написаны на Go и используют Gobfuscate для обфускации;
— код вредоносов во многом совпадает;
— в обоих случаях используется уникальная техника обфускации, при которой важные строки кодируются уникальными ключами;
— послания с требованием выкупа тоже похожи, но в версию текста для RansomHub добавлены незначительные изменения;
— оба семейства малвари перезапускают эндпоинты в Safe Mode перед шифрованием;
— меню помощи в командной строке идентичны, с единственным отличием в команде sleep у RansomHub;
— последовательность и способ выполнения команд одинаковы, хотя RansomHub выполняет их через cmd.exe.

@linuxkalii

💻 Internet Archive столкнулся с мощными DDoS-атаками

Проект Internet Archive («Архив Интернета», некоммерческий проект, представляющий собой цифровую библиотеку с бесплатным доступом к оцифрованным данным, в числе которых архивные веб‑страницы) заявил о начавшихся 26 мая целенаправленных DDoS-атаках на ресурс.

В рамках атак на сайт поступали десятки тысяч запросов в секунду. Как указывают сотрудники проекта, данные в безопасности, но из-за атак доступ к Internet Archive Wayback Machine ограничен. Атаки называют длительными, целенаправленными и результативными, что отличает их от предыдущих нападений.

Источник атаки не удалось установить, но основатель проекта Брюстер Кейл упомянул судебные разбирательства с американскими книжными издательствами и звукозаписывающими организациями по обвинению в нарушении авторских прав. По словам Кейла, инициаторы судебных процессов пытаются нарушить работу и уничтожить Internet Archive.

🗄 Подробнее

@linuxkalii

💻 CVE-2024-4577 — сайты на PHP в эпицентре опасности

Эксплойт доступен каждому, поэтому для защиты нужно срочно обновить PHP до последней версии.

Исследователи безопасности из тайваньской компании DEVCORE обнаружили серьёзную уязвимость, затрагивающую установки PHP на Windows в режиме CGI. Получившая идентификатор CVE-2024-4577 (рейтинг CVSS пока не определён), проблема позволяет злоумышленникам производить подстановку аргументов командной строки, что способно привести к удалённому выполнению кода (RCE).

Как сообщают специалисты DEVCORE, проблема «растёт» из другой уязвимости — CVE-2012-1823, так как свежевыявленный баг позволяет обойти внедрённую от неё защиту с помощью определённых последовательностей символов.

CVE-2024-4577 затрагивает все версии PHP, установленные в операционной системе Windows, а именно:
— с версии PHP 8.3 по 8.3.8;
— с версии PHP 8.2 по 8.2.20;
— с версии PHP 8.1 по 8.1.29.

Из-за повсеместного использования PHP в веб-экосистеме, а также простоты использования уязвимости, специалисты классифицировали её как критическую и незамедлительно сообщили о ней официальной команде PHP. Отчёт об уязвимости был опубликован уже после выхода исправленной версии PHP, доступного для скачивания на официальном сайте.

🗄 Подробнее

@linuxkalii

💻 flawz — терминальный пользовательский интерфейс для просмотра уязвимостей (CVE)

По умолчанию flawz использует базу данных уязвимостей (NVD) от NIST и предоставляет функции поиска и составления списков уязвимостей.

Например, для просмотра уязвимостей за 2024 год, связанных с xz достаточно написать:
🗄flawz --feeds 2024 --query xz

🖥 GitHub

@linuxkalii

💻 CVE-2024-37051: хакеры похищают GitHub-токены через IntelliJ IDEA

Компания JetBrains призывает пользователей обновить свои IntelliJ IDEA для устранения критической уязвимости, связанной с доступом к токенам GitHub.

Уязвимость CVE-2024-37051 затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, если включён и используется плагин JetBrains GitHub. 29 мая 2024 года была получена внешняя информация о потенциальной угрозе, влияющей на Pull Request в IDE.

Илья Плескунин, руководитель группы поддержки безопасности JetBrains, сообщил: «Злонамеренное содержание в Pull Request к проекту GitHub, обрабатываемое IDE на базе IntelliJ, может привести к утечке токенов доступа на сторонний хост».

JetBrains выпустила обновления безопасности для всех затронутых версий IDE (2023.1 и новее). Также обновлён и удалён из официального магазина уязвимый плагин JetBrains GitHub.

@linuxkalii

💻 Два британца построили «самодельную мобильную антенну» для рассылки мошеннических SMS

В Великобритании арестованы двое подозреваемых, которые использовали «самодельную мобильную антенну» для рассылки тысяч фишинговых SMS. Правоохранители считают, что в сообщениях подозреваемые выдавали себя за банки «и другие официальные организации».

Лондонская полиция сообщает, что 32-летний Huayong Xu и второй подозреваемый, чье имя не раскрывается, использовали самодельное устройство для массовой рассылки текстовых сообщений, при этом каким-то образом обходя защиту операторов от смишинга (фишинга с помощью SMS) и пытаясь обманом вынудить получателей раскрыть личные данные. Подчеркивается, что это первый подобный случай в Великобритании.

Подобные атаки возможны благодаря давно известным уязвимостям в стандартах мобильной связи, в частности, существует требование для мобильных устройств, которые обязаны аутентифицировать себя в сетях посредством IMSI, но при этом сети не обязаны аутентифицировать себя в ответ.

В итоге устройства, подключившиеся к фальшивой базовой станции, почти сразу могут получить фишинговое сообщение. Хотя полиция описывает созданное подозреваемыми устройство как «самодельное», не так сложно построить так называемый IMSI-перехватчик (IMSI-catcher) с помощью свободно доступного в продаже радиооборудования.

Эмуляторы базовых станций, через которые обычно осуществляется перехват соединений, называют Stingray или IMSI-перехватчик. По сути, это устройство, которое маскируется под вышку сотовой связи, заставляя устройства в зоне досягаемости подключаться именно к нему. IMSI-перехватчики нередко используются и самими правоохранительными органами для триангуляции целевых устройств, а иногда и для перехвата их коммуникаций.

🗄 Подробнее

@linuxkalii

💻 0day в Pixel: Google выпускает экстренный патч для своих смартфонов

Вслед за уже привычным Patch Tuesday от Microsoft, компания Google также выпустила обновления для устранения 50 уязвимостей безопасности в своих устройствах Pixel и предупредила, что одна из них, отслеживаемая как CVE-2024-32896, представляет собой ошибку повышения привилегий (EoP) и уже использовалась в реальных атаках в качестве Zero-day уязвимости.

«Есть признаки того, что CVE-2024-32896 уже могла быть использована ранее в ограниченных целевых атаках», — предупредила компания. «Все поддерживаемые устройства Google получат обновление до уровня патча 2024-06-05. Мы призываем всех пользователей Pixel незамедлительно установить эти обновления на свои устройства».

Google также отметила 44 других ошибки безопасности, непосредственно касающиеся устройств Pixel. Семь из них представляют собой уязвимости повышения привилегий и считаются критическими.

Устройства Pixel, хотя и работают на Android, получают отдельные обновления безопасности и исправления ошибок, отличные от стандартных ежемесячных патчей, распространяемых для всех производителей Android-устройств. Это связано с их эксклюзивными функциями и возможностями, а также уникальной аппаратной платформой, контролируемой лично Google.

Более подробную информацию об июньских обновлениях для Pixel можно найти в бюллетене безопасности, посвящённом смартфонам Google. А чтобы применить обновление, пользователям Pixel необходимо перейти в «Настройки» > «Безопасность и конфиденциальность» > «Система и обновления» > «Обновление безопасности», нажать «Установить» и перезагрузить устройство для завершения процесса обновления.

@linuxkalii