#news На выходных произошёл взлом Atomic Wallet. По текущим подсчётам с кошельков пользователей украли более $35 миллионов во всевозможной криптовалюте. Первые сообщения о краже появились в субботу утром.
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
🔥8🤯5😁2🤡1
#news Немного предсказуемые новости по следам взлома Atomic Wallet: украденная крипта пошла в миксер, любимый у известных специалистов по блокчейну из КНДР. В общем, опять Lazarus.
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процентмармеладных мишек активных пользователей. Крупные инвесторы, лишившиеся миллионов долларов, склонны не согласиться. Главной интригой же теперь остаётся, стал ли взлом последствием атаки на цепочку поставок по 3CX от неугомонных северокорейцев.
@tomhunter
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процент
@tomhunter
🔥7🤔1
#news Trendo Micro опубликовала отчёт по масштабной криптоскам-кампании. Больше тысячи сайтов тянут на одну из крупнейших мошеннических сеток такого плана. А стоят за ней русскоязычные злоумышленники из так называемой Impulse Team. Схема активна с января 2021-го, новые сайты появляются в ней и сегодня. Косвенные свидетельства указывают на активность мошенников с 2016-го года.
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
🔥9😁3🤯1
#news Череда атак рансомварь-группировки Cl0p через уязвимость в софте для передачи файлов MOVEit достигла кульминации: злоумышленники утверждают, что взломали сотни компаний и выдвинули ультиматум до 14 июня. Нулевой день на эскалацию привилегий и неавторизированный доступ в MOVEit, напомню, позволил массово скачать данные организаций, включая всевозможные конфиденциальные данные.
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
🔥7🤯3
#news Интересное развитие истории с нулевым днём в шлюзах электронной почты от Barracuda. Уязвимость на выполнение произвольных команд не только была в ходу у злоумышленников с октября прошлого года. Теперь компания связалась с владельцами взломанных устройств напрямую и сообщила, что их нужно немедленно заменить независимо от установленных патчей.
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
🔥5❤2🤯2🤔1
#news Вишенка на торте взломов софта для передачи файлов MOVEit от группировки Cl0p: исследователи обнаружили следы их активности по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
❤7😁2🔥1🤯1
Подводим итоги последнего весеннего месяца в нашем традиционном дайджесте на Хабре. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте на нашем Хабре!
@tomhunter
@tomhunter
❤5🔥1
#news Исследователи изучили популярное приложение для бега Strava с более 100 миллионов юзеров. И с помощью публично доступной карты в нём с достаточно большой точностью смогли отследить места жительства пользователей.
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
🔥9🤯4
#news Fortinet исправила критическую уязвимость в FortiOS SSL VPN и сообщила, что он мог быть использован в атаках. Эксплойт на переполнение буфера и произвольное выполнение кода CVE-2023-27997 мог быть задействован в атаках на правительственную и критическую инфраструктуру в Штатах.
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
🔥5❤1
На нашем Хабре новая статья по теме OSINT-исследований. В ней мы рассмотрим различные инструменты, которые могут быть использованы в контексте прифронтовой разведки и сбора сведений о происходящем в зоне боевых действий из открытых источников. Как показывает практика, современные вооруженные конфликты требуют новых подходов к организации сбора и анализа открытых данных, которыми мы оперируем в рамках OSINT. Так что если вы интересуетесь темой, добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥13❤3💩3😁1🤡1
#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
🔥9🤯3
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
🔥7😁4
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
🔥6😁4😢1
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
😁10🔥2
#news Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
🔥7😁4🤡4🤔1
#news Стало известно, кто стоял за февральским взломом Reddit с фишингом по сотруднику. BlackCat подтвердила причастность и грозит выложить 80GB стянутых данных, если не получит $4,5 миллиона. В сливе обещают статистику по отслеживанию юзеров Реддита и разную конфиденциальную информацию. Плюс инфу о теневых банах пользователей и некие «артефакты» с их Гитхаба.
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
🔥7😁3
#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
😁6🔥1
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
😁10🔥4❤1
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
🔥11💩4❤2
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
🔥6❤3🤯1
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
🤯4❤2🔥1😁1