В darknet сливают данные 100 000 российских банковских карт

СМИ сообщают, что на хакерских форумах бесплатно публикуются данные более 100 000 карт российских банков. Эксперты считают, что преступники пытались срочно «монетизировать» имевшиеся в их распоряжении базы, которые теперь потеряли ценность. По данным издания «Коммерсант», в последние несколько дней в дакрнете появлялось как минимум одно предложение о продаже 100 000 записей российских банковских карт, как сообщил журналистам основатель сервиса разведки утечек данных и мониторинга даркнета...

Вирус Escobar ворует коды двухфакторной аутентификации из Google Authenticator

Эксперты предупредили, что банковский троян Aberebot для Android вернулся под названием Escobar и теперь обладает новыми функциями, включая кражу кодов из приложения Google Authenticator. О появлении новой малвари, со ссылкой на ИБ-экспертов, сообщает издание Bleeping Computer. Так, журналисты обнаружили, что в феврале 2022 года разработчик Aberebot начал продвигать на русскоязычном хак-форуме малварь Escobar. Злоумышленник пишет, что сдаст в аренду бета-версию малвари за 3000 долларов...

DeadBolt использует уязвимость, исправленную в декабре

Компания Qnap предупреждает владельцев NAS о необходимости включить автоматическое обновление прошивки на своих устройствах для защиты от атак шифровальщика DeadBolt. О волне атак на Qnap NAS мы уже рассказывали ранее. Напомню, что изначально сообщалось, что DeadBolt шифрует устройства, используя некую 0-day уязвимость. Взломы начались 25 января 2022 года, когда владельцы устройств Qnap стали обнаруживать, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt. Интересно...

Почти миллион WordPress-сайтов в опасности из-за уязвимости в популярном плагине

В Essential Addons for Elementor, популярном плагине для WordPress (версии 5.0.4 и старше), который используют более миллиона сайтов, присутствует критическая RCE-уязвимость. Уязвимость позволяет неавторизованному пользователю выполнить инжект (file inclusion) локального файла, например PHP, для выполнения на сайте произвольного кода. Эксперты PatchStack, обнаружившие проблему, объясняют, что баг связан с функциями ajax_load_more и ajax_eael_product_gallery. То есть необходимым для атаки...

Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновления принудительно

Компания Qnap принудительно устанавливает обновления прошивки на свои NAS, стараясь воспрепятствовать атакам вымогателя DeadBolt, который уже зашифровал более 3600 устройств. О малвари DeadBolt стало известно ранее на этой неделе. Согласно заявлениям самих хакеров, DeadBolt шифрует устройства, используя некую 0-day уязвимость. Взломы начались 25 января 2022 года, когда владельцы устройств Qnap стали обнаруживать, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt. Интересно...

Банковский троян Chaes устанавливает вредоносные расширения для Chrome

Обнаружена масштабная кампания банкера Chaes, ради которой были скомпрометированы около 800 сайтов на WordPress. Троян атакует преимущественно бразильских пользователей, и в своих атаках задействует пять вредоносных расширений для браузера Chrome. Активность Chaes обнаружили эксперты компании Avast, которые сообщают, что новая кампания вредоноса стартовала в конце 2021 года. Исходно малварь была обнаружена еще в 2020 году, аналитиками компании Cybereason, и тогда (как и сейчас) она была нацелена...

Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов

На прошлой неделе DeFi-платформу Qubit Finance взломали, похитив около 80 млн долларов в криптовалюте. Теперь разработчики просят хакеров вернуть средства. Взлом произошел поздно вечером 27 января 2022 года, и уже через несколько часов Qubit Finance официально подтвердила случившееся. Согласно отчету об инциденте, злоумышленник сумел похитить 206 809 Binance Coin (BNB) из кошелька платформы, используя уязвимость в одном из контрактов, который компания применяет для обработки транзакций пользователей...

Арест участников REvil взволновал других преступников

Недавние аресты участников хак-группы REvil породили волну обсуждений на хакерских форумах. Аналитики из Trustwave SpiderLabs изучили, о чем теперь говорят в русскоязычном даркнете, и пришли к выводу, что многие преступники напуганы случившимся. Напомню, что в в середине января 2022 года ФСБ объявило об аресте 14 человек, связанных с REvil, а по 25 адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях прошли обыски. В результате были изъяты: «денежные средства: свыше 426 000...

Обнаружена malware MoonBounce, внедряющаяся в UEFI

В конце 2021 года, изучая логи Firmware Scanner, эксперты «Лаборатории Касперского» обнаружили компрометацию на уровне прошивки UEFI. Дальнейший анализ показал, что злоумышленники модифицировали один из компонентов в исследуемом образе прошивки, что позволило им изменить цепочку выполнения в UEFI и внедрить вредоносный код, запускаемый при старте машины. Проанализировав компоненты модифицированной прошивки и другие артефакты вредоносной активности в сети жертвы, исследователи пришли к выводу...

Администратор кардерского форума UniCC и участник хак-группы The Infraud Organization арестован ФСБ

СМИ сообщают, что сотрудники ФСБ и российских правоохранительных органы задержали четверых участников хакерской группы The Infraud Organization, один из которых был администратором кардерского форума UniCC. По данным собственных источников ТАСС, правоохранители арестовали предполагаемого основателя The Infraud Organization Андрея Новака на два месяца по обвинению в компьютерных преступлениях и отмывании денег (в США он разыскивается по обвинению в кибермошенничестве). Еще трое подозреваемых...

Баг в Safari приводит к утечке данных

Ошибка в составе API IndexedDB в движке Safari WebKit может использоваться вредоносными сайтами для отслеживания онлайн-активности пользователей и раскрытия их личности. Уязвимость получила название IndexedDB Leaks и была обнаружена компанией FingerprintJS, которая занимается разработкой ПО для защиты от мошенничества. Исследователи уведомили разработчиков Apple о проблеме еще в ноябре 2021 года. IndexedDB —широко используемый браузерный API, представляющий собой универсальную систему для...

В Darknet закрывается кардерский маркетплейс UniCC

Специалисты компании Elliptic сообщили, что UniCC (крупнейший в даркнете маркетплейс по продаже ворванных кредитных и дебетовых карт) объявил о прекращении деятельности. Торговая площадка существовала с 2013 года, и за эти годы ее суммарный оборот составил 358 000 000 в криптовалюте. «Не придумывайте никаких теорий заговора о нашем уходе, — пишут операторы UniCC в прощальном послании, опубликованном на кардерских форумах. — Это взвешенное решение, мы не молоды, и здоровье не позволяет...

Хакеры взломали украинские правительственные сайты

После масштабной хакерской атаки злоумышленники оставили сообщения с угрозами в адрес украинцев на трех языках. Неизвестные хакеры совершили кибератаки на ряд украинских правительственных порталов. В частности, на нескольких правительственных сайтах после кибератак появились угрозы, которые были адресованы украинцам. На темном фоне были изображены перечеркнутые знаки с профилем свиньи, гербом, картой и флагом Украины. Чуть ниже злоумышленники оставили сообщения с угрозами сразу на...

Уязвимость на diia.gov.ua

Хакерами с hackzone.ru обнаружена уязвимость на украинском государственном портале Дiя (diia.gov.ua), а так же ряде других государственных сайтов. Данные ресурсы используют уязвимый компонент jQuery, что позволяет осуществить атаку ReDoS/DoS, а так же получить контролируемый доступ к хосту и выполнение произвольного кода

Опубликован бесплатный дешифратор для вымогателя BlackByte

Эксперты компании Trustwave выпустили бесплатную утилиту для жертв вымогателя BlackByte, которую те могут использовать для расшифровки и восстановления пострадавших файлов. Уже доступный на GitHub дешифратор работает благодаря эксплуатации бага в коде вымогателя. Исследователи опубликовали развернутый технический анализ малвари в двух частях, в котором рассказывают, что процедура шифрования BlackByte начинается с того, что хакеры загружают на машину жертвы фальшивый файл изображения forest...

Zerodium покупает уязвимости в ExpressVPN, NordVPN и Surfshark

Известный брокер уязвимостей, компания Zerodium, объявила, что покупает уязвимости нулевого дня в Windows-клиентах трех крупных VPN-продуктов: ExpressVPN, NordVPN и Surfshark. Напомню, что основанная в 2015 году компания Zerodium давно скупает эксплоиты для различных уязвимостей нулевого дня, чтобы затем перепродавать их правительствами и правоохранительным органам разных стран. Для этого у компании существует собственная программа bug bounty, в рамках которой исследователи могут продать...

За взломом сайтов REvil стояли правоохранительные органы

Reuters сообщает, что недавнее прекращение деятельности хак-группы REvil – это дело рук правоохранительных органов, которые скомпрометировали инфраструктуру хакеров. Напомню, что ранее на этой неделе операции вымогателя REvil вновь были приостановлены, так как неизвестный человек взломал сайт группировки, через который хакеры принимали платежи от жертв и «сливали» украденные у компаний данные. Представитель REvil, известный под ником 0_neday, разместил на хакерском форуме XSS сообщение о...

Уязвимость ProxyToken позволяет воровать почту через Microsoft Exchange

В Microsoft Exchange обнаружили опасную уязвимость, получившую название ProxyToken. Атакующий может воспользоваться этой проблемой, создавая запросы к веб-сервисам Exchange Control Panel (ECP) и похищая сообщения из почтового ящика жертвы. Исходно проблему обнаружил специалист VNPT ISC, который еще в марте 2021 года сообщил о ней экспертам Trend Micro Zero-Day Initiative (ZDI). ProxyToken получила идентификатор CVE-2021-33766 и дает неаутентифицированным злоумышленникам доступ к настройкам...

T-Mobile взломали через уязвимый роутер

Глава компании T-Mobile и 21-летний житель Турции, который утверждает, что это он стоит за недавним взломом мобильного оператора, поделились данными о том, как была проведена атака. Предыстория Напомню, что о масштабной утечке данных стало известно в середине августа, когда на хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов компании T-Mobile. Продавец утверждал, что две недели назад он взломал серверы компании (производственные, промежуточные и...

Ботнет Phorpiex прекратил работу, его исходный код выставлен на продажу

Операторы малвари Phorpiex закрыли свой ботнет и выставили его исходный код на продажу на хакерском форуме, заметили исследователи из компании Cyjax. В объявлении, которое опубликовал человеком ранее связанный с работой Phorpiex, утверждается, что ни один из двух изначальных разработчиков малвари не принимал участия в работе ботнета, поэтому исходный код решено было продать. «Поскольку я больше не работаю, а мой друг ушел из бизнеса, я здесь, чтобы предложить вам продажу Trik (название...