Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Исследователи Cleafy обнаружили Android-малварь DroidBot, способную похищать данные из 77 криптовалютных и банковских приложений. В числе целей:
Разработанный турецкими хакерами троян маскируется под Google Chrome, Google Play Store или Android Security. Функционал включает кейлоггинг, overlaying, перехват SMS, а также модуль VNC для удаленного контроля зараженного устройства.
Ключевым аспектом работы DroidBot является злоупотребление службами доступности Android для мониторинга действий пользователя и имитации свайпов и нажатий от имени вредоносного ПО.
Малварь активна с июня 2024 года и за $3000 в месяц предоставляет билдеры сторонним операторам с возможностью настройки под конкретные цели.
Билдер DroidBot. Данные: Cleafy.
Анализ одной из бот-сетей выявил 776 уникальных заражений в Великобритании, Италии, Франции, Турции, Португалии и Германии.
Вредонос находится на стадии интенсивной разработки и расширения географии атак.
Британский фонд Internet Watch Foundation (IWF) в рамках соглашения предоставит мессенджеру Telegram инструменты для превентивного обнаружения и удаления изображений сексуального насилия над детьми.
.@telegram joins the IWF in cracking down on child sexual abuse imagery on the platform.Telegram will deploy new tools to proactively prevent child sexual abuse imagery from being spread in public parts of its platform.https://t.co/wGEjzGFsee
— Internet Watch Foundation (IWF) (@IWFhotline) December 4, 2024В частности речь идет о базах данных организации и сервисе по сбору «хешей» — уникальных цифровых отпечатков известных изображений и видеороликов на противоправную тематику. Кроме того, IWF будет напрямую сообщать в Telegram об обнаружении в общедоступных частях платформы преступного контента, в том числе созданного с помощью ИИ.
Фонд борется с распространением изображений сексуального насилия над детьми в сети посредством партнерств с правоохранителями, правительством, общественностью и интернет-компаниями по всему миру. Организацию часто критикуют за создание чрезмерного количества ложных жалоб, секретность действий и неэффективные технические решения.
Исследователи Cado Security Labs нашли вредонос Meeten для кражи криптовалют, маскирующийся под приложение для проведения конференций. Атаки нацелены на работников Web3-сегмента.
Cado Security Labs has discovered a new malware campaign targeting Web3 workers with a sophisticated scam using AI-generated content to appear legitimate. Read more in our latest blog post: https://t.co/Pj8Y82kaKY
— Cado (@CadoSecurity) December 6, 2024Кампания стартовала в сентябре 2024 года. Брендовое название фейкового приложения неоднократно менялось, однако для каждого хакеры создавали официальные сайты и аккаунты в соцсетях и заполняли их контентом, созданным ИИ.
Данные: Cado Security Labs.
Вредонос имеет Windows- и macOS-версии. Попав на компьютер, он передает хакерам:
При этом сайты оснащены скриптом, запрашивающим подключение криптокошелька, поэтому кражу активов могут осуществить до фактического скачивания ПО.
Власти Германии отключили серверы крупнейшего в стране даркнет-маркетплейса Crimenetwork и арестовали его технического администратора. С 2012 года площадка вела торговлю крадеными данными, наркотиками и поддельными документами. На ней были зарегистрированы более 100 000 пользователей и свыше сотни продавцов.
По подсчетам правоохранителей, с 2018 по 2024 годы объем транзакций на Crimenetwork превысил 1000 BTC и 20 000 Monero (€93 млн или ~$98 млн на момент написания). Комиссионная прибыль операторов составила не менее $5 млн.
Данные: BKA.
29-летний админ Crimenetwork арестован, ему предъявлены обвинения в управлении преступной платформой и торговле наркотиками. Правоохранители изъяли элитные автомобили и арестовали криптовалюты стоимостью около €1 млн.
Помимо этого в Германии пресечена деятельность даркнет-маркетплейса Manson Market, продававшего краденые учетные и платежные данные, а также личную информацию. Эти сведения злоумышленники получали посредством сети фишинговых онлайн-магазинов. Не менее 57 жертв понесли убытки, превышающие €250 000.
Cybercrime network dismantled in ! 50+ servers seized 200 terabytes of digital evidence secured 2 suspects arrestedAn effort coordinated by Europol. https://t.co/aqfi2tPOCg pic.twitter.com/Stigwn0Tiz
— Europol (@Europol) December 5, 2024Следственная группа изъяла 50 серверов и более 200 ТБ документов с доказательствами преступной деятельности. Конфискованы свыше 80 устройств хранения данных, мобильных телефонов, компьютеров, а также наличные и криптовалюты на сумму €63 000. Двое предполагаемых операторов Manson Market арестованы в Германии и Австрии.
Еще одна операция при координации Европола привела к закрытию зашифрованной платформы обмена сообщениями Matrix. С ее помощью не менее 8000 пользователей на 33 языках координировали незаконную деятельность по всему миру. Сервис позволял совершать зашифрованные видеозвонки, отслеживать транзакции и анонимно просматривать сайты.
Отключены 40 серверов во Франции и Германии, а также арестованы пять подозреваемых в Испании и Франции. Один из них, 52-летний гражданин Литвы, предположительно является владельцем и основным оператором Matrix.
Данные: Европол.
Власти изъяли 970 зашифрованных телефонов, €145 000 ($152 500) наличными, €500 000 ($525 000) в криптовалютах и четыре транспортных средства.
Житель штата Небраска Чарльз О. Паркс III известный под ником CP3O признался в том, что использовал сервисы облачных вычислений для майнинга криптовалют. В пресс-релизе пострадавшие компании не называются, но речь предположительно идет об Amazon и Microsoft.
Согласно материалам дела, с января по август 2021 года CP3O с различных аккаунтов добыл Ethereum, Litecoin и Monero совокупной стоимостью около $970 000. Счет за услуги провайдеров на $3,5 млн он не оплатил.
Паркса арестовали в апреле. Ему грозит до 20 лет тюрьмы.
Жителя Небраски обвинили в криптоджекинге на $1 млнВласти США арестовали 19-летнего Ремингтона Гоя Оглтри, связанного с киберпреступной группировкой Scattered Spider. Его обвиняют во взломе американского финансового учреждения и двух неназванных телекоммуникационных компаний.
По версии следствия, хакер известный под ником remi взламывал внутренние сети посредством фишинга сотрудников целевых организаций. Под видом предоставления льгот, изменения графика работы или запроса из отдела кадров он вынуждал их заходить на вредоносные сайты и вводить логины и пароли от служебных компьютеров.
С октября 2023 по май 2024 года Оглтри после получения доступа к системам телекоммуникаций отправил более 8,6 млн фишинговых SMS для кражи криптовалют получателей. Некоторые из этих атак были нацелены на клиентов бирж Gemini и KuCoin.
При обыске в доме хакера на его iPhone найдены скриншоты фишинговых сообщений, страниц по сбору учетных данных и криптокошельков с десятками тысяч долларов в цифровых валютах.
USDT по промокоду, следы королевы OneCoin в ЮАР и другие события кибербезопасностиСпециалисты Citizen Lab изучили мобильный телефон российского программиста, который у него изымали сотрудники ФСБ в ходе ареста на 15 суток, и обнаружили на нем тайно установленное шпионское ПО. Вредонос выдавал себя за легальное Android-приложение Cube Call Recorder.
Read our new report: "Something to Remember Us By: Device Confiscated by Russian Authorities Returned With Monokle-type Spyware Installed" by @cooperq, @PDXbek, and @jsrailtonhttps://t.co/XPkogcCndq https://t.co/U6pT0t9xiq pic.twitter.com/1BfvAo2woJ
— The Citizen Lab (@citizenlab) December 5, 2024Программа имела неограниченный доступ к устройству за счет широкого спектра разрешений. Среди ее функций:
По мнению Citizen Lab, вредонос является новой версией шпионского ПО Monokle, разработанного сотрудниками ООО «Специальный технологический центр» из Санкт-Петербурга.
Также на ForkLog:
Рассказываем, какими бывают криптовалютные пирамиды и чем они привлекают людей.
Мы можем масштабировать. Как финансовые пирамиды стали «крипто»
JOIN
