///AMG

Пользователи
  • Публикаций

    534
  • Зарегистрирован

    6 марта
  • Посещение

  1. Ищу кто может слить бесплатно/за монету старые дп, хочется глянуть что к чему, поразмыслить , в осовном интересуют : доки, легенда, скрипты разговоров, ну если есть глянуть исходники панели, но там ничего интерсного и замысловатого не видел, если это шаблонное всё. Буду благодарен за информацию
  2. Уголовное дело о кражах с банковских карт жителей Оренбургской области передано в суд. Житель Самарской области от имени сотрудника банка выяснял у физических лиц данные банковских карт, сообщает пресс-служба МВД России. В ходе расследования установлено, что обвиняемый, используя сим-карты оператора сотовой связи, оформленные на третьих лиц, находясь на территории города Москвы, отправил с находящегося в его пользовании мобильного телефона СМС-сообщения с текстом: «Ваша банковская карта заблокирована». «После поступления звонков от неосведомленных о его преступных намерениях граждан злоумышленник, представившись сотрудником службы безопасности банка, получил сведения о банковских картах обратившихся к нему за помощью граждан, с которых тайно похитил денежные средства, перечислив их на подконтрольные ему электронные кошельки», — отмечается в сообщении ведомства. Ущерб, причиненный четырнадцати жителям Оренбургской области, составил более 240 тыс. рублей. В результате проведенных оперативно-разыскных мероприятий сотрудники полиции задержали злоумышленника. Мужчине предъявлено обвинение в совершении 11 преступлений, предусмотренных частью 2 статьи 158, и трех преступлений, предусмотренных частью 1 статьи 158 Уголовного кодекса РФ «Кража». Максимальное наказание, предусмотренное санкцией данной статьи, — лишение свободы на срок до шести лет. В ходе предварительного следствия ущерб, причиненный потерпевшим, возмещен в полном объеме. В настоящее время уголовное дело с утвержденным обвинительным заключением направлено для рассмотрения по существу в суд.
  3. В Курской области переданы в суд материалы уголовного дела о хищениях со счетов граждан 6 млн рублей. Об этом сообщает пресс-служба МВД России. Сотрудники УМВД России по Курской области в январе задержали в Санкт-Петербурге подозреваемого в совершении серии интернет-мошенничеств путем перевода средств с банковских карт потерпевших. «Злоумышленник путем подбора цифр номеров телефонов рассылал гражданам спам-сообщения с информацией о том, что их банковские карты заблокированы. Для разблокировки необходимо позвонить якобы оператору финансового учреждения по указанному в СМС-сообщении номеру. Из сотни граждан, получивших сообщения, несколько человек действительно оказывались клиентами указанного в сообщении банка. Они перезванивали на указанный номер и сообщали реквизиты банковской карты и цифры кода. Используя эти данные, подозреваемый переводил деньги на подконтрольные ему счета», — говорится в сообщении ведомства. Общая сумма ущерба, нанесенного 49 потерпевшим, составила около 6 млн рублей. При задержании у подозреваемого обнаружили специальное оборудование и десятки сим-карт, с которых совершались звонки. Следственное управление УМВД России по Курской области передало в суд материалы уголовного дела, возбужденного по ч. 4 ст. 158 Уголовного кодекса РФ. «Собранные материалы по делу составляют более 30 томов. За период расследования следствием проведено более десятка различных судебных экспертиз, допрошены около 100 свидетелей, собраны доказательства вины обвиняемого, в том числе были получены видеозаписи обналичивания похищенных денежных средств», — уточняется в сообщении МВД РФ.
  4. Студент обманул тысячи любителей порно и нажил миллионы. Его схема работает до сих пор. Вчерашний студент из лондонского района Баркинг подчинил себе компьютеры по всему миру, не выходя из своей спальни в родительском доме. Обманув сотни тысяч любителей порно, он сумел сколотить миллионное состояние. Все полученные деньги он спустил на предметы роскоши, дорогие удовольствия и тусовки. Какая судьба ждет самого злостного киберпреступника Великобритании и при чем тут русские хакеры. 24-летний безработный Зайн Кайзер много лет жил не по средствам. Менее чем за год он потратил 68 тысяч фунтов стерлингов (5,7 миллиона рублей) на азартные игры в одном из лондонских казино. Он скупал предметы роскоши — такие, к примеру, как часы Rolex за пять тысяч фунтов, жил в дорогих отелях и тратил огромные деньги на наркотики и проституток. Но ничто не мешало ему проживать вместе с родителями и целыми днями бездельничать. Развод «для взрослых» Кайзер разработал хитрую схему шантажа и вымогательства. Он обратил внимание на самую осторожную и скрытную аудиторию в интернете — посетителей порнографических сайтов. По версии следствия, парень вступил в одну из российских хакерских группировок еще в подростковом возрасте и почти сразу стал одним из наиболее востребованных ее членов. Несколько лет назад он учился на факультете компьютерных наук и мог использовать в деле свои обширные знания из области онлайн-рекламы и социальной инженерии. Отлично выражаясь по-английски и активно применяя в переговорах профессиональную лексику, он обманом купил рекламный трафик на многих ресурсах «для взрослых». Предприимчивый юноша действовал под ником K!NG и использовал фиктивные организации и фальшивые имена, чтобы притворяться сотрудниками легальных рекламных агентств и фирм, занятых в сфере социнженерии. Владельцы сайтов шли навстречу. Преступная компания расширялась, захватывая все новые и новые площадки. После сделок Кайзер и его сообщники размещали свои «рекламные объявления» на порталах. За яркими баннерами скрывались вирусы. Когда пользователи нажимали на них, они перенаправлялись на сторонний сайт. Он подгружал различные опасные программы, в том числе известный набор эксплоитов Angler и троян Reveton, который блокирует браузер жертвы. После блокировки зараженное устройство отображало сообщение от правоохранительных органов или государственного учреждения. В нем сообщалось, что адресат послания совершил преступление, и теперь он обязан заплатить «штраф», чтобы разблокировать устройство. Сумма выкупов варьировалась от 300 до тысячи долларов. Конечно же, эти предупреждения были фейковыми. Несмотря на то что подобная схема обмана стара как мир, опасливые посетители сайтов «для взрослых» оплачивали «штрафы» вновь и вновь. Жертв не смущало, что оплата должна была производиться исключительно в криптовалюте. С ее помощью молодой человек отмывал средства через множество теневых посредников. К примеру, один из американских сообщников хакера перевел часть платежей на особые банковские карты, оформленные по поддельным удостоверениям личности. Позднее он обналичил средства в нескольких местах по всей территории США, сконвертировал их в криптовалюту и лишь потом передал Кайзеру. Часть рекламных интернет-агентств пытались остановить преступную деятельность своих клиентов, увидев, как на самом деле используют их площадки. Однако в ответ хакеры устроили DDoS-атаку и принялись шантажировать вчерашних партнеров. «Сначала я убью ваш сервер, а затем пожалуюсь на то, что вы рассылаете детское порно», — ответил им Кайзер. Предполагается, что хакерские атаки обошлись компаниям в полмиллиона фунтов (653 тысячи долларов), — в эту сумму вошли как потерянные доходы, так и издержки на ликвидацию последствий. Сейчас исследователи в области кибербезопасности подозревают, что преступник активно сотрудничал с хакерской группировкой Lurk, ответственной за создание одноименного банковского трояна и набора эксплоитов Angler (главного инструмента Кайзера и его сообщников). Преступники атаковали различные финансовые организации с 2011 года. В 2016 году российские силовики идентифицировали и задержали 50 участников этого объединения. Всего, по данным ФСБ и МВД, злоумышленникам удалось украсть с различных банковских счетов около 1,7 миллиарда рублей. Блокировщик Reveton известен в сфере информационной защиты также примерно с 2011-2012 годов. Он неоднократно дорабатывался: со временем хакеры научили его не только ограничивать доступ к системе компьютера, но и воровать пароли и даже майнить криптовалюту. По версии следствия, Кайзер начал свой преступный путь в сентябре 2012 года — почти одновременно с появлением Reveton. Несмотря на арест в 2014-м, остановить хакера удалось лишь спустя четыре года. На пути правосудия встали непростое расследование и неожиданные проблемы молодого киберпреступника. Щедро оплаченный больничный Темное дело Кайзера жило еще несколько лет из-за британского закона, защищающего психологическое здоровье предполагаемых преступников. По данным прокуратуры, внезапно объявивший себя больным хакер использовал больничный Wi-Fi для продолжения преступной деятельности. Будучи пациентом клиники в северной части Лондона, он продолжал договариваться с новыми площадками и зарабатывал на своей псевдорекламе. Запланированное на февраль 2018 года судебное разбирательство пришлось отложить. Преступника заключили под стражу лишь в конце 2018-го. По данным следствия, только доказанная часть преступного заработка составила 700 тысяч фунтов (почти 58 миллионов рублей по текущему курсу), однако обвинение уверено, что на деле Кайзер получил в разы большую сумму. Национальное криминальное агентство Великобритании обнаружило несколько криптовалютных счетов, где на тот момент хранилось около 100 тысяч фунтов (8,2 миллиона рублей). При этом киберпреступник утверждал, что был безработным, и не декларировал никакие доходы. Расследование оказалось длительным и чрезвычайно сложным. Чтобы поймать преступников, британская Королевская прокуратура привлекла европейских, американских и канадских правоохранителей. В аресте других членов банды (их имена не оглашались) помогали Секретная служба США и ФБР. Выяснилось, что от рук мошенников пострадали миллионы пользователей из более чем 20 стран мира. Большинство жертв платили вымогателям, не обращаясь в полицию, так как опасались огласки — им казалось, что близкие отвернутся от них, узнав об их пристрастии к порнографии. Тем не менее Национальное криминальное агентство сумело деанонимизировать преступников и привлечь к ответственности. Основным инструментом в работе стали «упорство и специальные навыки». Старший следователь Найджел Лири назвал группировку одной из самых непростых и серьезных. Кайзер признал себя виновным в 11 пунктах обвинения. Среди вменяемых ему преступлений — шантаж, мошенничество, отмывание денег и злоупотребление компьютерными технологиями. Королевский суд Кингстона приговорил его к шести годам и пяти месяцам заключения. Согласно действующему законодательству Великобритании, за решеткой хакер проведет не более половины срока. Помимо этого, четыре проведенных под стражей месяца будут зачтены дополнительно. Бизнес на стыде Мошенничество, которым промышляли Кайзер и его подельники, обычно называют sextortion. Такой вид шантажа является одним из наиболее прибыльных. За неделю преступники могут без труда «заработать» более 50 тысяч долларов — более 3,2 миллиона рублей по текущему курсу. Они оказывают давление на жертв, играя их чувством стыда и вины, а также строго ограничивая время на оплату выкупа. Напуганные пользователи, как правило, быстро переводят требуемую сумму на счета вымогателей. За последние годы порновымогательство стало одним из наиболее распространенных преступлений. В 2017 году интернет-центр жалоб ФБР получил почти 15 тысяч заявлений, связанных с подобными преступлениями. Общие потери пользователей составляют более 15 миллионов долларов (в рублях — свыше 970 миллионов). В начале апреля 2019 года стало известно о массовой рассылке подобных спам-сообщений. Авторы посланий угрожали жертвам распространить видеозаписи, где те просматривают порнографические видео. Хакеры неплохо подготовились: они перевели письмо на несколько языков и разослали текст пользователям из России, Чехии, Германии, Франции, Испании и США. Свое «молчание» хакеры оценили в 0,45 биткоина (почти 150 тысяч рублей). Адресаты могли перевести средства на тайный счет в течение двух дней. Сколько юзеров пали тогда жертвами вымогателей — неизвестно. Изначально мошенники отправляли только формальные текстовые угрозы, надеясь на доверчивость получателей писем. Позднее они нашли способ запугать жертв еще сильнее: хакеры включали в письма пароль адресата от электронной почты. Так они создавали у юзера впечатление, что тот находится у них «под колпаком». Всю конфиденциальную информацию преступники доставали из слитых в сеть взломанных баз данных. Около полугода назад киберпреступники ввели новую уловку: они пугали жертв, создавая у них иллюзию, что имеют доступ ко всем их аккаунтам. Для этого преступники подделывали данные послания, ставя в графу «отправитель» почтовый ящик самой жертвы, то есть фактического получателя. Такой тип шантажа впервые был замечен пользователями из Нидерландов, где мошенники в короткие сроки выманили у испуганных жертв 40 тысяч евро (2,8 миллиона рублей). При этом подобная подделка не является новым изобретением — она давно известна в среде киберпреступников. В этот раз вымогатели лишь соединили свои методы с известным приемом фишеров и пранкеров. Позднее группировка переключилась и на англоязычную аудиторию, тогда за два дня им удалось пополнить счет на 2,3 тысячи долларов (это лишь открытые данные по первым четырем транзакциям на счет). Однако порой преступники сталкиваются с хладнокровным отпором. Летом 2018 года анонимный злоумышленник пытался шантажировать 82-летнего коуча Эда Эйсена. Он прислал ему типичное письмо, где требовал семь тысяч долларов за интимное видео, записанное на взломанную веб-камеру. В этот раз преступникам не повезло: «Я не смотрю порно», — отрезал пожилой Эйсен. Исследователи в области кибербезопасности провели исследование, согласно которому за несколько месяцев чуть более 300 биткоин-хранилищ, связанных с хакерами-вымогателями, приняли на свои счета около 250 тысяч долларов. При этом кошелек, реквизиты которого были высланы Эйсену, среди них не указан, — это означает, что на деле у преступников намного больше счетов, чем кажется.
  5. Очередная версия банковского трояна Emotet научилась использовать ранее взломанные IoT-устройства в качестве прокси для своих настоящих командных серверов, сообщает BleepingComputer. По мнению экспертов TrendMicro, обнаруживших обновления вредоносного ПО, увеличение сложности C&C-трафика говорит о желании злоумышленников запутать свои следы. Согласно описанию Министерства внутренней безопасности США, Emotet — комплексное ПО, которое часто выступает в роли загрузчика для других банковских троянов. Вредоносная программа предположительно была создана хакерской группировкой Mummy Spider. Код Emotet использует модульные DLL-библиотеки для непрерывного улучшения своих возможностей. На сегодняшний день он остается одной из главных угроз для правительственных учреждений; каждый случай заражения приводит к быстрому распространению трояна по внутренней сети. На устранение последствий одной такой атаки может уходить до $1 млн. Обычно заражение Emotet происходит через спам по электронной почте. После того как пользователь открывает вложенный вредоносный файл, троян прописывает в реестре ключи для автозапуска и обеспечивает свое постоянное присутствие в системе. Установив затем соединение с командным сервером, он скачивает нужные файлы и получает дальнейшие инструкции. Теперь же Emotet научился после заражения добавлять в исходящий трафик случайные URI-пути, чтобы лучше скрывать адреса C&C-серверов, а также использовать подключенные к Интернету скомпрометированные устройства в качестве прокси-серверов. Как следует из анализа специалистов TrendMicro, IP-адреса таких прокси жестко прописаны в коде вредоносного ПО. Таким образом, реальная командная инфраструктура зловреда теперь прикрыта сетью промежуточных устройств. Это далеко не первое сообщение о «мутациях» Emotet: в феврале он сменил способ доставки, а летом научился поддерживать сторонние библиотеки и превратился в дроппер. https://www.bleepingcomputer.com/news/security/emotet-uses-compromised-devices-as-proxy-command-servers/
  6. Бразильская полиция арестовала подозреваемого в управлении подпольной нарколабораторией и использовании биткоина для отмывания нелегальных доходов. Департамент по борьбе с незаконным оборотом наркотиков (Denarc) в Порту-Алегри обнаружил оборудование для майнинга BTC в доме человека, подозреваемого в производстве и торговле наркотиками. Сотрудники правоохранительных органов обнаружили 25 устройств для майнинга криптовалют, которые работали 24 часа в сутки, а также «сложное» программное и аппаратное обеспечение стоимостью более 250 000 реалов ($63 000). По данным полиции, предполагаемый владелец оборудования утверждал, что «он арендовал помещение и занимался добычей биткоина с целью инвестиций, что не является противозаконными» и не имеет никакого отношения к обвинениям, связанным с наркоторговлей. Подозреваемый был арестован и оштрафован за незаконное использование электроэнергии. Полиция подозревает, что владелец майнинговых ферм отмывал полученные от наркоторговли доходы через криптовалюту.
  7. Генеральная прокуратура направила в суд Бобруйского района и Бобруйска уголовное дело о преступлениях в сфере высоких технологий, сообщает БЕЛТА со ссылкой на отдел информации Генпрокуратуры. Установлено, что обвиняемый вместе с другими фигурантами с мая 2016 года по 30 января 2018-го в Бобруйске через подключенное к интернету устройство использовал заведомо вредоносные программы, чтобы нарушить систему защиты данных. Так он получил доступ к информации, хранившейся в компьютерной системе, скопировал сведения о логинах и паролях к учетным записям отдельных интернет-ресурсов. Чужие реквизиты успешно продал за $52 860, которые в ходе предварительного следствия не возместил. Одновременно с уголовным делом Генпрокуратура направила в суд исковое заявление о взыскании в пользу республиканского бюджета суммы неосновательно приобретенной выгоды и госпошлины. Действия обвиняемого квалифицированы как заведомое использование вредоносных программ для несанкционированного копирования информации, несанкционированный доступ к компьютерной информации и неправомерное завладение такой информацией. Уголовное дело находилось в производстве главного следственного управления Следственного комитета.
  8. Эксперты Check Point обнаружили серию атак, направленных на государственных служащих сразу нескольких стран. Злоумышленники использовали вредоносные документы Excel и скомпрометированную версию TeamViewer, чтобы обеспечить себе полный доступ к компьютерам жертв. Под удар попали сотрудники финансовых ведомств и посольств Бермудских островов, Гайаны, Кении, Италии, Либерии, Ливана и Непала. Специалисты затрудняются определить цели организаторов кампании. Пока в качестве основной версии эксперты называют хищение денежных средств. В ее пользу говорит тот факт, что все жертвы были тщательно отобраны и так или иначе имели отношение к финансовым операциям своих организаций. Заражение происходило через вредоносный XLSM-документ, замаскированный под секретные материалы Государственного департамента США. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней. Этот сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу. Их функции позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой. Эксперты обнаружили в ее коде изменения, которые скрывают программу от жертвы и позволяют исполнять полученные извне файлы EXE и DLL. По неизвестным причинам на момент обнаружения атак хранилище скриншотов было доступно для просмотра. Это позволило аналитикам определить часть жертв кампании и предположить, что злоумышленники атаковали сотрудников финансовых отделов. Позже злоумышленники закрыли эту директорию. Специалисты отследили развитие данной кампании до 2018 года, отметив при этом, что атаки могли начаться и раньше. За прошедшее время злоумышленники несколько раз меняли свою технику — например, в первых инцидентах вместо документов MS Office они использовали самораспаковывающиеся архивы. Сама вредоносная DLL-библиотека также прошла заметную эволюцию: актуальный вариант с поддержкой скриптов AutoHotKey появился только в 2019 году, а до этого преступники отправляли команды программе вручную. Аналитики также нашли следы одного из организаторов кампании на подпольных хакерских сайтах. На этих ресурсах он обсуждал технологии, которые позже нашли применение в нынешних атаках. Некоторые куски кода из этих постов полностью совпадают с описанными выше скриптами. Эксперты также обнаружили учетную запись этого пользователя на форуме похитителей платежных данных. Это также свидетельствует о том, что целью нынешней кампании была именно кража денежных средств. Это не первый случай применения TeamViewer киберпреступниками. В 2018 году эксперты «Лаборатории Касперского» рассказали о продвинутых атаках на российскую промышленность, от которых пострадали сотни предприятий. Организаторы той кампании использовали тщательно подготовленные фишинговые письма, чтобы заставить жертв установить ПО для удаленного доступа.
  9. Специалисты по защите от DDoS из компании Imperva столкнулись с необычной атакой. Ее авторы использовали легитимную опцию HTML5 — команду ping, чтобы заставить браузеры посетителей сайта создавать и направлять на мишени мусорный поток интенсивностью до 7,5 тыс. запросов в секунду. Атрибут ping позволяет владельцам сайтов отслеживать переходы по ссылкам и определять уровень обращений к различному контенту — например, рекламным окнам — или другим страницам в Интернете. (Этой же цели служит переадресация HTTP и JavaScript.) Чтобы получить пинг-сигнал, в HTML-тэг <a> включается переменная ping = " " . В этом случае при переходе по ссылке браузер вначале подает POST-запрос на URL пинга, а затем открывает целевую страницу или сайт. Запрос включает заголовки Ping-From и Ping-To (с URL в качестве значения), а тип содержимого указан как text/ping. DDoS-атака, зафиксированная Imperva, проводилась с помощью именно этого механизма. Как удалось определить, большая часть мусорного потока исходила с территории Китая — его создавали тысячи подневольных смартфонов с установленным QQBrowser разработки Tencent. В ходе атаки исследователи насчитали около 4 тыс. IP-адресов — источников вредоносного трафика, с которых за четыре часа было суммарно подано порядка 70 млн ping-запросов. Примечательно, что значения в заголовках Ping-From и Ping-To всех запросов были одинаковыми. Анализ страницы по этой ссылке показал, что она загружает два JavaScript-файла — ou.js и yo.js. Первый содержит список атакуемых сайтов (в основном игровых), второй создает для каждого пинг-URL и активирует эту ссылку, инициируя отправку запроса на сайт-мишень. Данный сценарий отрабатывает ежесекундно — до тех пор, пока посетитель не покинет страницу. Судя по строке User-Agent, пользователей мобильных устройств заманивали на вредоносную страницу в основном через WeChat. Для открытия ссылок в сообщениях этот клиент использует дефолтный браузер, а QQBrowser очень популярен в Китае, и владельцы смартфонов охотно используют его по умолчанию. Исследователи подчеркнули, что подобную DDoS-атаку можно провести с использованием и других браузеров, поддерживающих ping. Во избежание злоупотреблений оператор сайта может заблокировать пинг-запросы на уровне сетевого экрана. Владельцы большинства браузеров в настоящее время имеют возможность деактивировать ping, если его поддержка включена по умолчанию, — как в Chrome, Edge, Safari и Opera. К сожалению, производители этих браузеров недавно приняли решение убрать опцию отключения трекинга, и это уже вызвало опасения, что подобный шаг грозит потерей приватности. В Firefox и Brave поддержка ping по умолчанию отключена, и, насколько известно, изменений здесь не предвидится. Стоит также отметить, что пингбэк не первый раз используется для проведения DDoS-атак. Подобная опция предусмотрена в WordPress (она работает по протоколу вызова удаленных процедур XML-RPC), и несколько лет назад злоумышленники уже пытались задействовать ее в атаках на сайты, притом не без успеха. • Source: https://www.imperva.com/blog/the-ping-is-the-thing-popular-html5-feature-used-to-trick-chinese-mobile-users-into-joining-latest-ddos-attack/
  10. Координационный центр Университета Карнеги Меллон предупреждает, что по меньшей мере четыре VPN-приложения, используемые корпоративными клиентами, содержат уязвимости. Среди проблемных приложений эксперты выделили VPN-сервисы от Cisco, F5 Networks, Palo Alto Networks и Pulse Secure. Согласно опубликованному исследователями сообщению, все четыре приложения хранят cookie аутентификации и сессий в незашифрованном виде. Эти лог-файлы можно найти на диске компьютера или в его памяти. В результате атакующий, у которого есть доступ к компьютеру жертвы (или установленная в системе вредоносная программа), может получить эти данные, а затем использовать их на другой системе, чтобы возобновить VPN-сессию жертвы. При этом злоумышленнику не потребуется походить процесс аутентификации. По словам специалистов, следующие продукты хранят cookies в незащищенном виде в логах: • Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 и более ранние версии для macOS (CVE-2019-1573). • Pulse Secure Connect Secure версии до 8.1R14, 8.2, 8.3R6 и 9.0R2. А эти продукты хранят cookies в незащищенном виде в памяти: • Palo Alto Networks GlobalProtect Agent 4.1.0 для Windows и GlobalProtect Agent 4.1.10 и более ранние версии для macOS (CVE-2019-1573). • Pulse Secure Connect Secure версии до 8.1R14, 8.2, 8.3R6 и 9.0R2. • Cisco AnyConnect 4.7.x и более ранние версии. Palo Alto Networks выпустила обновление v4.1.1, которое устраняет эти проблемы. В F5 Networks заявили, что разработчики в курсе этих уязвимостей с 2013 года, однако сознательно не хотят выпускать патч, рекомендуя клиентам включить OTP или 2FA. https://kb.cert.org/vuls/id/192371/
  11. Хакеры получили доступ к аккаунтам пользователей в почтовом сервисе Outlook, пишет The Verge со ссылкой на уведомление Microsoft. Компания опасается, что в результате этого личные данные некоторых пользователей могли быть скомпрометированы. Как уточняет TechCrunch, речь идет о пользователях, использовавших сервисы msn.com и hotmail.com. В Microsoft подчеркнули, что речь идет об ограниченном числе пользователей. Потенциально хакеры могли просмотреть адреса электронной почты, имена папок в хранилище писем, темы писем и контакты пользователя. Содержание самих писем не было для них доступно. Взлом произошел в период между 1 января и 28 марта. К настоящему моменту Microsoft отключила скомпрометированные аккаунты и лишила злоумышленников доступа к сервису. Тем не менее в компании предлагают пользователям Outlook сменить свои пароли по соображениям безопасности. В Microsoft предупредили, что тот факт, что преступники получили доступ к большому списку электронных адресов, может привести к тому, что на эти адреса будут отправляться фишинговые письма и спам-рассылка. https://www.theverge.com/2019/4/13/18309192/microsoft-outlook-email-account-hack-breach-security https://techcrunch.com/2019/04/13/microsoft-support-agent-email-hack/
  12. Разработчики Magento обнаружили, что функциональность PayPal Payflow Pro оказалась весьма полезным инструментом для злоумышленников. Интеграция PayPal Payflow Pro с магазинами Magento позволяет их владельцам включить платежную опцию, благодаря которой можно принимать средства на учетную запись PayPal. По сути, таким образом на сайт можно встроить специальную платежную форму, и посетителям не понадобится покидать магазин и переходить на сайт PayPal для совершения оплаты. Как оказалось, интеграция PayPal Payflow Pro в Magento версиях 2.1.x и 2.2.x позволяет злоумышленникам использовать уязвимые магазины для проверки банковских карт на подлинность и работоспособность. Злоумышленники массово приобретают информацию о чужих банковских картах в даркнете, однако не пытаются сразу использовать их для оплаты каких-либо покупок. Вместо этого хакеры инициируют транзакции размером $0 и смотрят, не приведет ли данная операция к каким-либо ошибкам, что позволяет косвенно подтвердить, действительны ли купленные на черном рынке детали карты. По данным разработчиков, проблема распространяется на любые установки Magento, как на собственные хостинги клиентов, так и на коммерческие облачные решения Magento. Также сообщается, что Magento 2.3.x тоже может быть уязвима перед такими атаками, однако пока эксперты не наблюдали злоупотребления PayPal Payflow Pro на этой версии платформы. Администраторам ресурсов под управлением Magento настоятельно рекомендуется включить WAF или задействовать другие защитные системы, предотвращающие подобный брутфорс и активность ботов. Дело в том, что PayPal вполне может заблокировать аккаунт владельца сайта, обнаружив столь подозрительную автоматическую активность. https://support.magento.com/hc/en-us/articles/360025515991-PayPal-Payflow-Pro-active-carding-activity
  13. Исследователи из Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы сигнатур вредоносного ПО, и внедрить сторонний код на целевое устройство. По данным аналитической компании IDC, смартфоны Xiaomi входят в пятерку самых популярных среди российских пользователей. В 2018 году производитель занял 14% рынка, поставив покупателям 4,2 млн устройств — на 600 тыс. меньше Apple. Уязвимое приложение объединяет в себе антивирусные движки Avast, AVL и Tencent. Пользователь может выбрать один из них в качестве основного, и если тот окажется недоступен, последовательно включать остальные — например, при невозможности обновить базу сигнатур. Эксперты нашли в Guard Provider несколько серьезных уязвимостей, которые совместно открывают взломщику полный доступ к смартфону. Главная проблема — это незащищенное HTTP-соединение, используемое для обновления баз антивирусных сканеров. Если злоумышленник находится в одной сети с жертвой, он сможет перехватить пересылаемые в ней данные, нейтрализовать антивирусную защиту и взломать устройство. Как поясняют эксперты, если мобильное приложение объединяет несколько SDK (как Guard Provider — антивирусные движки), каждый из них может обращаться к закрытой информации «соседа». В отсутствие разграничений уровень безопасности пользователя определяет наименее защищенный SDK, поскольку компрометация одного пакета открывает доступ ко всем данным. В случае Guard Provider слабым звеном оказался движок AVL, через который эксперты смогли скомпрометировать данные Avast. Атака работает, только если пользователь выбирает последний антивирус в качестве основного. Сначала взломщик должен перехватить обращение Avast за очередной базой сигнатур — это возможно из-за уязвимости HTTP-соединения. На данном этапе злоумышленнику нужно узнать имя пакета с обновлением, чтобы позднее скомпрометировать его. После этого преступник блокирует дальнейшие запросы Avast к серверу, чтобы пользователь Guard Provider переключился на другой движок, к примеру, AVL. Второй антивирус сразу обращается к своему конфигурационному файлу, где указан адрес для скачивания обновлений; данные хранятся в открытом виде, поэтому преступник может заменить URL. Загрузка скомпрометированного архива открывает взломщику путь к песочнице Guard Provider. Это происходит потому, что в AVL есть уязвимость path traversal (выход за пределы каталога) — она позволяет переходить в сторонние директории, используя существующий URL в качестве отправной точки. Как отмечалось выше, все SDK работают в одной песочнице, поэтому файл AVL может отредактировать скачанную ранее базу обновлений Avast, наименование которой он узнал на первом этапе. Теперь ему остается разблокировать доступ первого антивируса к серверу, чтобы тот вновь стал основным и открыл скомпрометированный файл. Стоит отметить, что Guard Provider повторно не сканирует содержимое песочницы на угрозы — предполагается, что проверка происходит при загрузке данных. Таким образом, преступник может поместить фактически любой зловредный код на смартфон без риска обнаружения. Исследователи сообщили об уязвимости разработчикам Xiaomi, в настоящий момент брешь уже закрыта. Они подчеркивают, что подобные сценарии могут быть актуальны для любых приложений, объединяющих в себе несколько SDK. https://www.forbes.com/sites/daveywinder/2019/04/05/pre-installed-security-app-puts-150-million-xiaomi-smartphone-users-at-risk-what-you-need-to-know/
  14. В популярной Ruby-библиотеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей около 28 млн загрузок, выявлен бэкдор (CVE-2019-10842), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3, опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4, предложенном 3 апреля. Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился код для вызова eval со значением, передаваемым через Cookie "___cfduid=". Для атаки достаточно было отправить запрос на сервер, выставив Cookie "___cfduid" и передав в качестве аргумента команды, закодированные в формате Base64. Имя Cookie "___cfduid" было выбрано для камуфлирования под Cookie "__cfduid", выставляемый CDN Cloudflare и отличающийся наличием двух символов подчёркивания вместо трёх. Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории. Исходный код библиотеки оставался корректным и не вызывал подозрения у разработчиков, что подчёркивает важность применения повторяемых сборок и внедрения процесса проверки соответствия публикуемых пакетов с эталонными исходными текстами. Судя по всему, атака была проведена через захват параметров учётной записи к RubyGems у одного из двух мэйнтейнеров библиотеки (официально утечка учётных данных пока не подтверждена). Атаковавшие проявили осмотрительность и встроили бэкдор не в самую свежую ветку 3.4.x, последний выпуск которой насчитывает более 217 тысяч загрузок, а как обновление для прошлой ветки 3.2.x, рассчитывая на то, что корректирующее обновление зависимости не вызовет подозрений. По приблизительной оценке 1670 репозиториев на GitHub используют bootstrap-sass в качестве зависимости и связанные с этими репозиториями приложения потенциально могут быть скомпрометированы. Разработчикам рекомендуется проследить использование библиотеки bootstrap-sass среди косвенных зависимостей и проверить не было ли выполнено автоматическое обновление до версии с бэкдором. Судя по статистике RubyGems пакет с бэкдором был загружен около 1500 раз. Информация о возможном бэкдоре была опубликована в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4. https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/ https://github.com/twbs/bootstrap-sass/issues/1195