Zero-click terror: израильские шпионы взломали WhatsApp без единого клика
WhatsApp сообщил о ликвидации шпионской кампании, направленной против журналистов и гражданского общества. Атака, затронувшая около 90 человек, была осуществлена с использованием шпионского ПО израильской компании Paragon Solutions . По данным WhatsApp, злоумышленники были нейтрализованы в декабре 2024 года. В заявлении для The Guardian мессенджер сообщил, что уведомил пострадавших пользователей и имеет “высокую уверенность” в том, что их устройства могли быть взломаны. Пока неизвестно, кто стоит за атакой и как долго она продолжалась. Эксперты считают, что атака использовала уязвимость “zero-click”, при которой шпионское ПО устанавливается на устройство без каких-либо действий со стороны пользователя. Вероятно, вредоносный код распространялся через специально подготовленный PDF-файл, отправленный пользователям, добавленным в группы WhatsApp. Компания также заявила, что направила Paragon Solutions требование о прекращении деятельности и рассматривает другие юридические меры. Это первый случай, когда технологии этой компании были публично связаны с незаконной слежкой. Как и NSO Group, Paragon разрабатывает программы для кибер шпионажа , такие как Graphite, предназначенные для правительственных структур для борьбы с кибер угрозами . В декабре 2024 года компания была приобретена американским инвестиционным фондом AE Industrial Partners за $500 млн. На своем официальном сайте Paragon Solutions заявляет, что разрабатывает “этично ориентированные инструменты” для борьбы с преступностью и анализа цифровых данных. Ранее, в конце 2022 года, стало известно, что Graphite использовался Управлением по борьбе с наркотиками США (DEA) в рамках антинаркотических операций. В 2023 году Центр демократии и технологий (CDT) призвал Министерство внутренней безопасности США раскрыть детали контракта с Paragon на $2 млн. Новость о кампании появилась спустя несколько недель после того, как суд Калифорнии вынес решение в пользу WhatsApp в деле против NSO Group, обвиняемой в использовании его инфраструктуры для распространения шпионской программы Pegasus в 2019 году. Заявление Meta также совпало с арестом бывшего министра юстиции Польши Збигнева Зиобро, которого обвиняют в санкционировании использования Pegasus для слежки за политическими оппонентами.
Эпидемия взломов: как сайты на WordPress похищают ваши личные данные
Хакеры атакуют тысячи сайтов на базе WordPress, используя уязвимости в устаревших версиях CMS и плагинах. Их цель — заразить пользователей вредоносным ПО, способным красть пароли и другую конфиденциальную информацию как на Windows, так и на macOS. Специалисты компании c/side обнаружили активную хакерскую кампанию, нацеленную на массовое распространение вредоносного программного обеспечения. По их данным, более 10 000 сайтов подверглись взлому, включая ресурсы с высокой посещаемостью. Злоумышленники модифицируют страницы, чтобы обманом заставить посетителей скачать и установить заражённые файлы. Когда пользователь заходит на скомпрометированный сайт, ему отображается поддельная страница обновления браузера Chrome, предлагающая загрузить якобы необходимый файл. Если пользователь соглашается, на его устройство скачивается вредоносное ПО. В зависимости от операционной системы загружается одна из двух программ — Amos (или Atomic Stealer) для macOS и SocGholish для Windows. Amos — один из самых распространённых инфостилеров для macOS. Он продаётся по модели «вредоносное ПО как услуга», что позволяет любому желающему приобрести доступ и использовать его для кражи паролей, сессий, криптокошельков и других данных. Запуск Amos на macOS требует от пользователя дополнительных действий, но хакеры рассчитывают на невнимательность жертв. SocGholish, нацеленный на Windows, действует аналогично. Компания c/side сообщила об инциденте разработчику WordPress — Automattic, передав список вредоносных доменов. В компании подтвердили получение уведомления, но отметили, что безопасность сторонних плагинов лежит на их разработчиках. Эксперты советуют владельцам сайтов своевременно обновлять WordPress и используемые плагины, а пользователям — загружать обновления браузеров только через встроенные механизмы и не скачивать файлы с неизвестных источников.
Google вычистил более 2,36 млн угроз из экосистемы Android
В 2024 году Google реализовала ряд нововведений, направленных на обеспечение безопасности мобильных приложений. Среди ключевых достижений — блокировка 2,36 млн приложений, нарушающих политику Google Play, и удаление 158 000 аккаунтов разработчиков, пытавшихся разместить вредоносный контент. Искусственный интеллект помог Google Play ускорить процесс модерации, в результате чего более 92% проверок потенциально опасных приложений теперь проходят с его участием. Это позволило оперативно выявлять угрозы и предотвращать их появление в магазине. Особое внимание уделено защите конфиденциальности пользователей. Более 1,3 млн приложений лишились ненужного доступа к личным данным. Введена новая опция Data deletion , которая позволяет пользователям управлять своими данными и лучше понимать политику удаления информации. Разработчики также получили рекомендации по использованию современных инструментов безопасности Android, что привело к тому, что 91% установок приложений теперь соответствуют стандартам Android 13 и новее. Для борьбы с мошенничеством была усовершенствована система Play Integrity API, которая позволяет определять попытки взлома, ботов и другие виды злоупотреблений. Разработчики, использующие инструмент, зафиксировали снижение активности подозрительных пользователей на 80%. Google Play Protect продолжает работать на уровне всей операционной системы Android. Компания сообщает, что Android ежедневно сканирует свыше 200 миллиардов приложений, выполняя анализ кода в режиме реального времени. В течение года проверки выявили более 13 миллионов новых вредоносных программ, загруженных из сторонних источников. В целях защиты от социальной инженерии Play Protect теперь автоматически блокирует отключение защиты во время телефонных звонков и видеочатов, предотвращая манипуляции со стороны мошенников. Дополнительно компания запустила пилотный проект по предотвращению финансового мошенничества, который защитил 10 млн устройств от более чем 36 млн попыток установки подозрительных приложений. Программа уже действует в девяти странах и продолжит расширяться. Важным шагом стало внедрение значков доверия для официальных государственных приложений и VPN-сервисов, соответствующих строгим требованиям безопасности. Это позволит пользователям быстрее находить проверенные сервисы и избегать подделок. Google Play также активно сотрудничает с государственными структурами, разработчиками и технологическими компаниями, включая Microsoft и Meta*, для создания единых стандартов безопасности. Новый стандарт оценки защищённости приложений уже применяется для предустановленного ПО на устройствах Pixel. Компания заявляет, что будет продолжать совершенствовать меры безопасности и обеспечивать пользователям надёжную защиту от новых угроз. В ближайшие годы Google Play намерен усилить контроль за данными, расширить механизмы борьбы с мошенничеством и упростить процесс соблюдения требований безопасности для разработчиков.
CVE-2024-53104: Google закрывает критическую 0day-брешь в Android
Февральское обновление безопасности Android 2025 года исправило 48 уязвимостей, включая активно эксплуатируемый «нулевой день» в ядре системы. Наибольшую угрозу представляет уязвимость CVE-2024-53104 , обнаруженная в драйвере USB Video Class (UVC) ядра Android. Ошибка связана с некорректным разбором кадров формата UVC_VS_UNDEFINED в функции uvc_parse_format, что приводит к неправильному расчёту размера буфера. Это может привести к выходу за границы памяти, а значит — к выполнению произвольного кода или атакам типа «отказ в обслуживании» (DoS). Для эксплуатации злоумышленнику необходимо иметь локальный доступ к устройству, но сложность атаки остаётся низкой, что делает её особенно опасной. Кроме «нулевого дня», патч устраняет критическую уязвимость CVE-2024-45569 в компоненте WLAN от Qualcomm. Ошибка связана с некорректной проверкой индекса массива при обработке ML IE в беспроводном соединении, что может привести к повреждению памяти в прошивке. Эксплуатировать уязвимость можно удалённо, без необходимости в правах доступа или взаимодействии с пользователем, что делает её особенно привлекательной для атакующих. Возможные последствия включают выполнение произвольного кода, чтение и изменение данных в памяти, а также выведение устройства из строя. Обновление безопасности Android включает два набора исправлений: 2025-02-01 и 2025-02-05 . Первый устраняет базовые уязвимости, второй — содержит дополнительные патчи для компонентов закрытого кода и ядра, которые могут не относиться ко всем устройствам. Производители могут распространять обновления поэтапно, а устройства Google Pixel получают патчи в числе первых, в то время как другие компании тестируют их под собственное оборудование. Это не первый случай исправления активно эксплуатируемых уязвимостей в Android за последние месяцы. В ноябре 2024 года Google устранил ещё два «нулевых дня» — CVE-2024-43047 и CVE-2024-43093 . Один из них использовался сербскими властями для установки шпионского ПО NoviSpy на устройства активистов и журналистов.
Апдейт на $10000000: код DogWifTools стал ключом к кошелькам пользователей
Хакеры совершили атаку на цепочку поставок Windows-версии DogWifTools — платформы для продвижения мемкоинов в блокчейне Solana. В результате атаки из кошельков пользователей было выведено более $10000000. Разработчики DogWifTools сообщили, что злоумышленники получили доступ к закрытому репозиторию проекта на GitHub. Атакующие провели реверс-инжиниринг программного обеспечения и извлекли токен доступа к репозиторию, а затем использовали токен для загрузки вредоносных обновлений. Атака была проведена максимально скрытно. Хакеры не публиковали зловредные версии сразу, а ждали выхода новых официальных обновлений, после чего оперативно заменяли их на заражённые. Под удар попали версии 1.6.3–1.6.6 DogWifTools, при этом пользователи macOS не пострадали. Запущенное заражённое приложение загружало файл updater.exe в локальную папку AppData, собирая приватные ключи криптокошельков пользователей. За последние 2 дня пострадавшие сообщают о полном опустошении своих активов, включая средства на горячих и холодных кошельках, а также о потере доступа к аккаунтам в Binance и Coinbase. Некоторые пользователи заподозрили DogWifTools в намеренном мошенничестве, однако доказательств этому нет. Подозрения вызваны тем, что платформа предоставляет механизмы для искусственного увеличения торговой активности мемкоинов, что часто используется мошенниками для создания пампов. В частности, DogWifTools позволяет автоматически создавать комментарии, симулировать активность и управлять объёмами сделок через бот-систему. Исследователь блокчейна ZachXBT отметил, что одна из функций платформы — bundler — удерживает значительное количество выпускаемых токенов, а торговый бот искусственно создаёт спрос. Это делает DogWifTools удобным инструментом для мошенников, но не доказывает причастность разработчиков к атаке. Сообщества криптоэнтузиастов также обеспокоены уровнем доступа DogWifTools к пользовательским данным. По словам одного из участников, приложение запрашивало чрезмерно широкие разрешения, что потенциально могло позволить атакующим получить доступ к личным данным, включая идентификационные документы, и использовать их для захвата аккаунтов. Злоумышленник, взявший на себя ответственность за атаку, заявил, что украденная сумма «сильно завышена». Хакер также утверждает, что не похищал пользовательские данные, за исключением локально хранящихся файлов кошельков DogWifTools. Разработчики платформы отвергают обвинения в мошенничестве и заявляют, что их команда не имеет отношения к атаке. Специалисты обещают усилить защиту и содействовать расследованию, чтобы выявить преступников и привлечь их к ответственности.
