Компания Google фиксирует взаимодействия пользователей с приложениями, даже если они устанавливают рекомендуемые ею настройки, которые должны блокировать такую возможность. Об этом сообщается в исковом заявлении, поданном против компании в окружной суд города Сан-Хосе (Калифорния, США) во вторник, 14 июля. Данный иск является уже вторым за несколько месяцев иском о нарушении конфиденциальности данных, поданным против Google юридической фирмой Boies Schiller Flexner от имени своих клиентов. Помимо Google в исковом заявлении также указаны Facebook и Oracle, сообщает информагентство Reuters. По словам истцов, фиксируя, что пользователь просматривает в новостных, туристических и других приложениях, даже если он отключил в настройках своей учетной записи Google возможность отслеживания активности в Сети и в приложениях, компания нарушает федеральный закон США о прослушивании телефонных разговоров и закон штата Калифорния о защите прав потребителей. Согласно исковому заявлению, сбор данных осуществляется через Google Firebase – набор популярных среди разработчиков программ для хранения данных, доставки уведомлений и рекламы, отслеживания сбоев и подсчета кликов. Firebase работает внутри приложений незаметно для пользователей. «Даже если потребитель следует инструкциям самой Google и отключает в настройках конфиденциальности функцию отслеживания активности в web и приложениях, Google все равно продолжает перехватывать сведения об использовании приложений и браузера, а также персональную информацию», — говорится в исковом заявлении. По мнению истцов, Google использует данные Firebase для улучшения своих продуктов и персонализации рекламы и другого контента. В иске, поданном Boies Schiller Flexner от имени пользователей в прошлом месяце, компания обвиняется в тайном фиксировании активности пользователей в браузере даже при включенном режиме инкогнито. Google заявила о своем намерении оспорить иск.

Источник: https://www.securitylab.ru/news/510130.php

Операторы вымогательского ПО Maze заявили на своем web-сайте, что они взломали и заблокировали сеть южнокорейской многонациональной компании LG Electronics. Как сообщили киберпреступники изданию BleepingComputer, они похитили у компании 40 ГБ конфиденциальных данных о проектах для крупных американских компаний. «Мы хотели бы объявить, что в случае, если с нами не свяжутся, мы опубликуем информацию о нападении на LG Electronics. Мы загрузили 40 ГБ исходных кодов, написанных на Python и принадлежащих компании LG Electronics. Данная информация связана с разработками для крупнейших компаний в США», — сообщили операторы Maze. Преступники опубликовали на своем сайте предполагаемые доказательства атаки на LG, включая скриншот списка файлов, написанных на Python. Maze не указывает компанию, для которой был разработан проект, но, судя по скриншоту, он был разработан для AT&T. На третьем скриншоте показан фрагмент кода на Python для проекта пересылки электронной почты. BleepingComputer обратился за комментариями к LG Electronics, но компания не ответила на запрос.

Источник: https://www.securitylab.ru/news/509513.php

Исследователи из израильской компании ClearSky рассказали о хакерской группе CryptoCore, активной с 2018 года и специализирующейся на взломе криптовалютных бирж. По информации специалистов, группировка базируется где-то в Восточной Европе, и к настоящему моменту ей удалось «заработать» более 200 000 000 долларов на компрометации бирж в разных странах мира. CryptoCore связывают как минимум с пятью успешными взломами, а также с попытками атак еще на 10-20 криптовалютных платформ. Так, пять подтвержденных жертв хакеров находятся в Соединенных Штатах, Японии и на Ближнем Востоке. К сожалению, названия пострадавших компаний не раскрываются из-за соглашений о неразглашении, которыми связаны исследователи. Аналитики отмечают, что они не первые, кто обнаружил группу. Ранее некоторые операции CryptoCore уже попадали в отчеты других ИБ-компаний, например, Dangerous Password и Leery Turtle. Но, как выясняется теперь, операции группировки были более масштабными и распространенными и не ограничивались этими отдельными задокументированными случаями. Хотя ClearSky активна уже два с половиной года, хакеры все это время использовали одну и ту же тактику с небольшими поправками. Так, все атаки начинались со сбора информации: злоумышленники собирали необходимые данные о руководстве биржи, ее ИТ-персонале и других сотрудниках. Затем группировка переходила к фишинговым атакам, которые сначала всегда направлены на личные, а не на корпоративные адреса электронной почты. Дело в том, что личные почтовые ящики, как правило менее защищены, но велик шанс, что они все равно содержат какую-нибудь рабочую информацию. И лишь спустя какое-то время (от нескольких часов до нескольких недель) операторы CryptoCore все же переходили к атакам на рабочие аккаунты жертв. «Адресный фишинг, как правило, осуществляется путем выдачи себя за высокопоставленного сотрудника целевой компании или другой организации (например, члена консультативного совета), который имеет связь с жертвой», — поясняют исследователи. Конечная цель преступников — внедрение малвари на компьютер сотрудника биржи и получение доступа к его учетной записи менеджера паролей (или хищение паролей). Если компрометация удалась, члены CryptoCore используют эти пароли для доступа к учетным записям и кошелькам, для отключения системы двухфакторной аутентификации и перевода средств из «горячих кошельков» биржи на свои счета. Все это делает CryptoCore вторая хак-группой, которая регулярно атаковала криптовалютные на протяжении последних 3-4 лет. Впрочем, главной угрозой для бирж по-прежнему являются «правительственные» хакеры из Северной Кореи. Напомню, что, по данным ООН, только за период с января 2017 года по сентябрь 2018 года северокорейские хакеры похитили у пяти азиатских криптовалютных бирж примерно 571 000 000 долларов США.

Источник: https://xakep.ru/2020/06/25/cryptocore/

Исследователь безопасности из компании PwC Витце Бьюкема (Wietze Beukema) обнаружил почти 300 исполняемых файлов в Windows 10, которые уязвимы к атакам типа DLL hijack («подмена DLL-библиотек»). C помощью скрипта VBScript некоторые из EXE-файлов могут быть использованы для перехвата DLL, полностью минуя контроль учетных записей пользователей (User Account Control, UAC). Подмена DLL-библиотек может позволить злоумышленнику выполнить произвольный код, повысить привилегии и обеспечить персистентность на целевой системе. Различные методы атак с использованием DLL-библиотек, описанные специалистом, включают замену DLL, перехват поиска DLL, перенаправление DLL, замену DLL в папке WinSxS и перехват относительного пути DLL. Для демонстрации перехвата относительного пути DLL Бьюкема выбрал библиотеки, находящиеся в папке «C:\Windows\System32» на компьютере под управлением Windows 10 (v1909). Он скопировал легитимный файл winstat.exe в папку загрузок на своей системе, затем запустил инструмент мониторинга процессов procmon с целью идентифицировать все DLL-библиотеки, запрашиваемые приложениями, которые потенциально можно перехватить. Для того чтобы узнать, какие DLL-библиотеки были корректно загружены, специалист скомпилировал собственную версию DLL-библиотеки и заставил ее осуществить запись в уникальный файл после успешной загрузки. Исследователь предоставил полный список библиотек и исполняемых файлов, которые могут быть использованы в ходе атак. Список состоит из 287 исполняемых файлов и 263 уникальных DLL-библиотек.
Специалист также сообщил о некоторых ограничениях, связанных с данными типами атак:
Использовать только исполняемые файлы, не требующие никаких аргументов;
Избегать приложений с расширенным графическим интерфейсом и возможностями отчетов об ошибках;
Не использовать DLL-библиотеки, написанные на языке C++.
Одна из причин, по которой специалист предлагает использовать VBScript, заключается в том, что создание каталогов Windows, имена которых содержат завершающий пробел, не может быть достигнуто с помощью «традиционных средств». С помощью VBScript нет необходимости использовать собственные скомпилированные двоичные файлы для осуществления атаки. Для предотвращения подобных атак эксперт рекомендует настроить приложения так, чтобы они всегда использовали абсолютные пути вместо относительных. Также в настройках UAC можно указать параметр «всегда уведомлять», что поможет предотвратить успешное выполнение перехвата DLL.

Источник: https://www.securitylab.ru/news/509541.php

В сканерах карт и отпечатков пальцев тайваньского производителя систем видеонаблюдения и IP-камер GeoVision были обнаружены четыре уязвимости, одна из которых является критической. Их эксплуатация позволяет злоумышленникам перехватывать сетевой трафик и осуществлять MitM-атаки. Как сообщили специалисты из компании Acronis изданию The Hacker News, проблемы затрагивают как минимум 6 семейств устройств, причем более 2,5 тыс. уязвимых устройств были обнаружены в Бразилии, США, Германии, Тайване и Японии. «Злоумышленники могут обеспечить персистентность в сети, шпионить за внутренними пользователями и похищать данные, не будучи обнаруженными. Они могут повторно использовать украденные данные отпечатков пальцев для авторизации в пользовательские устройства», — пояснили эксперты. Первая проблема связана с паролем суперпользователя, который позволяет злоумышленнику получить доступ к устройству с помощью дефолтного пароля («admin») и удаленного входа на уязвимое устройство. Вторая уязвимость связана с использованием встроенных общих криптографических секретных ключей при аутентификации через SSH-протокол, а третья уязвимость позволяет получить доступ к системным журналам на устройстве без аутентификации. Четвертая уязвимость переполнения буфера в стеке содержится в прошивке и затрагивает устройства считывания отпечатков пальцев GeoVision, позволяя неавторизованным злоумышленникам запускать произвольный код на устройствах. Проблема получила максимальную оценку в 10 баллов по шкале CVSS. Эксперты первый раз уведомили GeoVision о своих находках в августе прошлого года, затем дважды в сентябре и декабре, в дополнение к обращению к Сингапурской группе быстрого реагирования на киберинциденты (SingCERT). Только в начале июня нынешнего года компания GeoVision выпустила исправления для трех уязвимостей (CVE-2020-3928, CVE-2020-3929 и CVE-2020-3930), оставив уязвимость переполнения буфера без исправления.

Источник: https://www.securitylab.ru/news/509498.php