Француз похитил 1 млн евро в отместку за увольнение
Во Франции предприниматель похитил у бывших партнеров биткойны на 1,1 млн евро в отместку за увольнение. Как сообщает газета Parisien, данный инцидент является третьей по величине кражей криптовалюты в стране.
В 2013 году несколько друзей запустили IT-стартап, но по мере его роста и развития между партнерами стали появляться разногласия. Спустя три года один из руководителей был со скандалом уволен и уехал за границу.
С декабря 2018-го по январь 2019-го года было зафиксировано несколько подозрительных переводов криптовалюты с кошельков компании (в общей сложности было переведено 182 биткойна). Поскольку суммы были ниже установленного порога, автоматические системы тревоги не срабатывали. Это навело на мысль, что злоумышленником является кто-то, кто хорошо знаком с устройством компании.
Руководство стартапа обратилось в отдел по борьбе с киберпреступностью прокуратуры Парижа, и через несколько месяцев виновный был найден. Задержание «мстителя» было произведено 20 декабря нынешнего года, когда он вернулся во Францию.
Мужчине предъявлены обвинения в краже в составе преступной группировки, отмывании денег и мошенническом внесении изменений в автоматизированную систему обработки данных.
Билетные мошенники получили от 10 до 13 лет тюрьмы
Суд Басманного района Москвы завершил рассмотрение дела в отношении трех сообщников, обвиняемых в мошенничестве с железнодорожными билетами. В ходе судебного разбирательства удалось доказать вину злоумышленников и установить нанесенный ими материальный ущерб. За совершенные преступления они получили от 10 до 13 лет тюрьмы.
Хакеры выписывали подложные билеты на поезд:
Преступная группа, в которую входили жители Москвы, Ленинградской и Новосибирской областей, проводила целевые атаки на компании, занимающиеся торговлей железнодорожными билетами. Как выяснили следователи, злоумышленники рассылали сотрудникам таких организаций электронные письма с вложениями, содержащими вредоносную программу. В качестве полезной нагрузки на компьютер устанавливался бэкдор, который давал киберпреступникам удаленный доступ к личному кабинету кассира-операциониста.
Используя интерфейс жертвы, мошенники выписывали электронные железнодорожные билеты и оплачивали их с расчетного счета атакуемой компании. Киберпреступники оформляли проездные документы на подставных лиц, а позже сдавали их в кассы РЖД для получения наличных денег. По информации обвинителей, в 2013 и 2014 годах злоумышленники создали более 5 тысяч подложных билетов и обналичили не менее 17 млн рублей. Преступления совершались в Москве, Санкт-Петербурге, Владимире, Новосибирске и Уфе, а также на территории Московской области и Алтайского края.
Потерпевшими по делу признаны представители 31 компании. В ходе следственных действий было допрошено более 190 свидетелей; объем материалов уголовного дела составил более 1000 томов.
Недавно в Следственном Комитете России был создан специальный отдел по расследованию киберпреступлений. Необходимость организации такого подразделения вызвана ростом количества правонарушений с использованием компьютерных технологий. Как подчеркнул глава СК РФ Александр Бастрыкин, дела, связанные с информационной безопасностью, часто имеют межрегиональный и даже международный статус. Особый отдел будет накапливать базу знаний по расследованию киберинцидентов и совершенствовать методы их раскрытия.
Вредоносный видеофайл позволяет выполнить код в WhatsApp
Разработчики WhatsApp исправили серьезную уязвимость, которая могла привести к отказу в обслуживании или удаленному выполнению кода. Баг получил заплатку еще в октябре, однако в Facebook предпочли не разглашать эту информацию, чтобы пользователи успели установить важное обновление. О проблеме стало известно лишь после публикации бюллетеня безопасности, который компания выпустила 14 ноября 2019 года.
Чем грозит критический баг в WhatsApp:
Недостаток связан с неправильной обработкой метаданных элементарного потока при воспроизведении видео в формате MP4. Для эксплуатации уязвимости злоумышленник должен узнать номер телефона жертвы и отправить ей специально созданный файл. Воспроизведение вредоносного объекта в WhatsApp вызовет переполнение буфера стека и приведет к зависанию программы, а в некоторых случаях позволит атакующему запустить сторонний скрипт на устройстве.
Элементарный поток (Elementary Stream) — определенная стандартом MPEG зашифрованная последовательность данных одного типа, передаваемая на выход аудио- или видеодекриптора.
Уязвимость зарегистрирована в базе данных MITRE как CVE-2019-11931. Недостаток затронул мобильные версии WhatsApp для Android, iOS и Windows Mobile, а также варианты мессенджера для корпоративных клиентов.
Какие версии WhatsApp затронуты уязвимостью:
Разработчики добавили патч, устраняющий проблему, в следующие версии WhatsApp:
Android 2.19.274;
iOS 2.19.100;
Business for Android 2.19.104;
Business for iOS 2.19.100;
Enterprise Client 2.25.3.
Актуальная на данный момент версия WhatsApp для Windows Phone 2.18.368 остается уязвимой для атак с использованием бага. Разработчик прекращает поддержку мессенджера для мобильной операционной системы Microsoft 31 декабря 2019 года. Будет ли до этого момента выпущен еще один релиз программы — неизвестно.
Представители Facebook заявили, что не знают о случаях эксплуатации CVE-2019-11931 в дикой природе.
«Мы постоянно работаем над повышением безопасности нашего сервиса и публикуем отчеты о потенциальных проблемах, которые мы исправили, в соответствии с лучшими отраслевыми практиками. В данном случае нет никаких оснований полагать, что пользователи были затронуты», — заявил представитель WhatsApp в комментарии для издания The Hacker News.
В октябре этого года мессенджер получил важный апдейт, который закрывал RCE-уязвимость, возникавшую при просмотре GIF-файлов. Критическая ошибка неправильного использования памяти возникала только на Android-устройствах и позволяла атакующему повысить свои привилегии, а также выполнить вредоносный код.
Источник: https://threatpost.ru/whatsapp-rce-vulnerability-could-be-triggered-via-malicious-mp4-file/34868/
Троян Predator атакует любителей легких денег
Независимый ИБ-исследователь обнаружил на YouTube мошенническую кампанию, направленную на распространение шпионского трояна Predator the Thief (также известен как Predator). Злоумышленники маскируют зловред под программы для добычи криптовалют, торговли и управления финансами, и даже обещают пользователям доступ к чужим BTC-кошелькам.
Приманка для любителей криптовалют:
Первое видео появилось на канале в декабре 2018 года. За прошедшее время аккаунт набрал 25 тыс. просмотров, из которых 11 тыс. приходятся на ролик про «бесплатный генератор биткойнов». На видео пользователь вставляет некие символы в исходный код страницы на сайте по управлению криптовалютами. После этого количество денег в кошельке на экране начинает расти.
На втором месте по количеству просмотров руководство по работе с программой, якобы позволяющей вытаскивать криптовалюту из любых BTC- и ETH-кошельков. Мошенники уверяют, что пользователям достаточно ввести желаемую сумму и адрес отправителя. После оплаты транзакционной комиссии деньги придут на указанный кошелек.
Помимо явно мошеннических программ канал продвигает и несколько якобы легитимных утилит — в основном, боты для трейдеров. Под всеми опубликованными видео указаны одинаковые ссылки на несколько файлообменных сервисов. Они ведут на ZIP-архив с тремя папками и файлом setup.exe. Это и есть полезная нагрузка — троян-инфостилер Predator.
Возможности инфостилера Predator:
Впервые этот зловред попал на радары ИБ-специалистов в октябре 2018 года — тогда о Predator рассказал независимый исследователь под ником fumik0. В марте 2019-го троян подробно изучили эксперты «Лаборатории Касперского».
Predator — это относительно примитивный шпион. Его создатели продают программу на подпольных площадках за 2000 рублей — меньше, чем конкурирующих Vidar и HawkEye.
За эти деньги клиенты получают возможность похищать пароли, файлы куки, платежные и учетные данные из более чем 25 браузеров, а также записывать видео с веб-камеры. Злоумышленники также обещают функцию кейлоггинга, но на деле Predator лишь угоняет буфер обмена.
По словам экспертов Kaspersky, этот зловред может угрожать частным пользователям и небольшим компаниям — защиту корпоративного уровня он обойти не способен. Главная особенность трояна состоит в регулярных обновлениях, благодаря чему антивирусные решения могут не распознать угрозу в очередной версии Predator.
Чтобы дополнительно затруднить обнаружение, создатели зловреда обфусцировали его код и добавили некоторые защитные функции. Так, перед началом работы шпион проверяет наименование видеокарты и список загруженных DLL-библиотек. Таким образом Predator определяет, что попал в песочницу.
Специалисты напоминают пользователям об опасности неизвестных программ, особенно если те продвигают как средство быстрого заработка и создания денег из воздуха.
Жертвам Predator необходимо срочно сменить пароли в социальных сетях и платежных сервисах, а также игровых платформах вроде Steam и Battle.net — такие ресурсы все чаще становятся желанной целью для киберпреступников.
Злоумышленники давно используют YouTube для продвижения вредоносного ПО. В 2018 году на видеохостинге обнаружилось множество роликов, в которых геймеры якобы устанавливали на Android-смартфоны онлайн-шутер Fortnite. Позже подобным атакам подверглись любители Apex Legends — преступники обещали им возможность запустить игру на мобильных устройствах, хотя она работает только на Windows, PlayStation 4 и Xbox One. Пользователи, которые следовали инструкциям мошенников, получали на свои устройства нежелательные приложения.
Источник: https://threatpost.ru/predator-the-thief-advertised-as-crypto-software-on-youtube/34822/
Разработчики Magento залатали 10-балльный баг в платформе
Разработчики CMS Magento подготовили патч, который устраняет серьезный баг в платформе для электронной коммерции. Как следует из бюллетеня безопасности, уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Пользователям затронутых систем рекомендуют немедленно установить обновление, а также проверить сайты на наличие сторонних скриптов.
Патч для критического бага в Magento:
Обновление устраняет уязвимость CVE-2019-8144 в Magento Commerce 2.3.1 и 2.3.2, а также в ранних версиях расширения Page Builder. Недостаток связан с проблемами в реализации методов предварительного просмотра Page Builder и позволяет неавторизованному злоумышленнику дистанционно загрузить на страницы интернет-магазина сторонние скрипты. Критический RCE-баг получил от специалистов максимальный рейтинг по шкале CVSS — 10 баллов.
Месяцем ранее разработчики закрыли эту проблему выпуском Magento 2.2.10 и 2.3.3 для веток Open Source и Commerce, а также специальным обновлением версии 2.3.2-p1 до 2.3.2-p2.
Нынешний патч предназначен для тех, кто по каким-либо причинам не может перейти на актуальные релизы системы. Обновление затрагивает только платную линейку продуктов Magento; для сайтов, работающих на устаревших сборках некоммерческого движка, заплатки не предусмотрены.
Побочные эффекты обновления Magento:
Разработчики отмечают, что обновление закрывает уязвимость, но не устраняет результаты ее эксплуатации. Если злоумышленники успели воспользоваться багом и внедрить свой скрипт на сайт, администраторам необходимо удалить его самостоятельно. Создатели системы рекомендуют провести тщательный аудит веб-ресурса, чтобы исключить наличие вредоносных инжектов.
Установка патча сделает невозможным редактирование отдельных шаблонов электронной почты в Magento 2.3.1, однако эта функция по-прежнему будет доступна при обращении к ним из сетки этих объектов.
Пользователям облачного варианта платформы устанавливать патч не нужно — Magento Commerce Cloud получила обновления в автоматическом режиме. Разработчики предупреждают, что администраторам системы будут недоступны страницы предварительного просмотра товаров, блоков и динамических блоков, но обещают восстановить эту возможность в ближайшее время.
Уязвимость не затронула сайты, работающие на Magento 1.x, однако пользователи предыдущей версии платформы вскоре столкнутся с более серьезной проблемой. В июне 2020 года разработчики намерены прекратить поддержку устаревших релизов и не выпускать обновления безопасности для них. По разным подсчетам, на актуальную версию движка все еще не перешли от 200 тыс. до 240 тыс. веб-ресурсов.
Источник: https://threatpost.ru/magento-reports-10-cvss-bug-fixes-it/34819/