20 000 поддельных брендов: фишинговая империя Darcula начинает свою работу

Компания Netcraft обнаружила новый фишинговый сервис Darcula, который использует более на 20 000 доменов для имитации популярных брендов и кражи учетных данных пользователей Android и iPhone в более чем 100 странах. PHaaS-сервис Darcula выделяется на фоне других подобных сервисов своим подходом к дистрибуции фишинговых сообщений: вместо традиционных SMS злоумышленники используют RCS-протоколы (Rich Communication Services) для Google Messages и iMessage, из-за чего сообщения выглядят более убедительно и обходят некоторые меры безопасности. Сервис предлагает своим клиентам более 200 шаблонов для создания фишинговых страниц, которые имитируют интерфейсы известных организаций, включая финансовые учреждения, государственные службы, телекоммуникационные компании и авиакомпании. Созданные страницы отличаются высоким качеством, используют локальные языки, логотипы и контент. Киберпреступники выбирают бренд для имитации и запускают скрипт установки, который разворачивает соответствующий фишинговый сайт в Docker-окружении. Система использует открытый регистр контейнеров Harbor для хостинга Docker-образа, а сами сайты разрабатываются на React. Аналитики Netcraft отмечают, что Darcula обычно использует домены верхнего уровня «.top» и «.com» для хостинга фишинговых атак, причем около трети из них защищены Cloudflare. Всего было отмечено 20 000 доменов, связанных с Darcula, расположенных на 11 000 IP-адресах. Отмечается, что ежедневно добавляется около около 120 новых доменов. Отказ от использования SMS и переход на RCS и iMessage делает фишинговые сообщения менее подверженными блокировке на основе контента благодаря поддержке сквозного шифрования (End-to-End Encryption, E2EE). Нововведения в законодательстве, направленные на борьбу с киберпреступностью через SMS, скорее всего, стимулировали переход на такие протоколы. Преимущество использования RCS заключается в том, что получатели с большей вероятностью поверят сообщению, доверившись дополнительным гарантиям, недоступным в SMS. Пользователям следует быть осторожными со всеми входящими сообщениями, которые призывают перейти по ссылкам, особенно если отправитель неизвестен. Неточности в грамматике, орфографические ошибки, слишком привлекательные предложения или призывы к срочным действиям должны вызывать подозрение.

Источник: https://www.securitylab.ru/news/547082.php

MFA Bombing: как бомбардировка уведомлениями приводит к удалению данных с iPhone

Пользователи Apple столкнулись с хитроумной схемой фишинга, эксплуатирующей уязвимость в функции сброса пароля. Жертвы атаки обнаруживают, что их устройства получают настолько большое количество системных уведомлений, что смартфон становится невозможно использовать без реагирования на каждое уведомление. Предприниматель Партх Патель стал жертвой подобной атаки и поделился своим опытом в X*, описав, как его устройства, включая часы, ноутбук и телефон, были перегружены уведомлениями об одобрении смены пароля. Запросы поступали на телефон в течение нескольких дней. Отказавшись от всех запросов на сброс пароля от Apple, Патель вскоре получил звонок от якобы службы поддержки Apple, номер которой совпадал с реальной линией поддержки клиентов компании. Однако, несмотря на предоставленные актуальные данные о себе, звонивший не смог верно указать настоящее имя Пателя, вместо этого использовав имя, связанное с Пателем на одном из сайтов поиска людей. Целью мошенников является получение одноразового кода сброса Apple ID, что позволит сбросить пароль и заблокировать доступ владельца к аккаунту, а также удаленно стереть все данные с устройства жертвы. Такой метод фишинга известен как MFA Bombing (MFA Fatigue) и использует злоупотребление функцией или уязвимостью системы многофакторной аутентификации, вызывая поток уведомлений на устройство жертвы. Подобные атаки могут быть особенно эффективны, если злоумышленникам известен номер телефона, привязанный к аккаунту Apple. В ответ на растущую угрозу MFA Bombing корпорация Microsoft начала внедрять дополнительные меры безопасности, например, функцию проверки чисел MFA, требующую от пользователя ввести показанные на экране цифры в приложение аутентификатора для подтверждения входа в систему. Специалисты призывают Apple усилить меры безопасности и рассмотреть возможность внедрения дополнительных ограничений на частоту запросов сброса пароля, чтобы предотвратить подобные атаки в будущем. На момент публикации Apple не прокомментировала ситуацию, что вызывает обеспокоенность среди пользователей относительно безопасности их личных данных и устройств.

Источник: https://www.securitylab.ru/news/547064.php

Рязанские хакеры «обчистили» 160 000 покупателей из других стран

Генеральная прокуратура России утвердила обвинительное заключение по уголовному делу в отношении шестерых жителей Рязани. Дениса Приймаченко, Александра Асеева, Александра Басова, Дмитрия Колпакова, Владислава Патюка и Антона Толмачева обвиняют в неправомерном обороте средств платежей и создании вредоносных программ. По данным следствия, начиная с конца 2017 года, участники преступной группы использовали специальные компьютерные программы для обхода защиты сайтов зарубежных интернет-магазинов. Получив доступ к базам данных, злоумышленники копировали реквизиты банковских карт с помощью вредоносного кода и размещали их на удаленных серверах. В результате киберпреступники незаконно завладели сведениями о почти 160 тысячах платежных карт иностранных граждан. Впоследствии участники хакерской группы продали эти данные через теневые интернет-площадки. Уголовное дело, возбужденное по факту инцидента, направлено в Советский районный суд Рязани. Обвиняемым грозит наказание за преступления, предусмотренные статьями о неправомерном обороте средств платежей и создании вредоносного ПО.

Источник: https://www.securitylab.ru/news/547189.php

Основатель FTX получил 25 лет за обман инвесторов на $10 млрд

Основатель криптовалютной биржи FTX Сэм Бэнкман-Фрид был приговорен к 25 годам тюремного заключения за масштабное мошенничество и заговор, повлекшие крах его компании и связанного с ней хедж-фонда Alameda Research. Наказание значительно меньше, чем 40-50 лет, которые требовали федеральные прокуроры, но значительно больше, чем 5-6,5 года, предложенных адвокатами Бэнкман-Фрида. Судья Льюис Каплан, вынося приговор 32-летнему Бэнкман-Фриду, подчеркнул риск того, что осужденный сможет в будущем совершить новые преступления, отметив, что риск совсем не мал. Каплан также заявил, что не слышал от Бэнкман-Фрида ни слова раскаяния за совершение «ужасных преступлений» и указал на его «увиливающие» ответы во время дачи показаний. Бэнкман-Фрид, основатель компании, оцениваемой ранее в $32 млрд., был осужден по 7 уголовным статьям, в том числе за мошенничество с ценными бумагами, что привело к потере около $10 млрд. клиентских средств. Прокуроры утверждали, что Бэнкман-Фрид возглавлял конспирацию с целью присвоения средств клиентов на инвестиции, политические пожертвования обеим крупным партиям США и личное использование, а также для погашения займов, взятых Alameda Research. Перед вынесением приговора Бэнкман-Фрид выразил сожаление, намекнув, что потеря миллиардов долларов клиентов была результатом «кризиса ликвидности» или «ненадлежащего управления», а не мошенничества. Он признал свою ответственность как гендиректор FTX, при этом выразив надежду, что клиенты в итоге получат обратно свои средства, несмотря на обвинения в адрес федерального суда по делам о банкротстве в нерешительности возвращения средств клиентам. Прокуроры и потерпевшие выступили с критикой Бэнкмана-Фрида, подчеркнув огромный ущерб, нанесенный его действиями клиентам по всему миру. Прокурор Николас Рус охарактеризовал крах FTX не как «кризис ликвидности или акт ненадлежащего управления», а как «кражу» миллиардов долларов клиентских средств. После приговора заявление сделал адвокат Меррик Гарланд, подчеркнув, что дело Бэнкмана-Фрида является одним из крупнейших финансовых мошенничеств в истории, демонстрирующим пренебрежение к ожиданиям клиентов и правопорядку. Семья Бэнкман-Фрида выразила сожаление по поводу приговора, заявив о намерении продолжать борьбу.

Источник: https://www.securitylab.ru/news/547134.php

Morris II: первый ИИ-червь вырвался на свободу

В новом исследовании группа учёных продемонстрировала создание первого в своём роде вредоносного ИИ-червя, способного автоматически распространяться между генеративными ИИ-агентами, что открывает пути для потенциального кражи данных и рассылки спама. Этот прорыв указывает на новый вид кибератак, которые могут быть осуществлены в связанных, автономных экосистемах искусственного интеллекта. Исследователи из Cornell Tech, включая Бена Насси, Става Коэна и Рона Биттона, разработали червя, названного Morris II в честь оригинального компьютерного червя Morris, который вызвал хаос в интернете в 1988 году. Эксперименты специалистов показали, как такой червь может использоваться для атак на почтовые помощники на базе ИИ с целью кражи данных из электронных писем и рассылки спама, нарушая при этом некоторые меры безопасности в системах ChatGPT и Gemini. Особое внимание в исследовании уделено «враждебным самовоспроизводящимся запросам», которые заставляют ИИ-модель в своём ответе генерировать новый запрос. Этот метод напоминает традиционные атаки типа SQL Injection и Buffer Overflow, говорят исследователи. Для демонстрации возможностей червя исследователи создали почтовую систему, которая может отправлять и получать сообщения с использованием генеративного ИИ, подключаясь к ChatGPT, Gemini и открытой LLM под названием LLaVA. Специалисты обнаружили два способа эксплуатации системы: с использованием текстового самовоспроизводящегося запроса и встраивая самовоспроизводящийся запрос в изображение. Исследование подчёркивает, что генеративные ИИ-черви являются новым риском безопасности, который должен беспокоить стартапы, разработчиков и технологические компании. Хотя генеративные ИИ-черви ещё не обнаружены в «дикой природе», эксперты в области безопасности считают, что риск их появления в будущем достаточно велик. Исследователи сообщили о своих находках в Google и OpenAI, подчёркивая необходимость разработки более надёжных систем безопасности и предостерегая разработчиков от использования вредоносного ввода. Google отказалось комментировать исследование, в то время как представитель OpenAI отметил работу над усилением устойчивости своих систем к подобным атакам. Некоторые способы защиты от потенциальных ИИ-червей уже существуют, например, использование традиционных подходов к безопасности и обеспечение участия человека в процессе принятия решений ИИ-агентами. Эксперты подчёркивают важность разработки безопасных приложений и мониторинга для предотвращения подобных угроз.

Источник: https://www.securitylab.ru/news/546466.php