Вредонос MetaStealer нацелен на пользователей macOS
Исследователи SentinelOne предупредили об обнаружении малвари MetaStealer, которая ворует конфиденциальную информацию с компьютеров, работающих под управлением macOS на базе процессоров Intel. MetaStealer представляет собой малварь, нацеленную на бизнес-пользователей. Он написан на Go и способен обходить защиту Apple XProtect. Хотя MetaStealer чем-то похож на обнаруженный весной текущего года Atomic Stealer, исследователи говорят, что сходство исходного кода весьма ограничено, а также существенно отчитаются методы доставки вредоносов. То есть MetaStealer, в основном полагающийся на социальную инженерию, скорее всего, является самостоятельной вредоносной операцией. Эксперты SentinelOne обнаружили образец малвари на VirusTotal, и он сопровождался комментарием, в котором предупреждалось, что для распространения угрозы операторы MetaStealer связываются с компаниями, выдавая себя за их клиентов. Как правило операторы MetaStealer прикрепляют к фишинговым письмам файлы образов (DMG), которые содержат исполняемые файлы с именами-приманками (замаскированные под PDF-файлы), чтобы обманом заставить жертву открыть их. Названия многих файлов DMG, изученных специалистами SentinelOne, были связаны с продуктами Adobe или работой клиентов. Пакеты приложений содержали все самое необходимое: файл Info.plist, папку Resources с изображением иконки и папку macOS с вредоносным исполняемым файлом Mach-O. При этом ни один из изученных образцов малвари не был подписан, хотя некоторые версии имели Apple Developer ID. Проникнув в систему жертвы, MetaStealer пытается похитить информацию, включая пароли, файлы и данные приложений, а затем пытается передать их своим операторам посредством TCP через порт 3000. К примеру, малварь способна проникать в Keychain и извлекать сохраненные пароли, воровать файлы из системы, а также атаковать Telegram и Meta*. Пока MetaStealer работает только на архитектуре Intel x86_64, то есть не может скомпрометировать системы, работающие на процессорах Apple Silicon (M1, M2), если только жертва не использует Rosetta для запуска вредоносного ПО. Однако специалисты не исключают, что в будущем MetaStealer может обзавестись версией, в которую будет добавлена и встроенная поддержка Apple Silicon.
Источник: https://xakep.ru/2023/09/13/metastealer/
Новая тактика Storm-0324 для взлома сетей: Microsoft Teams вместо электронной почты
Microsoft предупредила о новой фишинговой кампании, которая использует Microsoft Teams в качестве платформы для проникновения в корпоративные сети. Команда Microsoft Threat Intelligence отслеживает кластер угроз под названием Storm-0324, также известный как TA543 и Sagrid. Специалисты отмечают, что с июля 2023 года Storm-0324 изменила методы атаки. Если ранее главным вектором заражения служила электронная почта, то теперь злоумышленники активно используют чаты Microsoft Teams. Средством доставки вредоносных программ служит open source инструмент, позволяющий отправлять фишинговые сообщения напрямую через платформу. Storm-0324 предоставляет услуги по распространению вредоносных программ, включая банковские трояны и программы-вымогатели. В прежних атаках киберпреступники использовали фишинговые письма с документами-приманками в виде счетами-фактурами и другими финансовыми документами. Новый метод атаки, использующий Microsoft Teams, ставит под угрозу корпоративные сети на новом уровне, т.к. многие компании полагаются на эту платформу для внутренней и внешней коммуникации. По данным Microsoft, Storm-0324 является брокером начального доступа (Initial Access Brokers, IAB) и продаёт доступ к скомпрометированным сетям. Так, полученный доступ в данной кампании открывает возможность другим киберперступным группировкам выполнять действия постэксплуатации и развертывать различное вредоносное ПО, включая программы-вымогатели. В июле 2023 года метод работы был обновлен: приманки для фишинга рассылаются через Teams с вредоносными ссылками, ведущими на вредоносный ZIP-файл, размещенный на SharePoint. Это достигается за счет использования инструмента с открытым исходным кодом под названием TeamsPhisher , который позволяет пользователям Teams прикреплять файлы к сообщениям, отправляемым внешним пользователям . Инструмент использует не устранённую проблему безопасности сервиса для обхода запрета на связь с внешними пользователями за пределами целевой организации. Microsoft внесла несколько улучшений в систему безопасности, чтобы блокировать угрозу, и заблокировала определенные учетные записи и клиентов, связанных с подозрительной или мошеннической активностью. Компания акцентирует внимание на том, что идентификация и устранение активности Storm-0324 может предотвратить более опасные последующие атаки, такие как вымогательство данных.
Ошибка в $690 000: Виталик Бутерин прокомментировал взлом своего Twitter-аккаунта
Сооснователь Ethereum Виталик Бутерин подтвердил, что его аккаунт в социальной сети X* был взломан с помощью метода «SIM-свопинга». Инцидент произошел 9 сентября: в аккаунте Бутерина появилась публикация, в которой предлагалось бесплатно забрать «памятные NFT». Пользователи, которые перешли по ссылке и привязали свои криптокошельки, потеряли все свои цифровые активы. В результате атаки было украдено $690 000 в криптовалюте. Чуть позже Бутерин подтвердил факт атаки, сделав заявление на Warpcast, платформе децентрализованной социальной сети Farcaster: «Да, это была замена SIM-карты, то есть кто-то с помощью социальной инженерии завладел моим номером телефона». Бутерин отметил, что для сброса пароля в Twitter* достаточно лишь номера телефона, даже если он не привязан как второй фактор аутентификации (2FA). «Я уже сталкивался с советом «телефонные номера небезопасны, не проходите аутентификацию с их помощью», но не знал, что это так,» — сказал он. Создатель Ethereum также добавил, что не помнит момента, когда привязывал свой телефон к Twitter. Он предполагает, что это могло быть необходимо для подписки на Twitter Blue — платную версию сервиса.
Дарий Панков признал свою вину: что ждёт создателя знаменитого NLBrute
Российский гражданин Дарий Панков, известный в интернете под псевдонимом dpxaker, признал свою вину в сговоре по совершению мошенничества. 28-летний Дарий Панков, автор вредоносного ПО NLBrute, был экстрадирован в Соединенные Штаты из Грузии. В феврале 2023 года ему были предъявлены обвинения в сговоре, мошенничестве с использованием устройств доступа и компьютерном мошенничестве. Вредоносное ПО NLBrute позволяет злоумышленникам получить доступ к защищенным компьютерам, расшифровывая учетные данные для входа. Согласно обвинению, Панков не только создал и продавал NLBrute, но и продавал тысячи учетных данных для доступа к компьютерам, которые он получил, используя свое ПО. Украденные учетные данные были выставлены на продажу на темной площадке, специализирующейся на покупке и продаже доступа к компьютерам. Общее число компьютеров, доступ к которым был выставлен на продажу, превысило 35 000. По данным следователей, с 2016 по 2019 год Панков заработал на этом более 350 000 долларов. Среди жертв Панкова — две юридические фирмы из Среднего округа Флориды. На данный момент Панкову грозит максимальное наказание в виде пяти лет лишения свободы. Он также согласился конфисковать 358 437 долларов, полученных от незаконной деятельности. Дата вынесения приговора еще не установлена. В пресс-релизе Департамента Юстиции говорится: «Согласно соглашению о признании вины, Панков разработал вредоносное программное обеспечение под названием “NLBrute”, способное компрометировать защищенные компьютеры, расшифровывая учетные данные входа.» Панков был задержан властями Грузии 4 октября 2022 года и экстрадирован в Соединенные Штаты.
$5,2 млн.: цена ошибки для молодого хакера из США
Федеральный судья приказал молодому хакеру, который предположительно украл криптовалюту у крипто-инвесторов Северной Калифорнии, уплатить правительству США почти 5,2 миллиона долларов в биткоинах и вернуть спортивный автомобиль. Об этом сообщили местные СМИ. Подросток Ахмад Вагаафе Харед из Тусон, штат Аризона, в 2016 году, когда ему было 18 лет, начал сотрудничать с двумя соучастниками для кражи криптовалюты. Преступники сначала получили личную контактную информацию руководителей криптовалютных проектов и инвесторов криптовалюты. Затем они якобы связались с поставщиками услуг мобильной связи и убедили представителей компании, что являются законными владельцами номеров телефонов жертв. Такой процесс известен как SIM-своппинг (SIM Swapping). Получив контроль над номерами телефонов жертв, Харед и его соучастники смогли взломать электронную почту и другие аккаунты. В конечном итоге злоумышленники использовали свой доступ к аккаунтам, чтобы проникнуть в криптовалютные депозиты своих жертв. Федеральный судья в Сан-Франциско вынес предварительный приказ о конфискации у Хареда 119,8 биткоина (BTC) стоимостью 5,2 миллиона долларов, а также 93 420 Stellar Coins (XLM) и BMW i8 2017 года выпуска. Харед признал свою вину в 2019 году, но многие документы по делу остаются незакрытыми.