Фото и видео в закрытых учетных записях в Instagram и Facebook оказались не такими уж закрытыми. Как сообщает BuzzFeed, с помощью простого трюка друзья и подписчики в соцсетях могут не только просматривать их, но также загружать и обмениваться ими с другими пользователями.
Для того чтобы воспользоваться вышеупомянутым способом, достаточно минимальных знаний о работе HTML и браузера. Злоумышленник может изучить исходный код web-страницы (например, прибегнув к инструменту Inspect Elements), добраться с помощью табуляции до раздела Img и найти URL-адрес любого изображения, на которое он кликал. Этот URL-адрес является открытым, и его можно отправить другим пользователям, в том числе не авторизованным в Instagram и не являющимся подписчикам данного закрытого аккаунта.
Как показали результаты тестирования, проведенные специалистами BuzzFeed Tech + News Working Group, представленный выше способ позволяет просматривать, загружать и обмениваться файлами в форматах JPEG и MP4, публикуемыми на закрытых страницах и в «Историях».
В Facebook проблему не считают опасной. «Описанные действия равнозначны созданию скриншота фотографии друга в Facebook или Instagram и обмену им с другими людьми. Они не позволяют получить доступ к закрытым учетным записям», — сообщили представители компании.

Источник: https://www.securitylab.ru/news/500934.php

Операторы шифровальщика Nemty создали для его распространения фальшивый сайт PayPal. По мнению ИБ-экспертов, злоумышленники экспериментируют с методами доставки зловреда, чтобы выбрать наиболее эффективный.
Специалисты обратили внимание на Nemty в середине августа, когда он атаковал компьютеры через незащищенные RDP-подключения. Позже эксперты обнаружили этот шифровальщик среди полезной нагрузки эксплойт-пака RIG. Вымогатель шифрует пользовательские файлы, удаляет теневые копии Windows и требует за возвращение данных 0,09981 BTC.
Фишинговая кампания Nemty:
Последняя находка ИБ-исследователей говорит о том, что операторы Nemty взяли на вооружение фишинговые приемы. Как рассказали специалисты, преступники раздают вымогатель под видом легитимного приложения с поддельной страницы PayPal, обещающей пользователям кешбек размером в 3–5%. Если жертва поддается на уловку и скачивает программу, через несколько минут ее файлы оказываются заблокированы.
Эксперты отмечают, что злоумышленники приложили немало усилий для создания правдоподобной подставной площадки. Благодаря использованию символов-омографов URL вредоносного сайта выглядит легитимным. Помимо посадочной страницы, где посетителям предлагается дистрибутив, мошенники подготовили несколько дополнительных разделов — «Помощь», «Расценки», «Безопасность».
Что нового в Nemty 1.4:
Аналитики обнаружили, что текущая версия зловреда получила порядковый номер 1.4. и обновления в коде за счет устранения мелких багов.
Ключевое изменение — проверка географического расположения зараженного компьютера. Эта функция присутствовала в коде Nemty с самого начала — зловред уточнял, не проживает ли его жертва в России, Беларуси, Казахстане, Таджикистане или Украине.
За этой проверкой не следовали какие-либо действия. Теперь же создатели шифровальщика добавили механизм, который останавливает работу зловреда, если целевая машина привязана к странам из этого списка.
Nemty уже добавили в базы большинства антивирусных программ. Ложная страница PayPal также обозначена в черных списках браузеров.
Исследователи отмечают, что вымогатель получил негативную оценку на подпольных форумах киберпреступников. Наибольшей популярностью у злоумышленников сейчас пользуется шифровальщик Sodinokibi, чьи операторы также применяют оригинальные методы доставки своего ПО.

Источник: https://threatpost.ru/nemty-ransomware-distributed-via-fake-paypal-website/34033/

Исследователи обнаружили новый шифровальщик Lilu (Lilocked), который с июля атакует веб-серверы под управлением Linux. Преступники блокируют служебные файлы на взломанных хостах, оставляя саму систему в рабочем состоянии.
Особенности атак Lilu:
Эксперты не могут определить, как зловред попадает на сервер. Среди возможных точек входа назывались уязвимости CMS WordPress и почтового клиента Exim. Специалисты смогут сделать точный вывод, только получив в свои руки образец Lilu, чего на момент публикации не произошло.
Для шифрования вымогатель применяет алгоритм AES, заблокированные файлы получают расширение *.lilocked. В каждой обработанной папке зловред оставляет записку, где жертву направляют на сайт в сети Tor для оплаты выкупа. По разным данным, злоумышленники требуют 0,01–0,03 BTC (6,8–20 тыс. рублей по курсу на день публикации).
Главная особенность Lilu — выбор объектов для шифрования: зловред интересуется файлами с расширениями HTML, SHTML, JS, CSS, PHP, INI, а также файлами изображений. Этот набор целей позволил аналитикам предположить, что вымогатель создан специально для атак на веб-серверы.
Ущерб от активности Lilu:
Эксперты оценивают число жертв Lilu в 6–7 тыс. серверов. Такие выводы они делают по результатам поиска в Google, содержащим ссылки на документы с требованием выкупа, — поскольку зловред не трогает системные файлы, зараженные хосты остаются доступны.
В то же время специалисты допускают, что реальные масштабы заражения гораздо больше, поскольку применение Linux не ограничивается веб-серверами, а из последних далеко не все индексируются Google.
В отсутствие достоверных данных о векторах атак Lilu администраторам Linux рекомендуют установить на своих системах сильные пароли и обновить используемое ПО.
В августе от атаки неизвестного шифровальщика пострадали более 20 государственных организаций в Техасе. Злоумышленники потребовали выкуп в $2,5 млн, однако власти предпочли устранить последствия атаки самостоятельно.

Источник: https://threatpost.ru/new-lilu-ransomware-spotted-targeting-linux-servers/34017/

В рамках одной из мошеннических атак киберпреступники использовали программное обеспечение для имитации голоса директора компании Euler Hermes Group. С помощью ПО злоумышленники потребовали перевод денежных средств в размере $243 тыс.
В марте нынешнего года преступники позвонили генеральному директору британской компании в сфере энергетики, которая является клиентом страховой фирмы Euler Hermes Group, сообщает издание The Wall Street Journal. Подделав голос руководителя материнской компании, они попросили перевести на счет поставщика сумму в размере $243 тыс. Гендиректор провел перевод, поскольку узнал голос и характерный акцент немецкого руководителя.
Далее мошенники решили потребовать еще один перевод, однако в этот раз жертва начала подозревать неладное и отказала. По словам представителя Euler Hermes, злоумышленники воспользовались программным обеспечением на базе искусственного интеллекта для подражания голоса.

Источник: https://www.securitylab.ru/news/500738.php

Киберпреступники похитили более €1,5 млн у немецкого банка Oldenburgische Landesbank (OLB) с помощью поддельных банковских карт. Злоумышленники клонировали дебетовые карты порядка 2 тыс. клиентов OLB и сняли деньги с их счетов на территории Бразилии. Преступникам успешно удалось осуществить операцию, хотя карты были защищены с помощью стандарта EMV.
Инцидент имел место на прошлой неделе. Экспертам в области кибербезопасности сразу бросился в глаза тот факт, что злоумышленники использовали клоны только дебетовых карт MasterCard, выпущенных OLB.
Согласно пресс-релизу, опубликованному OLB 27 августа, банк уже вернул все средства пострадавшим клиентам, заблокировал дебетовые карты MasterCard и готовит им замену. Как сообщается в пресс-релизе, хищение стало результатом действий «организованной киберпреступной группы, использовавшей поддельные карты и терминалы». Банк также отрицает распространяемые в немецких СМИ слухи о взломе компьютерных систем OLB.
Казалось бы, технология EMV защищает банковские карты от клонирования, поэтому подделать их невозможно. Тем не менее, как показывает практика, нет ничего невозможного, и подобные инциденты уже происходили в прошлом.
Согласно отчету «Лаборатории Касперского» за 2018 год, бразильские киберпреступные группировки преуспели в клонировании EMV-карт. Как сообщил ИБ-эксперт компании Telefonica Мануэль Пинтаг (Manuel Pintag) изданию ZDNet, Мексика и Бразилия являются «крупнейшими лабораториями по клонированию EMV-карт».
По словам Пинтага, для клонирования действительной EMV-карты достаточно иметь в распоряжении копию ее магнитной ленты. Для ее получения преступники обычно используют специальное устройство, вставляющееся в банкомат или PoS-терминал. Похоже, для клонирования карт OLB использовалось именно такое устройство.
Согласно отчету «Лаборатории Касперского», наличие PIN-кода не является обязательным, и некоторые клонированные карты работают с любым кодом, введенным на клавиатуре банкомата или PoS-терминала.
Как сообщили представители MasterCard, ни их сети, ни технология EMV, ни какие-либо учетные записи или данные скомпрометированы не были, а преступники использовали поддельные карты и терминалы.
EMV (Europay + MasterCard + VISA) – международный стандарт для операций по банковским картам с чипом. Первоначально был разработан совместными усилиями компаний Europay, MasterCard и Visa с целью повышения уровня безопасности финансовых операций.

Источник: https://www.securitylab.ru/news/500786.php