Хакеры распространяют вредоносное ПО в пустых изображениях

— Исследователи ИБ-компании Avanan обнаружили , что злоумышленники обходят службу VirusTotal, внедряя вредоносное ПО в пустые изображения в электронных письмах.

— Основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. Вложение содержит SVG-изображение, закодированное с использованием Base64. Хотя изображение пустое, этот файл содержит JavaScript-код, перенаправляющий на вредоносный URL-адрес, на котором хакеры дальше заражают пользователя.

— Эта кампания отличается от других тем, что она использует пустое изображения с активным содержимым внутри. Такое изображение традиционные сервисы, такие как VirusTotal, не обнаруживают, как поясняют исследователи.

https://www.securitylab.ru/news/535892.php

Российские компании столкнулись с новой схемой смс-мошенничества

— Новая киберугроза основана на ботах, которые нацелены на сайты и мобильные приложения российских компаний. Используя пользовательские данные в открытом доступе (например, номера телефонов из утекших баз), боты генерируют на целевом ресурсе большое количество запросов на регистрацию или авторизацию по номеру телефона.

— При отправке запроса на указанный номер приходит смс с кодом подтверждения. Многие пользователи, полагая, что их аккаунты взломаны, сразу звонят в службу поддержки компании, тем самым перегружая её.

— Схема онлайн-мошенничества примечательна тем, что направлена против организаций, но в первую очередь затрагивает их клиентов. По словам экспертов, в результате подобных атак помимо репутационного ущерба компании несут финансовые затраты на оплату поддельных смс-рассылок.

https://www.securitylab.ru/news/535910.php

Исследователи Лаборатории Касперского обнаружили обновление Roaming Mantis своего вредоносного ПО для Android, которое теперь включает функцию смены DNS, которая использовалась для проникновения в WiFi-маршрутизаторы и перехвата DNS.

Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).

Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.

Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.

Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.

Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.

В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.

Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.

После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.

XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.

DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.

Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.

После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.

Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.

Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.

Роскомнадзор ограничит передачу платежной информации в Telegram

—Мессенджер Telegram внесен в список иностранных и не подлежащих интеграции с банками.

—С 1 марта 2023 года будет запрещено подключать службы денежных переводов, а структурам, выполняющим «государственное задание», будет запрещено пересылать в них личные данные, информацию о платежах и банковских счетах.

—Стоит отметить, что ограничения вводятся на фоне решений некоторых банков организовывать онлайн-банкинг внутри мессенджеров, в том числе Telegram.

https://www.securitylab.ru/news/535949.php

Google призвал сооснователей Ларри Пейджа и Сергея Брина дать отпор ChatGPT после выдачи «красного кода»

— В прошлом месяце Ларри Пейдж и Сергей Брин провели несколько встреч с руководством компании. Сундар Пичаи, просил основателей участвовать в обсуждении мер, которые компания может предпринять, чтобы контролировать развитие ChatGPT.

— Основатели утвердили новые планы и предложили идеи по расширению функционала чат-бота в поисковую систему Google.

— На сегодняшний день Google занимается более 20 AI-проектами. На конференции Google в мае ожидаются инновационные решения, такие как Image Generation Studio, которая позволяет создавать и редактировать изображения, и функция «зеленого экрана» для добавления фона в видео на YouTube. Кроме того, разрабатываются 2 инструмента для генерации кода: Colab + Android Studio и PaLM-Coder 2. Для того, чтобы успеть к маю, компания ввела специальный процесс проверки, названный "Зеленая полоса", который позволяет существенно ускорить одобрение AI-проектов за счет команды сотрудников, обеспечивающей этичность и справедливость использования технологии.

https://www.securitylab.ru/news/535960.php

ChatGPT успешно сдал экзамен по программе MBA

— Профессор Уортонской школы бизнеса Университета Пенсильвании Кристиан Тервиш, решил проверить, сможет ли популярный бот ChatGPT освоить программу бизнес-курсов престижной школы.

— Эксперимент удался. Чат-бот успешно сдал экзамены по типичному основному курсу MBA «Управление операциями». ChatGPT «получил бы на экзамене оценку от B до B-».

— Профессор Тервиш высоко оценил потенциал ChatGPT и сравнил его воздействие на академические круги с появлением электронных калькуляторов, перевернувших корпоративный мир.

— «До появления калькуляторов и других вычислительных устройств многие фирмы нанимали сотни сотрудников, чьей задачей было ручное выполнение математических операций. таких как умножение или инверсия матриц. Очевидно, что такие задачи теперь автоматизированы, и ценность связанных с ними навыков резко снизилась. Точно так же любая автоматизация навыков, которым обучают в наших программах MBA, потенциально может снизить ценность образования MBA», - отметил профессор.

https://www.securitylab.ru/news/535965.php

Сегодня на портале «Госуслуги» стартовал прием заявок на отсрочку для IT-специалистов в рамках весеннего призыва на срочную службу

— Заявления нужно до 6 февраля 2023 года включительно. При этом заявление на отсрочку, поданное в 2022 году, не позволит получить отсрочку от срочной службы этой весной.

— В форме для подачи заявки IT-специалистам нужно указать ФИО, дату и место рождения, СНИЛС, место жительства, наименование вуза и дату выпуска, серию и номер диплома, специальность, стаж работы в аккредитованных компаниях, а также военный комиссариат, в котором сотрудник состоит на учете.

— Минцифры отмечает, что правила подачи заявлений изменены. Теперь информацию о себе на портале «Госуслуги» может заполнить сам сотрудник.

https://www.securitylab.ru/news/535985.php

Домашние рыбки «ограбили» своего хозяина и слили данные его карты в сеть

— В Японии домашние рыбки получили доступ к учетной записи своего владельца в интернет-магазине Nintendo Switch и пополнили её баланс с кредитной карты. «Киберпреступление» было совершено прямо во время трансляции на YouTube.

— Всё началось с того, что владелец YouTube канала «Mutekimaru Channel» решил провести эксперимент. Ему стало интересно, смогут ли его домашние рыбки самостоятельно пройти игры серии Pokémon на Nintendo Switch. Для этого японский ютубер установил веб-камеру и направил её на аквариум. Специальное программное обеспечение для отслеживания движения следило за рыбками, когда они плавали по наложенной сетке, соответствующей клавишам контроллера. Если какая-то рыбка останавливалась в одной из ячеек, это действие фиксировалось и передавалось на консоль.

— В этот раз всё пошло не совсем по плану. «Кража личности» произошла, когда владельца «киберпреступников» не было дома. Игра шла гладко, рыбки уже выиграли несколько битв, но на отметке в 1144 часа — игра вылетела. А так как ютубера не было рядом, исправить ситуацию было некому. Система продолжала регистрировать команды от рыбок уже вне игры. В процессе «злоумышленники» открыли Nintendo eShop и добавили на баланс профиля 500 иен (~270 руб). Более того, рыбки также раскрыли информацию кредитной карты владельца всем зрителям стрима.


https://www.securitylab.ru/news/535977.php

​​Вебинар Positive Technologies «Как PT NAD ловит злоумышленников. Результаты пилотных проектов»

🗓26 января в 14:00

Чем дольше атакующий остается незамеченным, тем больше у него возможностей изучить объект атаки, найти слабые места и реализовать недопустимые для бизнеса события.

Злоумышленники умеют обходить межсетевые экраны и механизмы защиты на узлах: они шифруют передаваемые данные, эксплуатируют актуальные уязвимости или разворачивают скрытые туннели. Подобную сетевую активность выявить сложно, и для этого используются системы глубокого анализа трафика.

На вебинаре:
🔸Расскажем, как с помощью PT Network Attack Discovery можно выявить присутствие нарушителя в сети;
🔸 Покажем результаты пилотных проектов за 2021 и 2022 год.

🔗Чтобы получить ссылку на трансляцию, нужно зарегистрироваться.

Данные клиентов страховой компании «СОГАЗ-ЖИЗНЬ» оказались в открытом доступе

— Неизвестный злоумышленник выложил в открытый доступ часть базы данных с персональной информацией клиентов сайта sogaz-life.ru, принадлежащего страховой компании «СОГАЗ-ЖИЗНЬ».

— Дамп базы был получен из CMS «Bitrix» примерно 20 октября 2022 года и содержит личную информацию 49,999 зарегистрированных пользователей. Среди «утекших» данных - логины, ФИО, адреса электронной почты, телефоны, даты рождения, а также хешированные пароли.

— Хакер, «обнародовавший» фрагмент базы, утверждает, что в полном дампе содержится около 700 тысяч строк.

https://www.securitylab.ru/news/536019.php

В Госдуме одобрен законопроект, который предусматривает конфискацию имущества, полученного в результате киберпреступлений. Проект был подготовлен группой депутатов и внесен в Госдуму с учетом замечаний.

Как отмечает председатель Комитета Госдумы по безопасности и противодействию коррупции Василий Пискарев, в последнее время стал заметен рост компьютерной преступности и мошенничества, что приводит к значительным потерям для граждан, в том числе для пожилых людей.

Подробнее о новых инициативах в нашем материале.

#Госдума, #киберпреступления, #конфискация, #компьютернаяпреступность, #коррупция

ФБР подтвердило, что группа Lazarus и APT 38 ответственны за кражу $100 млн на блокчейн-платформе Harmony в июне 2022 года. Вредоносные активы использовались для финансирования программ разработки баллистических ракет и оружия массового поражения в Северной Корее.

Подробнее о краже года в нашем материале.

#ФБР #Lazarus #APT38 #Harmony #Киберпреступность