Малварь для Binance, слежка в Telegram и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Турецкие хакеры создали малварь для атаки на Binance и MetaMask.
  • Telegram применит инструменты IWF в борьбе с детской порнографией.
  • Фейковое ПО для созвонов опустошило кошельки Web3-специалистов.
  • Программист заподозрил ФСБ РФ в установке шпионского ПО на его телефон. 

Турецкие хакеры создали малварь для атаки на Binance и MetaMask

Исследователи Cleafy обнаружили Android-малварь DroidBot, способную похищать данные из 77 криптовалютных и банковских приложений. В числе целей:

  • биржи Binance, KuCoin, Kraken;
  • кошелек MetaMask;
  • банкинг-сервисы BBVA, Unicredit, Santander, BNP Paribas и Credit Agricole.

Разработанный турецкими хакерами троян маскируется под Google Chrome, Google Play Store или Android Security. Функционал включает кейлоггинг, overlaying, перехват SMS, а также модуль VNC для удаленного контроля зараженного устройства.

Ключевым аспектом работы DroidBot является злоупотребление службами доступности Android для мониторинга действий пользователя и имитации свайпов и нажатий от имени вредоносного ПО.

Малварь активна с июня 2024 года и за $3000 в месяц предоставляет билдеры сторонним операторам с возможностью настройки под конкретные цели.

Билдер DroidBot. Данные: Cleafy. 

Анализ одной из бот-сетей выявил 776 уникальных заражений в Великобритании, Италии, Франции, Турции, Португалии и Германии. 

Вредонос находится на стадии интенсивной разработки и расширения географии атак.

Telegram применит инструменты IWF в борьбе с детской порнографией

Британский фонд Internet Watch Foundation (IWF) в рамках соглашения предоставит мессенджеру Telegram инструменты для превентивного обнаружения и удаления изображений сексуального насилия над детьми.

В частности речь идет о базах данных организации и сервисе по сбору «хешей» — уникальных цифровых отпечатков известных изображений и видеороликов на противоправную тематику. Кроме того, IWF будет напрямую сообщать в Telegram об обнаружении в общедоступных частях платформы преступного контента, в том числе созданного с помощью ИИ.

Фонд борется с распространением изображений сексуального насилия над детьми в сети посредством партнерств с правоохранителями, правительством, общественностью и интернет-компаниями по всему миру. Организацию часто критикуют за создание чрезмерного количества ложных жалоб, секретность действий и неэффективные технические решения. 

Фейковое ПО для созвонов опустошило кошельки Web3-специалистов

Исследователи Cado Security Labs нашли вредонос Meeten для кражи криптовалют, маскирующийся под приложение для проведения конференций. Атаки нацелены на работников Web3-сегмента.

Кампания стартовала в сентябре 2024 года. Брендовое название фейкового приложения неоднократно менялось, однако для каждого хакеры создавали официальные сайты и аккаунты в соцсетях и заполняли их контентом, созданным ИИ. 

Данные: Cado Security Labs.

Вредонос имеет Windows- и macOS-версии. Попав на компьютер, он передает хакерам:

  • учетные данные Telegram;
  • реквизиты банковской карты;
  • файлы cookie, историю и данные автозаполнения из браузеров Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc и Vivaldi;
  • информацию о кошельках Ledger, Trezor, Phantom и Binance;
  • системные сведения.

При этом сайты оснащены скриптом, запрашивающим подключение криптокошелька, поэтому кражу активов могут осуществить до фактического скачивания ПО.

Германия закрыла два даркнет-маркетплейса и защищенный мессенджер

Власти Германии отключили серверы крупнейшего в стране даркнет-маркетплейса Crimenetwork и арестовали его технического администратора. С 2012 года площадка вела торговлю крадеными данными, наркотиками и поддельными документами. На ней были зарегистрированы более 100 000 пользователей и свыше сотни продавцов.

По подсчетам правоохранителей, с 2018 по 2024 годы объем транзакций на Crimenetwork превысил 1000 BTC и 20 000 Monero (€93 млн или ~$98 млн на момент написания). Комиссионная прибыль операторов составила не менее $5 млн.

Данные: BKA.

29-летний админ Crimenetwork арестован, ему предъявлены обвинения в управлении преступной платформой и торговле наркотиками. Правоохранители изъяли элитные автомобили и арестовали криптовалюты стоимостью около €1 млн.

Помимо этого в Германии пресечена деятельность даркнет-маркетплейса Manson Market, продававшего краденые учетные и платежные данные, а также личную информацию. Эти сведения злоумышленники получали посредством сети фишинговых онлайн-магазинов. Не менее 57 жертв понесли убытки, превышающие €250 000. 

Следственная группа изъяла 50 серверов и более 200 ТБ документов с доказательствами преступной деятельности. Конфискованы свыше 80 устройств хранения данных, мобильных телефонов, компьютеров, а также наличные и криптовалюты на сумму €63 000. Двое предполагаемых операторов Manson Market арестованы в Германии и Австрии. 

Еще одна операция при координации Европола привела к закрытию зашифрованной платформы обмена сообщениями Matrix. С ее помощью не менее 8000 пользователей на 33 языках координировали незаконную деятельность по всему миру. Сервис позволял совершать зашифрованные видеозвонки, отслеживать транзакции и анонимно просматривать сайты.

Отключены 40 серверов во Франции и Германии, а также арестованы пять подозреваемых в Испании и Франции. Один из них, 52-летний гражданин Литвы, предположительно является владельцем и основным оператором Matrix.

Данные: Европол.

Власти изъяли 970 зашифрованных телефонов, €145 000 ($152 500) наличными, €500 000 ($525 000) в криптовалютах и четыре транспортных средства.

CP3O признал вину в нелегальной добыче криптовалют на $1 млн

Житель штата Небраска Чарльз О. Паркс III известный под ником CP3O признался в том, что использовал сервисы облачных вычислений для майнинга криптовалют. В пресс-релизе пострадавшие компании не называются, но речь предположительно идет об Amazon и Microsoft.

Согласно материалам дела, с января по август 2021 года CP3O с различных аккаунтов добыл Ethereum, Litecoin и Monero совокупной стоимостью около $970 000. Счет за услуги провайдеров на $3,5 млн он не оплатил.

Паркса арестовали в апреле. Ему грозит до 20 лет тюрьмы. 

https://forklog.com/news/zhitelya-nebraski-obvinili-v-kriptodzhekinge-na-1-mln

В США арестован подросток, подозреваемый во взломе клиентов Gemini и KuCoin

Власти США арестовали 19-летнего Ремингтона Гоя Оглтри, связанного с киберпреступной группировкой Scattered Spider. Его обвиняют во взломе американского финансового учреждения и двух неназванных телекоммуникационных компаний.

По версии следствия, хакер известный под ником remi взламывал внутренние сети посредством фишинга сотрудников целевых организаций. Под видом предоставления льгот, изменения графика работы или запроса из отдела кадров он вынуждал их заходить на вредоносные сайты и вводить логины и пароли от служебных компьютеров. 

С октября 2023 по май 2024 года Оглтри после получения доступа к системам телекоммуникаций отправил более 8,6 млн фишинговых SMS для кражи криптовалют получателей. Некоторые из этих атак были нацелены на клиентов бирж Gemini и KuCoin.

При обыске в доме хакера на его iPhone найдены скриншоты фишинговых сообщений, страниц по сбору учетных данных и криптокошельков с десятками тысяч долларов в цифровых валютах.

https://forklog.com/news/usdt-po-promokodu-sledy-korolevy-onecoin-v-yuar-i-drugie-sobytiya-kiberbezopasnosti

Программист заподозрил ФСБ РФ в установке шпионского ПО на его телефон 

Специалисты Citizen Lab изучили мобильный телефон российского программиста, который у него изымали сотрудники ФСБ в ходе ареста на 15 суток, и обнаружили на нем тайно установленное шпионское ПО. Вредонос выдавал себя за легальное Android-приложение Cube Call Recorder.

Программа имела неограниченный доступ к устройству за счет широкого спектра разрешений. Среди ее функций:

  • отслеживание местоположения в режиме ожидания;
  • доступ к SMS, списку контактов, записям календаря и переписке в месенджерах;
  • запись телефонных звонков, действий на экране и видео через камеру;
  • извлечение сообщений, файлов и паролей, в том числе с помощью кейлоггинга;
  • выполнение команд оболочки, расшифровка данных и установка пакетов APK.

По мнению Citizen Lab, вредонос является новой версией шпионского ПО Monokle, разработанного сотрудниками ООО «Специальный технологический центр» из Санкт-Петербурга.

Также на ForkLog:

Что почитать на выходных?

Рассказываем, какими бывают криптовалютные пирамиды и чем они привлекают людей.

https://forklog.com/exclusive/my-mozhem-masshtabirovat-kak-finansovye-piramidy-stali-kripto

Читайте на 123ru.net