Содержание статьи
Антивирус с майнером
Разработчики компании NortonLifeLock (бывшая Symantec Corporation) оснастили свой антивирус Norton 360 майнером криптовалюты Ethereum, стремясь защитить пользователей от вредоносных майнеров. Новая функция получила название Norton Crypto и была внедрена в программу для ранних пользователей Norton 360.
Если Norton Crypto включен, антивирус будет использовать видеокарту устройства для майнинга Ethereum, и добытая криптовалюта затем будет перенесена в облачный кошелек Norton. В компании заявляют, что эта функция позволит пользователям майнить Ethereum, не жертвуя своей безопасностью, ведь майнинговое ПО зачастую провоцирует срабатывание антивирусов и других защитных решений.
Неясно, каждое ли устройство с запущенным Norton Crypto будет заниматься майнингом самостоятельно, или пользователи будут объединены в пул для повышения шансов на добычу блока. Если пул есть и им управляет Norton, компания сможет взимать небольшую плату за добытый Ethereum, как это принято у операторов пулов, а значит, новая функция станет для компании дополнительным источником дохода.
«Поскольку криптоэкономика становится все более важной частью жизни наших клиентов, мы хотим дать им возможность майнить криптовалюту с помощью Norton, бренда, которому они доверяют», — заявил Винсент Пилетт, глава NortonLifeLock.
Тем временем СМИ отметили, что часть пользователей Norton 360, которые решат включить Norton Crypto, может ждать «сюрприз» от налоговой службы. К примеру, в США добытая криптовалюта подлежит налогообложению и ее необходимо указывать в налоговых декларациях.
3000–7000 мошеннических звонков в день
Представители Сбербанка рассказали, что, по их подсчетам, сотрудники типичного мошеннического кол‑центра совершают 3000–7000 звонков в сутки, а за месяц такая организация может заработать около 1 000 000 долларов.
Зарплата сотрудника такого кол‑центра в неделю составляет от 70 до 3000 долларов, а в одной смене работает около 20 человек. При этом в половине случаев дозвониться мошенникам не удается, и срабатывает примерно 1% звонков.
Slilpp ликвидирован
Совместными усилиями правоохранительных органов США, Германии, Нидерландов и Румынии был ликвидирован маркетплейс Slilpp, где преступные группы много лет обменивались и торговали ворованными учетными данными.
С 2012 года Slilpp работал на нескольких доменах, как в даркнете, так и в общедоступном интернете. На сайте кто угодно мог зарегистрировать учетную запись, а затем начать торговать взломанными учетными записями.
По информации Минюста США, за девятилетнюю историю Slilpp на сайте было продано более 80 миллионов учетных данных, принадлежавших более чем 1400 компаний. Так, на сайте торговали аккаунтами PayPal, Wells Fargo, SunTrust, Amazon, Verizon Wireless, Xfinity, Walmart, а также кредитными картами различных банков.
«Slilpp — это крупнейший рынок взломанных учетных записей, когда‑либо существовавший в криминальном подполье. Торговая площадка была ответственна за крупные потоки скомпрометированных данных, которые приносили администраторам миллионы долларов незаконной прибыли», — заявил глава компании Advanced Intelligence Виталий Кремез.
Следователи сообщили, что убытки, нанесенные потерпевшим, превышают 200 миллионов долларов только в Соединенных Штатах, а общий ущерб от работы этой торговой площадки еще только предстоит подсчитать.
ФБР обнаружило и конфисковало серверы и доменные имена, на которых размещалась инфраструктура Slilpp. Сообщается, что более десяти человек, связанных с торговой площадкой, были арестованы и обвинены, но никаких подробностей об этих задержаниях пока нет.
Первое интервью Ульбрихта
Росс Ульбрихт, бывший владелец Silk Road, одного из самых известных подпольных маркетплейсов в истории, с 2015 года отбывает пожизненное заключение в американской тюрьме. В этом месяце Ульбрихт дал свое первое с 2013 года интервью, пообщавшись по телефону с журналистами Bitcoin Magazine. В основном разговор затрагивал криптовалюты, за развитием которых Ульбрихт наблюдает из тюрьмы, но также беседа коснулась и Silk Road.
«Я думал, что с помощью биткойна смогу попробовать и сделать что‑то, что действительно изменит мир. Но тогда я был нетерпелив. Я погнался за своей первой идеей, которой был Silk Road… 26-летний парень, который думает, что он должен спасти мир, пока кто‑нибудь его не опередил. Я понятия не имел, что Silk Road сработает, но теперь мы все знаем, что он прижился. И его использовали для продажи наркотиков, а теперь я в тюрьме.
Ирония ситуации в том, что я создал Silk Road, потому что думал, что таким образом продвигаю небезразличные мне вещи: свободу, конфиденциальность, равенство. Однако, создав Silk Road, я оказался в месте, где всего этого не существует»
— из интервью Ульбрихта
Аресты, связанные с Clop
В середине июня 2021 года в результате совместной операции, проведенной при содействии и координации Интерпола правоохранительными органами США, Украины и Южной Кореи, были задержаны шестеро подозреваемых, каким‑то образом связанных с шифровальщиком Clop. К сожалению, это мало повлияло на «работу» группировки.
Украинские полицейские сообщали, что провели 21 обыск в столице страны и Киевской области, в домах фигурантов и в их автомобилях. В результате были изъяты: компьютерная техника, машины (Tesla, Mercedes и Lexus) и около 5 миллионов гривен наличными (примерно 13 400 000 рублей), которые, по мнению властей, были получены от жертв в качестве выкупов. На имущество подозреваемых наложили арест.
Источники, близкие к расследованию, сообщили СМИ, что южнокорейская полиция начала расследование в отношении хакеров в прошлом году, после того как группировка атаковала сеть южнокорейского e-commerce-гиганта E-Land в ноябре 2020 года. Из‑за этой атаки корейская компания закрыла почти все свои магазины.
При этом, по информации ИБ‑компании Intel 471, украинские власти арестовали людей, которые были причастны только к отмыванию денег для операторов Clop, тогда как основные члены хак‑группы, скорее всего, находятся в России.
«Рейды правоохранительных органов в Украине, связанные с программой‑вымогателем CLOP, связаны лишь с выводом/отмыванием денег для „бизнеса“ CLOP. Мы не считаем, что кто‑то из основных участников CLOP задержан, и полагаем, что они, вероятно, живут в России, — сообщали эксперты. — Мы ожидаем, что влияние [этой операции на работу] CLOP будет незначительным, хотя внимание правоохранительных органов может привести к тому, что [хакеры] откажутся от бренда CLOP, что мы недавно наблюдали в случае с другими вымогательскими группами, такими как DarkSide и Babuk».
Криптовалютная биржа Binance сообщила, что принимала участие в операции правоохранителей и помогла идентифицировать преступников.
Представители биржи рассказали, что отслеживали группировку FANCYCAT, которая занимается различной криминальной деятельностью, включая управление «высокорисковым» криптовалютным обменником. Эта группа отмывала деньги для таких вымогателей, как Clop и Petya, и в целом ответственна за ущерб на сумму более 500 миллионов долларов, связанный с шифровальщиками, а также отмыла миллионы долларов для других хакеров.
Binance утверждает, что обнаружила FANCYCAT совместно с фирмами TRM Labs и Crystal (BitFury), занимающимися блокчейн‑анализом, а затем передала всю собранную информацию правоохранительным органам, что и привело к аресту группы в начале месяца.
Хотя после арестов «работа» Clop была приостановлена примерно на неделю, в итоге вымогатели вновь активизировались и в конце месяца опубликовали на своем сайте в даркнете данные о двух новых жертвах.
Доступы на продажу
Эксперты Positive Technologies проанализировали, как развивался рынок доступов в 2020 году и начале 2021 года, и обнаружили, что за это время количество объявлений о продаже доступов увеличилось более чем в семь раз.
Только в первом квартале 2021 года было обнаружено 590 новых объявлений о продаже доступа, а это 83% от числа всех предложений в 2020 году.
По сравнению с первым кварталом 2020 года, в первом квартале 2021 года количество пользователей, размещающих объявления о продаже/покупке доступов, а также о поисках напарников, увеличилось в 3 раза.
- В среднем ежеквартально продаются доступы в корпоративные сети организаций на сумму около 600 000 долларов США. При этом доля «дорогих» доступов (стоимостью более 5000 долларов США) сократилась в 2 раза. Это может быть следствием активного участия злоумышленников‑новичков.
- Чаще всего злоумышленники выставляли на продажу доступы к компаниям из сферы услуг (17%), промышленности (14%), а также учреждениям науки и образования (12%).
Принудительный COVID-трекер
Пользователи Android обнаружили, что на их устройствах без предупреждения появилось приложение MassNotify, которое используется для отслеживания распространения COVID-19 в Массачусетсе. При этом люди не имели возможности открыть приложение или найти его в каталоге Google Play Store.
info
Приложение MassNotify используется для отслеживания контактов с людьми, зараженными COVID-19, что позволяет пользователям, включившим функцию уведомлений в Android, получать предупреждения о возможном заражении вирусом. Пользователи могут выбрать страну и штат, откуда хотят получать уведомления, и на устройстве будет установлено приложение соответствующего региона.
Один из пользователей в отзывах о приложении в Google Play Store поделился опытом:
«Приложение было тихо установлено на телефон моей дочери без согласия или уведомления. Она не могла установить его сама, так как мы пользуемся Family Link и все установки приложений должны одобряться. Я понятия не имею, как они это сделали, но это должно было быть связано с Google, или Samsung, или с ними обоими»
Еще один пользователь заявил:
«Обычные приложения не могут просто взять и установить сами себя. Я не уверен, что здесь происходит, но это точно нельзя считать „добровольным“. Нам нужна информация, народ, и она нужна нам сейчас»
Один из читателей YCombinator Hacker News связался со службой поддержки MassNotify, и ему ответили, что появление приложения MassNotify в списке приложений означает, что оно установлено на устройстве, однако при этом оно не обязательно активно.
«Появление MassNotify в списке приложений не означает, что MassNotify включен на вашем телефоне. Наличие приложения просто означает, что MassNotify стал доступен в качестве опции в настройках вашего телефона, если вы хотите его включить. Для получения дополнительной информации читайте статью справочного центра Google.
Вы можете узнать, активен ли MassNotify, перейдя в Settings → Google → COVID-19 Exposure Notifications. Переключатель „Использовать уведомления“ в верхней части страницы покажет вам, активен MassNotify или нет. На этом экране вы также можете включить или отключить MassNotify в любое время», — сообщили разработчики.
Многие пользователи отмечали, что не могут найти никаких иконок и следов приложения, оно не обнаруживается в Google Play Store при запросе MassNotify, а потому его не получается удалить принудительно. Вместо этого людям приходится использовать для удаления прямой URL-адрес MassNotify в Google Play Store, где приложение использует имя Exposure Notifications Settings Feature — MA.
Интересно, что в Google Play Store можно найти две версии MassNotify. Похоже, одна из них не распространялась автоматически, она имела менее 1000 установок и рейтинг 4,1 звезды. Вторая версия, отмеченная как v3, утопает в негативных отзывах (одна звезда в настоящее время), и пользователи пишут, что приложение было автоматически установлено на их устройства, а некоторые даже подозревают, что это малварь.
Вскоре на эту проблему обратили внимание СМИ и попросили Google прокомментировать ситуацию. Вот что представители компании ответили журналистам:
«Мы работаем с Министерством здравоохранения Массачусетса, чтобы позволить пользователям активировать систему уведомлений о возможном заражении прямо в настройках своего Android-телефона. Эта функция встроена в настройки устройства и автоматически распространяется через Google Play Store, поэтому пользователям не нужно загружать отдельное приложение.
Уведомления о заражении COVID-19 включаются только в том случае, если пользователь заранее их активировал. Пользователи самостоятельно решают, активировать ли эту функцию и передавать ли информацию через систему, чтобы предупредить других о возможном риске [заражения]».
1 800 000 000 за Stack Overflow
Stack Overflow, известнейший сайт вопросов и ответов о программировании, чья ежемесячная аудитория превышает 100 000 000 человек, был продан крупной инвестиционной компании Prosus. Сумма сделки составила 1,8 миллиарда долларов.
Prosus — дочерняя компания южноафриканской медиагруппы Naspers, а также крупнейшая европейская интернет‑компания. К примеру, Naspers владеет 28% Mail.ru Group, а также имеет в своем активе российский сервис объявлений «Авито».
Покупка Stack Overflow стала для Prosus первым прямым приобретением и крупнейшим на данный момент поглощением. Пока неизвестно, как продажа отразится на работе Stack Overflow и изменится ли сайт.
Джон Макафи найден мертвым
23 июня 2021 года Джон Макафи был найден мертвым в своей тюремной камере. Основатель компании McAfee, один из пионеров в сфере антивирусного ПО, а в последние годы известный криптовалютный энтузиаст, Макафи был арестован в Испании осенью 2020 года за уклонение от уплаты налогов и нарушение закона о ценных бумагах.
Согласно обвинительному заключению Министерства юстиции США, Макафи не уплатил налоги на средства, которые заработал в период с 2014 по 2018 год. Также американское правительство заявляло, что Макафи давно уклонялся от встреч с налоговыми инспекторами и пытался скрыть свои активы, включая недвижимость и яхту (как правило, передавая права собственности другим людям).
Весной 2021 года американские власти выдвинули против Макафи ряд новых обвинений, связанных с его активностью в Twitter. Дело в том, что, по данным властей, он заработал миллионы долларов на своих многочисленных подписчиках, рекламируя криптовалюты (и тоже не уплатил с этого никаких налогов). Кроме того, отмечалось, что в последние годы Макафи регулярно получал гонорары за выступления и консультации, а также заработал на продаже прав на экранизацию истории своей жизни.
К примеру, по словам следователей, мошенничество и отмывание денег принесли Макафи более 13 миллионов долларов США. Также в судебных документах фигурировал и Джимми Гейл Уотсон — младший (Jimmy Gale Watson Jr.), который в последние годы отвечал за личную безопасность Макафи, а также входил в его «криптовалютную команду».
Официальные лица утверждали, что Макафи утаивал информацию о платных рекомендациях, которые он регулярно давал в Twitter, делая ложные заявления на немалую аудиторию своих подписчиков. Так, в 2017–2018 годах Джон Макафи неоднократно продвигал в своем Twitter криптовалютные ICO. По сути это была лишь платная реклама, о чем Макафи умалчивал и даже активно отрицал этот факт, хотя подписчики регулярно спрашивали его об этом. В итоге Макафи и его партнеры заработали более 11 миллионов долларов на такой «рекламе», утверждало Министерство юстиции США.
Все это время Макафи находился под стражей в Испании, ожидая решения об экстрадиции, и только по «весенним» обвинениям ему грозило до 30 лет лишения свободы. Так как Макафи было уже 75 лет, весь остаток жизни ему предстояло провести в тюрьме.
Вечером 23 июня 2021 года в испанских СМИ появились многочисленные сообщения о том, что Джон Макафи был найден мертвым в своей тюремной камере. Эту информацию в итоге подтвердили в Министерстве юстиции Каталонии, а также адвокаты Макафи.
По данным СМИ, Макафи покончил с собой и «его нашли повешенным в камере». Также стоит отметить, что за несколько часов до этого суд одобрил его экстрадицию в США.
Теперь многие пишут, что Макафи не мог покончить с собой. На протяжении многих лет Макафи заявлял, что правительство США хочет его убить, и не раз писал в Twitter, что, если его смерть будет преподноситься как суицид, этому не следует верить. В 2019 году он даже посвятил этому одну из своих татуировок.
Более недавний твит, уже написанный из тюрьмы, и вовсе гласил: «Знайте, если я повешусь а‑ля Эпштейн, в этом не будет моей вины».
www
Тем, кто захочет вспомнить более подробную биографию Джона Макафи, в которой было все, от создания одной из первых антивирусных компаний до обвинения в убийстве соседа в Белизе, рекомендуем отдельную статью.
Apple против сторонних приложений
В 2021 году Еврокомиссия предложила принять два закона для регулирования работы крупных IT-компаний: о регулировании цифровых рынков (Digital Markets Act) и цифровых сервисов (Digital Services Act). Идея властей состоит в том, чтобы сделать платформы более открытыми для сторонних разработчиков, а также внести больше упорядоченности на рынок онлайн‑рекламы.
DMA остро не понравился компании Apple, которую, по сути, могут вынудить разрешить загрузку сторонних приложений на iPhone (в обход централизованного App Store). Представители Apple изложили свои аргументы против этой инициативы в 16-страничном документе:
«Разрешение загрузки сторонних приложений снизит безопасность платформы iOS и подвергнет пользователей серьезным рискам не только в сторонних магазинах приложений, но и в App Store», — заявляют в Apple.
В свою очередь, глава Apple Тим Кук сообщил журналистам CNBC следующее:
«Если вам нужен пример того, почему я не считаю, что это делается в наилучших интересах, то текущие формулировки DMA, о которых мы говорим, вынудят [Apple разрешить] загрузку сторонних приложений на iPhone. Хотя это было бы альтернативным способом загрузки приложений на iPhone, по нашему мнению, это уничтожило бы безопасность iPhone».
Блокировка VyprVPN и Opera VPN
17 июня 2021 года на сайте Роскомнадзора появилось сообщение о блокировке VyprVPN и Opera VPN «в соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещенному контенту».
«Данные VPN-сервисы отнесены к угрозам в соответствии с Постановлением Правительства РФ от 12 февраля № 127.
Ограничения не затронут российские компании, использующие VPN-сервисы в непрерывных технологических процессах. В «белые списки» включены более 200 технологических процессов 130 российских компаний. В соответствии с регламентом, компании были проинформированы о возможности включения в «белые списки» 14 мая 2021 года, сообщают представители ведомства.
Судя по всему, Роскомнадзор опирается на закон, который вступил в силу в 2017 году. Он обязывает анонимайзеры и VPN-сервисы фильтровать трафик и не допускать пользователей к заблокированным в РФ сайтам. Список запрещенных ресурсов содержится в федеральной госинформсистеме (ФГИС). В 2019 году ведомство уже направляло владельцам сервисов Hide My Ass!, NordVPN, Hola VPN, VyprVPN, OpenVPN, ExpressVPN, IPVanish, TorGuard, VPN Unlimited и Kaspersky Secure Connection требование о необходимости подключения к ФГИС.
Журналисты Роскомсвободы отмечали, что речь в сообщении регулятора также может идти о прошлогоднем постановлении кабмина, в котором к угрозам безопасности функционирования сети «Интернет» и сети связи общего пользования на территории России, помимо прочего, были отнесены «угрозы предоставления доступа к информации или информационным ресурсам в сети „Интернет“, доступ к которым подлежит ограничению в связи с законодательством Российской Федерации».
Между тем разработчики браузера Opera, в который интегрирован Opera VPN, уже сообщили, что приостановили поддержку VPN-сервисов на территории России.
«Компания Opera стремится предоставить своим российским пользователям превосходный опыт использования браузеров. Мы решили приостановить поддержку сервисов VPN в наших браузерах на территории РФ в той форме, в которой она оказывалась ранее», — прокомментировала старший менеджер по связям с общественностью компании Opera Юлия Синдзелорц.
Фишинговый антирекорд
Интересный доклад представила отраслевая коалиция по борьбе с фишингом — APWG, в которую входят более 2200 организаций из сектора безопасности, правительства, правоохранительные органы и неправительственные организации, а также известные компании, включая Microsoft, Facebook, PayPal, ICANN, AT&T, Cloudflare, Cisco, Salesforce, RSA, Verisign, ESET, McAfee, Avast, Symantec, Trend Micro. По данным APWG, количество активных фишинговых сайтов достигло рекорда в январе 2021 года.
В январе 2021 года был обнаружен 245 771 фишинговый сайт, и это худший результат за всю историю наблюдений.
Хотя в феврале количество фишинговых сайтов снизилось, в марте оно снова превысило 200 000, а это делает март четвертым худшим месяцем за всю историю отчетов APWG.
- Больше всего таких атак пришлось на финансовый сектор (почти четверть всех попыток фишинга). Далее следуют социальные сети и SAAS.
- 83% фишинговых сайтов, замеченных в первом квартале 2020 года, использовали HTTP-соединения.
Фальшивые Ledger
Похоже, разбрасывание флешек на парковках уже устарело — теперь преступники сразу присылают вредоносные гаджеты по почте.
В середине месяца журналисты Bleeping Computer предупредили, что пользователи получают по почте фальшивые криптовалютные кошельки Ledger, которые злоумышленники присылают жертвам от лица компании, якобы для замены старых устройств «в целях безопасности».
Фотографиями одной из таких подделок, фальшивым Ledger Nano X, один из пострадавших поделился на Reddit. Устройство пришло в брендированной упаковке и сопровождалось плохо написанным письмом, гласящим, что устройство отправлено пользователю для замены текущего кошелька, который более не безопасен, так как информация о клиентах компании утекла в сеть и была опубликована на хакерском форуме RaidForum.
«В целях безопасности мы отправили вам новое устройство, на которое вы должны перейти, чтобы оставаться в безопасности. В коробке есть руководство, которое вы можете прочитать, чтобы узнать, как настроить новое устройство», — гласило послание мошенников.
Хотя письмо написано с ошибками и, возможно, английский язык не является родным для его автора, утечка данных, на которую ссылаются мошенники, действительно имела место. В декабре 2020 года данные 272 853 человек, приобретавших устройства Ledger, действительно появились на RaidForums.
Сама утечка произошла еще летом 2020 года, когда посторонний получил доступ к маркетинговой базе компании. Известно, что скомпрометированная база данных использовалась для отправки подтверждений заказов и рекламных писем и в основном состояла из email-адресов, но также включала контактные данные и сведения о заказах, в том числе имена и фамилии, почтовые адреса, адреса электронной почты и номера телефонов.
Так как получивший фальшивку пользователь заподозрил подвох, он разобрал присланный Ledger Nano X и опубликовал фотографии странного устройства на Reddit. В сравнении с настоящим кошельком видно, что мошенническая версия была модифицирована.
ИБ‑эксперт Майк Гровер, также известный под ником _MG_
, сообщил журналистам, что злоумышленники явно добавили к кошельку флешку и подключили ее к USB:
«Похоже, это просто флешка, прикрепленная к Ledger с целью доставки какого‑то вредоносного ПО. Все компоненты находятся на другой стороне, поэтому я не могу подтвердить, что туда встроено ТОЛЬКО запоминающее устройство, но... Судя по пайке, которая выдает новичка, скорее всего, это лишь готовая мини‑флешка без корпуса».
Как можно заметить выше, для наглядности Гровер выделил на фото имплант, подключенный к USB, красным цветом.
В руководстве к фальшивому устройству жертве предлагали подключить такой девайс к компьютеру, открыть появившийся диск и запустить приложение, которое шло в комплекте. Затем человек должен был ввести фразу восстановления Ledger, чтобы импортировать кошелек на новое устройство.
Любой человек, кому известна эта фраза, может импортировать кошелек и получить доступ к содержащейся в нем криптовалюте. Поэтому после ввода фразы восстановления она отправлялась злоумышленникам, которые таким образом могли воровать чужие средства.
Нужно отметить, что разработчикам Ledger известно об этой мошеннической схеме: в мае 2021 года компания предупредила о ней пользователей. Разработчики в очередной раз подчеркивали, что фразу для восстановления нельзя сообщать никому и никогда, она должна вводиться лишь непосредственно на устройстве Ledger, которое нужно восстановить. Если устройство не позволяет ввести фразу напрямую, нужно использовать только официальное приложение Ledger Live, загруженное непосредственно с Ledger.com.
3 тонны майнеров
Китайские власти признали биткойн «нежелательным» на территории страны и ужесточили меры по борьбе с добычей криптовалют. В результате многие майнинговые компании спешно покидают страну, получив официальные запреты на работу от представителей власти. Также Народный банк Китая уже запретил ряду крупнейших банков и платежному сервису Alipay, принадлежащему дочерней компании Alibaba, предоставлять услуги, связанные с криптовалютой.
Журналисты CNBC сообщили, что логистические компании спешно вывозят из Китая майнинговое оборудование. К примеру, один такой груз весом 3000 килограммов недавно был доставлен в штат Мэриленд воздушным транспортом.
Стоит сказать, что объем выставленных на продажу подержанных устройств для добычи криптовалют резко подскочил, а хешрейт сети биткойн просел до 70–75 EH/s, хотя еще недавно этот показатель превышал 155 EH/s.
55-летняя разработчица TrickBot
Министерство юстиции США сообщило о предъявлении обвинений 55-летней гражданке Латвии Алле Витте (Alla Witte). Считается, что женщина входила в команду разработчиков малвари TrickBot, где писала код для управления вредоносом и развертывания вымогателя на зараженных машинах.
Как стало известно теперь, Витте была арестована еще 6 февраля 2021 года в Майами, Флорида. По данным следствия, в сети женщина была известна под ником Max и сотрудничала с создателями TrickBot с самого начала, то есть с ноября 2015 года (когда остатки хак‑группы Dyre создали новую версию одноименной малвари, а затем переименовали ее в TrickBot).
Согласно судебным документам, Витте — одна из 17 возможных разработчиков TrickBot. Правоохранители считают, что Витте отвечала за следующие аспекты малвари: создание кода, связанного с мониторингом и отслеживанием авторизованных пользователей TrickBot, контроль и развертывание вымогателя, получение платежей от жертв, разработка инструментов и протоколов для хранения украденных учетных данных.
Витте — первый человек, арестованный за участие в разработке TrickBot. Власти США заявляют, что другие подозреваемые еще находятся на свободе в России, Беларуси, Украине и Суринаме.
Женщине предъявили обвинения по 19 пунктам, а ИБ‑сообщество обсуждает, что Витте, похоже, не слишком стремилась скрыть свою личность и даже размещала на личном сайте версии TrickBot, находящиеся в разработке.
Интернет как NTF
«Отец» интернета, сэр Тим Бернерс‑Ли выставил исходный код веба на аукцион Sotheby’s в виде невзаимозаменяемого токена (NFT), в который вошли файлы почти с 10 тысячами строк кода, «анимированная визуализация» этого кода и комментарии автора.
В сущности, это станет первым случаем, когда Бернерс‑Ли напрямую получит какую‑то выгоду от одного из величайших изобретений современности, и вырученные средства пойдут на реализацию инициатив, которые поддерживают он сам и его супруга Розмари.
«Три десятилетия назад я создал нечто, что стало мощным инструментом для всего человечества, при последующей помощи огромного числа соавторов по всему миру. Для меня лучшее в интернете — это дух сотрудничества. Хотя я не делаю прогнозов относительно будущего, искренне надеюсь, что использование интернета, его знаний и потенциала останется открытым и доступным для всех нас, чтобы мы продолжали внедрять новшества, создавать и запускать следующие технологические преобразования, которые пока даже не можем себе представить.
NFT, будь это произведения искусства или подобные цифровые артефакты, являются последними шутливыми воплощениями данной области и представляют собой наиболее подходящее право собственности из всех существующих. Это идеальный способ упаковать истоки интернета»
— объясняет Тим Бернерс‑Ли
Малварь в профилях Steam
Аналитики компании G Data рассказали о вредоносе SteamHide, операторы которого прячут малварь в метаданных изображений в профилях Steam.
Впервые странные картинки в Steam заметил ИБ‑исследователь Miltinhoc, рассказавший о своей находке в Twitter в конце мая 2021 года.
Исследователи G Data пишут, что на первый взгляд такие картинки неопасны. Стандартные EXIF-инструменты не обнаруживают в них ничего подозрительного, разве что предупреждают о том, что длина данных в ICC-профиле некорректна.
Однако на самом деле вместо ICC-профиля (который обычно используется для отображения цветов на внешних устройствах, например принтерах) такие изображения содержат малварь в зашифрованном виде (внутри значения PropertyTagICCProfile).
В целом сокрытие малвари в метаданных изображений — это вовсе не новое явление, признают исследователи. Однако использование крупной игровой платформы, такой как Steam, для размещения вредоносных картинок существенно усложняет ситуацию. Злоумышленники получают возможность в любой момент заменить вредоносную программу с такой же легкостью, с которой меняется файл изображения в профиле.
При этом Steam просто служит для хакеров средством и используется для размещения малвари. Вся основная работа, связанная с загрузкой, распаковкой и выполнением такой полезной нагрузки, выполняется внешним компонентом, который обращается к изображению из профиля Steam. Такую полезную нагрузку можно распространять и обычными способами, в электронных письмах или через взломанные сайты.
Эксперты подчеркивают, что сами изображения из профилей Steam не являются ни «заразными», ни исполняемыми. Они представляют собой лишь средство для переноса фактической малвари, для извлечения которой нужна вторая вредоносная программа.
Второй вредонос, о котором идет речь, был найден на VirusTotal и представляет собой загрузчик. Он имеет жестко закодированный пароль {
и использует TripleDES для дешифрования пейлоадов из картинок.
В системе жертвы малварь SteamHide сначала запрашивает Win32_DiskDrive для VMware и VBox и завершает работу, если они существуют. Затем вредонос проверяет, есть ли у него права администратора, и пытается повысить привилегии с помощью cmstp.exe.
При первом запуске он копирует себя в папку LOCALAPPDATA, используя имя и расширение, указанные в конфигурации. SteamHide закрепляется в системе, создавая в реестре следующий ключ: \
.
IP-адрес управляющего сервера SteamHides хранит на Pastebin, а обновляться может через определенный профиль Steam. Как и загрузчик, он извлекает исполняемый файл из PropertyTagICCProfile. Причем конфигурация позволяет ему изменять ID свойства изображения и строку поиска, то есть в будущем для сокрытия малвари в Steam могут использоваться другие параметры изображения.
Пока SteamHide не имеет какой‑либо другой функциональности и, похоже, малварь еще находится в разработке: исследователи нашли несколько сегментов кода, которые на данный момент не используются. К примеру, вредонос узнает, установлен ли Teams, проверяя наличие SquirrelTemp\SquirrelSetup.log, но после с этой информацией ничего не происходит. Возможно, это нужно для проверки установленных приложений в зараженной системе, чтобы позже их можно было атаковать.
Также специалисты обнаружили заглушку ChangeHash(
. Похоже, разработчик малвари планирует добавить полиморфизм в следующие версии. Еще малварь умеет отправлять запросы в Twitter, что в будущем может использоваться для получения команд через Twitter, либо вредонос сможет действовать как Twitter-бот.
11 000 000 долларов вымогателям
В прошлом месяце компания JBS Foods, занимающаяся производством продуктов питания, была вынуждена временно приостановить производство на нескольких объектах из‑за хакерской атаки. Инцидент затронул несколько производственных предприятий JBS в разных странах, включая США, Австралию и Канаду. Ответственность за эту атаку лежит на русскоязычной хак‑группе REvil (она же Sodinokibi).
Представители JBS признали, что заплатили вымогателям 11 000 000 долларов США, чтобы предотвратить утечку украденных хакерами данных и устранить возможные технические проблемы. Глава компании подчеркнул, что «это было очень сложное решение», однако его нужно было принять, чтобы предотвратить любой потенциальный риск для клиентов.
Отказ от урезания URL
Эксперимент Google, в рамках которого из адресной строки Chrome скрывали части URL-адресов, окончательно провалился и был завершен.
В последние годы разработчики Chrome не раз возвращались к этой теме. К примеру, еще в 2018 году они пытались в очередной раз сделать интерфейс браузера проще и удобнее, отказавшись от «сложных и ненужных» частей URL, которые лишь запутывают пользователей. Так, по мнению разработчиков, чтение URL-адресов усложняли отображающиеся в строке адреса мобильные поддомены, WWW и прочие элементы. Якобы людям сложно понять, какой именно части адреса нужно доверять и уделять внимание, чем, в частности, пользуются фишеры и другие преступники.
Подобное «упрощение» не понравилось многим само по себе, но специалисты также обнаружили множество багов, связанных с реализацией новой функциональности. Например, subdomain.
не должен превращаться в subdomain.
, а http://
не должен схлапываться до example.
, однако происходило именно это.
С июня 2020 года по июнь 2021 года специалисты Google проводили очередную фазу этого эксперимента. На страницу параметров chrome://
добавили ряд параметров, после включения которых в адресной строке отображалось только основное доменное имя сайта.
Обоснованием для этого эксперимента вновь стало то, что, по мнению экспертов Google, отображение полных URL-адресов мешает пользователям различать легитимные и вредоносные сайты, многие из которых используют сложные и длинные URL-адреса в попытках запутать жертв. Если пользователи хотели увидеть полную ссылку, они могли кликнуть или навести указатель на адресную строку Chrome.
Как и в прошлые годы, эксперимент не удался, вызвав волну критики как ИБ‑экспертов, так и обычных пользователей, которые часто жаловались, если Google молча активировала нововведение в избранных браузерах для сбора статистики.
Теперь эксперимент официально закончен, и упрощенные параметры отображения доменов удалены из всех версий Chrome, включая стабильную, бета‑версию и Canary.
«Данный эксперимент не повлиял на соответствующие показатели безопасности, поэтому мы не собираемся запускать [эти изменения на постоянной основе]», — пишет Эмили Старк, инженер по безопасности Chrome и одна из основных сторонниц идеи упрощения URL-адресов.
Другие интересные события месяца
Глава мошеннической рекламной сети Methbot признан виновным
Компания Zerodium готова заплатить 100 тысяч долларов за уязвимости в клиенте Pidgin
Власти США захватили домены, которыми пользовалась хак‑группа APT29
GitHub будет удалять эксплоиты для уязвимостей, находящихся под атаками
Власти США вернули большую часть выкупа, выплаченного Colonial Pipeline
Производитель ядерного оружия пострадал от атаки REvil
Странная малварь не дает жертвам посещать пиратские сайты