Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Американские исследователи опубликовали в журнале Science статью, в которой описан нетривиальный метод подглядывания за пользователем с помощью встроенного датчика освещенности. Такое устройство установлено абсолютно во всех смартфонах и планшетах, многих ноутбуках и телевизорах. Его основная задача — реагировать на изменение освещенности и соответственно изменять яркость дисплея.
Но для начала необходимо пояснить, зачем использовать плохо подходящий для записи изображения инструмент, когда в любом смартфоне можно воспользоваться обычной камерой? Дело в том, что такие «плохо подходящие» датчики обычно никак не защищены. Представим себе, что атакующий уговорил пользователя установить на смартфон вредоносную программу. Получить доступ к очевидно небезопасным системам, таким как микрофон или фотокамера, ей будет достаточно непросто, а вот к датчику освещенности — пожалуйста, сколько угодно.
Так вот, исследователи доказали, что такой датчик можно использовать в качестве замены фотокамеры. Например — получить снимок руки пользователя, который набирает пин-код на виртуальной клавиатуре. В теории после анализа таких данных можно реконструировать и сам пароль. Это крайне интересная научная работа, хотя и (спойлер!) совершенно непрактичная. В этой статье мы попробуем пересказать ее простыми словами.
Схематическое изображение метода «фотосъемки» с использованием датчика освещенности. Источник
Датчик освещенности — штука довольно примитивная. Это светочувствительный фотоэлемент, с помощью которого несколько раз в секунду измеряется яркость освещения. В цифровой фотокамере используются очень похожие (возможно, более миниатюрные) светочувствительные датчики, но там их много миллионов. Объектив проецирует на такую матрицу изображение, яркость каждого элемента измеряется, в результате получается цифровая фотография. По аналогии, датчик освещенности можно назвать самой примитивной цифровой фотокамерой в мире: ее разрешение составляет ровно один пиксель. Как вообще такая штука может фиксировать происходящее вокруг устройства?
Посмотреть статью полностью
-
Автор KL FC Bot
Сегодня Telegram уже не просто мессенджер, а социальная сеть. Пользователи могут хранить неограниченное количество файлов, вести каналы, создавать ботов и даже покупать криптовалюту. Разумеется, все это дает мошенникам большое пространство для маневров.
На этот раз киберпреступники придумали схему кражи Telegram-аккаунтов и криптокошельков с помощью фишингового бота. Детали новой схемы и рекомендации по защите своих криптоактивов — в этом материале.
Как работает мошенническая схема
Для начала определим целевую аудиторию мошенников. Если вы думаете, что под угрозой находятся все пользователи Telegram, — расслабьтесь. Киберпреступники сфокусированы на владельцах криптокошельков Telegram Wallet, которые совершают сделки по P2P-торговле (это когда пользователи могут покупать и продавать криптовалюту без посредников).
Как только потенциальная жертва найдена, мошенники связываются с ней под видом легитимного покупателя или продавца, в зависимости от контекста. Одним из первых же предложений в переписке становится просьба пройти KYC-верификацию (Know Your Customer — «Знай своего клиента»). Это реальное требование Telegram Wallet, направленное на повышение уровня безопасности платформы. Пользователям на самом деле требуется предоставить свои реальное имя, номер телефона и адрес, чтобы совершать сделки. Но есть нюанс: мошенники отправляют ссылку на фейковый канал для прохождения KYC-верификации и угрожают заморозкой криптоактивов в случае, если жертва проигнорирует просьбу. Для большей убедительности криптомошенники упоминают выдуманные «требования регуляторов».
Как определить, что канал принадлежит мошенникам: малое число просмотров поста, синтаксические ошибки и активный призыв перейти по ссылке
Посмотреть статью полностью
-
Автор KL FC Bot
Не так давно мы писали о том, что злоумышленники научились использовать легитимную инфраструктуру социальной сети для доставки достаточно правдоподобных на вид предупреждений о блокировке бизнес-аккаунта — с последующим угоном паролей. Оказывается, уже несколько месяцев очень похожим образом атакуют аккаунты разработчиков на GitHub, что не может не волновать корпоративную службу информационной безопасности (особенно если разработчики имеют административный доступ к корпоративным репозиториям на GitHub). Рассказываем о том, как устроена эта атака.
Угон аккаунтов на GitHub
Жертвам этой атаки приходят письма, отправленные с настоящего почтового адреса GitHub. В письмах говорится, что команда GitHub ищет опытного разработчика, которому компания готова предложить привлекательные условия — зарплату $180 000 в год плюс щедрый соцпакет. В случае заинтересованности в этой вакансии получателю письма предлагается подать заявку по ссылке.
Атака начинается с письма: GitHub якобы ищет разработчика на зарплату $180 000 в год. Источник
Посмотреть статью полностью
-
Автор KL FC Bot
Наши исследователи обнаружили новую версию зловреда из семейства Ducktail, специализирующегося на краже бизнес-аккаунтов Facebook*. Использующие его злоумышленники атакуют сотрудников, либо занимающих достаточно высокие позиции в компании, либо имеющих отношение к кадровой службе, цифровому маркетингу или маркетингу в социальных сетях. И это логично: конечная цель преступников — кража доступа к корпоративному аккаунту в Facebook*, поэтому интерес для них представляют те, у кого с наибольшей вероятностью такой доступ есть. Рассказываем о том, как происходят атаки, чем они необычны и, конечно же, как от них защититься.
Приманка и вредоносная нагрузка
Своим жертвам киберпреступники, стоящие за Ducktail, рассылают архивы с вредоносами. Для усыпления бдительности жертвы в них содержится некоторое количество изображений и видеофайлов, объединенных темой, используемой злоумышленниками в качестве наживки. Например, в ходе последней кампании (активной с марта по начало октября 2023 года) темой была модная одежда: письма приходили якобы от крупнейших игроков индустрии моды, а в архивах содержались фотографии нескольких моделей одежды.
Впрочем, наиболее важная часть этих архивов — исполняемые файлы, в которых иконка имитирует изображение от документа PDF. При этом злоумышленники используют для таких файлов очень длинные названия — чтобы дополнительно отвлечь внимание жертв от расширения EXE. Имена псевдодокументов должны убедить получателя кликнуть на иконку, чтобы ознакомиться с содержимым. В кампании с моделями одежды это были некие «политики и требования к кандидатам», но в принципе там могут быть и другие стандартные уловки — прайс-листы, коммерческие предложения и так далее.
Вредоносный архив Ducktail содержит файл, который выглядит как PDF, но в действительности является EXE
После клика по замаскированному EXE-файлу на устройстве запускается вредоносный скрипт. Первым делом он действительно показывает содержимое некоего PDF-файла (зашитого в код зловреда), чтобы жертва не заподозрила неладное. В то же время он просматривает все ярлыки, содержащиеся на рабочем столе, в меню «Пуск» и на панели быстрого запуска. Зловред ищет ярлыки браузеров, основанных на движке Chromium, то есть Google Chrome, Microsoft Edge, Vivaldi, Brave и других. В них он добавляет команду на установку браузерного расширения, которое также содержится внутри исполняемого файла. Через пять минут после запуска вредоносный скрипт завершает процесс браузера, чтобы пользователь его перезапустил при помощи одного из модифицированных ярлыков.
Посмотреть статью полностью
-
Автор KL FC Bot
В марте этого года мы описывали вредоносную кампанию c применением зловреда PhantomPyramid, которую мы с высокой степенью вероятности приписываем группе Head Mare. Отличительной особенностью этой кампании было использование техники polyglot, суть которой сводится к тому, что злоумышленники используют файлы, которые при разных условиях интерпретируются системой по-разному. Продолжая отслеживать активность этой группы, мы на протяжении августа регистрировали новую волну целевых рассылок того же трояна PhantomPyramid с новыми документами в качестве приманки и со все той же техникой polyglot.
Как Head Mare доставляет PhantomPyramid жертвам
Атака начинается с вредоносной рассылки, в ходе которой на адрес компании приходят письма с ZIP-архивами во вложении. На самом деле это polyglot-файл, который одновременно является и архивом, и исполняемым контейнером для Python-скрипта. Пользователь открывает его как обычный ZIP-файл и видит внутри текстовый документ в формате .docx. Хотя в реальности это вовсе не документ, а ярлык Windows, клик по которому приводит к заражению трояном PhantomPyramid. Достигается это за счет использования двойного расширения .docx.lnk, просто при просмотре содержимого архива видно только первое расширение.
Содержимое вредоносного архива — тип файла показывается как ярлык (shortcut)
Если у пользователя содержимое папок и архивов отображается в деталях, то заметить, что настоящий тип файла — это ярлык, достаточно несложно. Однако многие пользователи предпочитают просматривать файлы в виде краткого списка или как иконки и не видят этого поля. Ярлык не только запускает процесс заражения, но и открывает файл-приманку.
Впрочем, по всей видимости, почта — не единственный вариант заражения, используемый Head Mare в этой кампании. Как минимум в одной из попыток заражения вредоносный архив предположительно был скачан на компьютер жертвы через Telegram.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти