Инфо безопасность

Гугл выложил (https:/...s/) в свободный доступ OSV Scanner для скана опенсорсовых зависимостей в проектах на предмет уязвимостей. Инструмент подтягивает инфу c OSV.dev, крупнейшей базы уязвимостей в опенсорсе. Сканер проверяет код в зависимостях, включая транзитивные, и сообщает, если нужно обновление. В дальнейшем планируют улучшить поддержку для уязвимостей в C/C++, добавить функционал для планирования сканов и инфу по минимальной необходимой версии для устранения уязвимости. Инструмент доступен (https:/...er) на Гитхабе для всех желающих избавиться от головной боли и возни с каждым новым билдом.

Неугомонный Мордекай Гури опубликовал (https:/...n/) новую работу по краже данных с не подключённых к сети компьютеров. На этот раз подсаженная на машину малварь не мигает (https:/...60) индикаторами, а регулирует нагрузку на процессор и его частоту. За счёт этого блок питания излучает низкочастотную электромагнитную волну, которая и передаёт информацию. Атака получила ехидное название COVID-bit в силу того, что работает на расстоянии до двух метров. На ПК с приемлемой частотой битовых ошибок удалось добиться скорости до килобита в секунду. А вот блоки питания ноутбуков генерируют более слабый сигнал. Приёмником может быть смартфон с рамочной антенной, причём он может находиться и за стеной от компьютера. Любители шпионской инфобез-романтики могут ознакомиться с техдеталями по ссылке (https:/...f).

У злоумышленников набирает (https:/...ml) популярность даркнет-сервис, позволяющий подсаживать вредоносный код в легитимные приложения под Андроид. Разработчики утверждают, что их сборки не детектируются при работе и обходят защиту Google Play. Основное требование к приложению – чтобы его можно было декомпилировать apktool. Для обхода обнаружения вредонос грузится под видом плагина после установки. Вредоносный код небольшими кусками байндится к исходному, отсюда меткое название дроппера – Zombinder. В сетевых дебрях уже замечены инфостилеры Ermac и Xenomorph, подсаженные к полудюжине приложений. Так между чат-ботами, пишущими за тебя фишинговые письма, и подобными сервисами порог вхождения для начинающих мамкиных киберпреступников становится совсем низким.

У Кребса увлекательные приключения ((https:/...e/)двух русских, судящихся с Гуглом из-за ботнета Glupteba. Преступную деятельность они отрицали, но от предписания суда на её запрет морозились. Были готовы пойти на сделку и разобрать ботнет, но когда надо было это доказать, выяснилось, доступа у них якобы почти год как нет. А адвокат об этом знал и врал в суде. Потом наши шельмецы пытались договориться с Гуглом приватно: биткоин-адреса ботнета (которых у них нет, но если согласитесь, будут), обещание больше не шалить (без признания прежних шалостей) и небольшой бонус. По миллиону долларов каждому и $110 тысяч на расходы адвокату. Гугл вымогательство не оценил и сообщил суду. Судья тоже это не оценил, закрыл дело в пользу Гугла и наказал адвокату выплачивать судебные издержки компании вместе с подзащитными. Ибо задолбал. Потрясающая история, готовый сценарий для комедии из 90-х с Джимом Керри: Лжец, снова лжец и ботнет.

Облачный хостинг Rackspace переживает не лучшие времена. Уже три дня лежат (https:/...e/) хостящиеся у них сервисы Microsoft Exchange, клиенты по полдня висят на звонках в техподдержку, не могут толком восстановить почту при миграции на 365 и ничего не знают о происходящем. Компания не сообщает ни о причинах, ни об утраченных данных или утечках, ни о сроках восстановления. Между тем в Rackspace подтвердили, что у них был, что называется, ИБ-инцидент. А вот насчёт него уже есть занятные спекуляции: в ход могла пойти ProxyNotShell. Один безопасник через Shodan нашёл (https:/...7f) у компании Exchange-сервер, предположительно, не патченный с августа. Тогда на месте ответственного за сервер инженера я бы уже паковал чемоданы для поспешного отъезда куда-нибудь в Аргентину. Так, на всякий случай

Когда-нибудь задумывались, как может выглядеть удачная малварь-кампания в Тик Токе? Само собой, под стать платформе. Пока юные дарования по следам нового тренда записывают якобы голые видео со скрывающим тело фильтром, злоумышленники распространяют (https:/...e/) зловред под видом софта для удаления фильтра. В ходу у них WASP Stealer для кражи аккаунтов в Дискорде, паролей, кредиток и кошельков из браузера. И кампания настолько успешна, что репозиторий с малварью в трендовых проектах на Гитхабе с 18 форками. Плюс ворох подгружаемых на PyPI пакетов. У видео, продвигающих малварь, мгновенно миллионы просмотров и десятки тысяч страждущих на Дискорд-серверах. Увы, оголёнными в итоге остаются только несостоявшиеся вуайеристы.

Исследователи обнаружили (https:/.../), что группировка Bahamut использует троянизированные версии SoftVPN и OpenVPN под Андроид для шпионажа. Распространяют зловред через фейковый сайт под видом легитимного SecureVPN. Троянский VPN работает исправно, но крадёт контакты, логи, геолокацию, смс и переписку из полдюжины мессенджеров. К счастью, в магазине Гугла малварь не светилась – видимо, распространяли точечно по конкретным жертвам кампании. Bahamut активны года с 2016-го и были замечены в шпионаже на Ближнем Востоке и в Южной Азии. А так, новость прямо под блогеров с низкой социальной ответственностью, постящих байки про VPN за мелкий прайс. Monero троянец от Bahamut, конечно, не майнит и телефон пять раз за день не разрядит. Но с кражей инфы справляется на отлично.

Среди злоумышленников набирает (https:/...s/) популярность инфостилер Aurora. Как минимум семь заметных группировок либо перешли на его использование, либо пускают параллельно с Raccoon и Redline Stealer’ами. Что иронично, рост популярности связан с малой известностью нового зловреда, а также низкой частотой обнаружения. Написанная на Go Aurora всплыла на русскоязычных форумах в апреле 2022-го. Поначалу авторы замахнулись на многофункциональный ботнет, но позже сбавили обороты до инфостилера в нынешнем виде. Получилась скрытная, легковесная и полностью нативная малварь без зависимостей и с ворохом фич. Здесь (https:/...pe) можно почитать подробнее о техдеталях восходящей звезды киберпреступного рынка, активно распространяемой по разным каналам от читов и ломаного софта до криптофишинга.

В Android-смартфонах появился инструмент для защиты от слежки Компания DuckDuckGo, известная своим одноименным анонимным браузером, запустила новый инструмент для владельцев Android-смартфонов, который обеспечивает защиту от слежки и сбора данных различными приложениями. Эта функция называется App Tracking Protection – она идентична функции прозрачности приложений отслеживания в iPhone, но «более мощная», согласно сообщению в блоге DuckDuckGo. Отмечается, что включение функции в приложении DuckDuckGo для Android устанавливает на телефон локальную VPN–службу, которая затем автоматически блокирует сторонние трекеры в приложениях и играх — даже если они не используются. По словам разработчиков, на среднестатистическом Android-смартфоне установлено около 35 приложений, каждое из которых отправляет конфиденциальную информацию как минимум 70 компаниям. Впоследствии эти данные используются для настройки таргетированной рекламы для конкретного пользователя. Как активировать функцию: Загрузите DuckDuckGo на Android или обновите его до последней версии (5.143.1). Откройте приложение, перейдите в «Настройки» → «Защита от отслеживания приложений». Следуйте инструкциям на экране. Стоит отметить, что все эти операции происходят на устройстве пользователя без отправки данных на серверы DuckDuckGo.

Способ обойти экран блокировки смартфонов на Андроид Один безопасник случайно обнаружил способ обойти экран блокировки смартфонов на Андроид. В версиях с 10 по 13 при блокировке сим-карты после неправильного ввода PIN и её разблокировки с помощью PUK-кода телефоны пропускают блокировку и сразу выдают главный экран. То есть злоумышленник может просто вставить свою симку и за пару минут разблокировать телефон. Видео здесь ((https:/...0). Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея ((https:/.../).Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.

Новая малварь от группировки Worok замечена (https:/...y/) в сетевых прериях. И прячут её злоумышленники в PNG-файлах с помощью стеганографии. Небольшие куски вредоносного кода записываются в наименьшие значащие биты пикселей изображения. Позже их доставляют и собирают на машине жертвы с помощью dll-ок CLRLoader и PNGLoader, соответственно. В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.