Китайские хакеры из Chimera более двух лет крали данные нидерландского производителя чипов NXP Semiconductors

Хакеры воруют средства с брокерских счетов через уязвимость WinRAR

Киберпреступники эксплуатируют уязвимость архиватора WinRAR, хотя информация о её существовании уже предана огласке, и разработчик выпустил обновлённую версию программы, где данная уязвимость была закрыта. Всплеск хакерской активности обнаружили эксперты компании Group-IB.

Уязвимость WinRAR позволяет злоумышленникам прятать в архивах вредоносные скрипты, маскируя их под невинные на первый взгляд файлы JPG и TXT. Хакеры эксплуатируют уязвимость архиватора как минимум с апреля этого года, размещая вредоносные файлы на специализированных трейдерских форумах.

Эксперты обнаружили такие архивы на восьми площадках, посвящённых биржевой торговле, инвестициям и криптовалютам. В одном из случаев администрация форума узнала об инциденте, удалила файлы и заблокировала пользователей, которые их распространяли, но те нашли возможность снять блокировку и продолжить распространение вредоносов.

Когда жертва открывает такой файл, хакеры получают доступ к её брокерским счетам, благодаря чему проводят незаконные финансовые операции и похищают средства, рассказали в Group-IB. К настоящему моменту установлено, что заразить удалось компьютеры как минимум 130 трейдеров, но объёмы финансовых потерь на данном этапе оценить не получается.

Достоверные данные об организаторах атаки пока отсутствуют, но известно, что хакеры пользовались VisualBasic-трояном DarkMe, который ранее был связан с группировкой Evilnum, также известной как TA4563. Она действует как минимум с 2018 года в Европе и Великобритании, выбирая себе в жертвы финансовые организации и платформы онлайн-торговли.

Текст со смартфона можно тайно перехватить по сигналу Wi-Fi без всякого взлома

Учёные из Хунаньского и Фуданьского университетов (Китай), а также Наньянского технологического университета (Сингапур) разработали способ считывать нажатия на дисплей смартфона, подключённого к сети Wi-Fi, при помощи анализа беспроводного сигнала. Виной всему недостаточная защищенность функции BFI (Beamforming Feedback Information).

BFI — это механизм обратной связи, появившийся в 2013 году, когда был опубликован стандарт Wi-Fi 802.11ac. Он предполагает отправку клиентскими устройствами данных о своём местоположении, что помогает точкам доступа более точно направлять на них сигнал. Проблема в том, что эти данные передаются без шифрования и могут перехватываться без взлома сетевого или клиентского оборудования.

Учёные условно назвали разработанный ими тип атаки WiKi-Eve — он актуален для любого стандартного сетевого интерфейса, который допускает мониторинг сигналов. На начальном этапе атаки условный злоумышленник перехватывает в беспроводном эфире MAC-адрес устройства своей жертвы. После этого начинается запись данных BFI от устройства жертвы.

Учёные исходили из того, что нажимаемые клавиши на виртуальной клавиатуре смартфона или планшета изменяют параметры сигнала Wi-Fi. Собранную информацию учёные попытались интерпретировать как пароль, предположив, что он отправляется по беспроводной сети на раннем этапе сеанса связи.

Далее в дело вступает система искусственного интеллекта, обученная на данных BFI, которые транслируются в формате открытого текста. Авторы исследования установили, что атака WiKi-Eve позволяет интерпретировать нажатия отдельных клавиш на дисплее с точностью до 88,9 %, а также перехватывать пароли приложений с точностью до 65,8 %.

Google экстренно обновила Chrome для устранения уязвимости, которая позволяла взламывать пользователей через изображения WebP

Google выпустила срочное обновление браузера Chrome, закрывающее уязвимость, на которую компании указали специалисты Citizen Lab при университете Торонто (Канада). Уязвимость связана с форматом изображений WebP, и известно, что она эксплуатировалась киберпреступниками.

Критическая уязвимость за номером CVE-2023-4863 связана с переполнением буфера при обработке WebP. Этот формат изображений разработала сама Google — он активно используется в интернете, обеспечивая эффективное сжатие как без потери качества, так и с ней.

К сожалению, распространители вредоносного ПО нашли уязвимость, связанную с этим открытым форматом. WebP поддерживается многочисленными браузерами на базе Chromium, включая Edge, Opera и Vivaldi, а также редакторами изображения.

В Google заявили, что пока не станут публиковать подробности о выявленной уязвимости — компании придётся подождать, когда Chrome обновится у большинства пользователей. Впрочем, и этим дело не ограничится: разработчик будет какое-то время хранить молчание, если выяснится, что уязвимость коснулась библиотеки для обработки WebP, которая используется в других проектах.

Из разработчиков сторонних браузеров комментарий предоставил только представитель проекта Vivaldi — он заявил, что проект внимательно отслеживает базу Chromium и предпринимает срочные меры при выпуске обновлений безопасности, иногда реагируя в тот же день. Что же касается природы уязвимости, эксплойты, связанные с переполнением буфера, обычно приводят к сбоям в работе ПО или позволяют запускать произвольный код.

Данные о пациентах израильской больницы слиты в Сеть

Группа хакеров Ragnar Locker официально взяла на себя ответственность за кибератаку на израильскую больницу Mayanei Hayeshua, произошедшую в прошлом месяце. Преступная группировка утверждает, что украла 1 ТБ данных и угрожает в скором времени опубликовать их, если не получит свой денежный выкуп.

В сообщении, опубликованном на собственном сайте для утечек, хакеры уточнили, что намеренно не шифровали компьютеры больницы, чтобы не нарушать работу медицинского оборудования. Однако они обнаружили серьёзные уязвимости в сети учреждения, позволившие скачать сотни гигабайт информации.

Кража затронула личную информацию пациентов, финансовые данные, медицинские карты и другую чувствительную информацию. «Сегодня мы публикуем первую партию внутренних файлов MYMC, среди которых много личной и финансовой информации, медицинские карты и множество других конфиденциальных данных», — сообщили хакеры.

«Но это ещё не все, в ближайшие дни мы выложим на всеобщее обозрение полную базу данных SQL и огромное количество pst-файлов с внутренней перепиской», — уточнили вымогатели. Сеть больницы была взломана в августе. Атака вывела из строя административные компьютерные системы, но не повлияла на работу медицинского оборудования.

Хакеры утверждают, что пытались связаться с администрацией больницы, однако специалисты последней проявили к членам Ragnar Locker неуважение, попытавшись подловить их с помощью фишинга. Хакеры пришли к выводу, что руководство больницы не заботится о конфиденциальности своих пациентов, отчего и начали публиковать украденные данные.

Украинские хакеры взломали базу российской сети «Сирена-Трэвел» с информацией об авиаперелетах с 2007-го по 2023-й годы.

Утверждается, что в двух полученных базах содержатся почти 3,5 млрд записей о номерах телефонов пассажиров и 664,6 млн записей с личными данными пассажиров, номерами рейсов, маршрутами, тарифами, данными о стоимости билетов и так далее.

Хакеры также выложили в сеть два «пробника» баз. В них удалось обнаружить, например, данные о перелетах бывшей главы МИД Австрии и экс-члена совета директоров «Роснефти» Карин Кнайсль.

Google предупредила, что уязвимость в WinRAR версий до 6.23 активно эксплуатируется хакерами

Эксперты по кибербезопасности в Google, по их словам, располагают доказательствами, что связанные с российскими и китайскими властями хакеры эксплуатируют ранее выявленную и уже исправленную разработчиком уязвимость популярного архиватора WinRAR. Уязвимость за номером CVE-2023-38831 обнаружила в этом году специализирующаяся на кибербезопасности компания Group-IB — она позволяет внедрять в архивы вредоносные скрипты, маскируя их под кажущиеся безобидными файлы изображений и текстовые документы.

Ошибка была классифицирована как уязвимость нулевого дня (то есть ещё не закрытая разработчиком) ещё в апреле — её эксплуатировала группа злоумышленников, которая скомпрометировала компьютеры как минимум 130 трейдеров. Ответственная за архиватор компания Rarlab выпустила обновление WinRAR 6.23, закрывающее уязвимость, ещё 2 августа. Но, по версии подразделения Google Threat Analysis Group (TAG), связанные с властями России и Китая хакеры продолжают её эксплуатировать, поскольку многие пользователи до сих пор не обновили программу, а значит, их ПК остаются уязвимыми.

Кибератаки с использованием этой уязвимости приписывают: группировке Sandworm, ответственной, по одной из версий, за инцидент с вирусом-вымогателем NotPetya в 2017 году; группировке APT28, она же Fancy Bear, которую ранее обвиняли в кибератаке на ресурсы одной из американских политических партий в 2016 году; а также предположительно связанной с Пекином группировке APT40 — она осуществляет кибератаку на пользователей в Папуа — Новой Гвинее.

Все эти группировки развернули фишинговые кампании, в которых расчёт делается на то, что жертва самостоятельно откроет заражённый архив. Эти инциденты, говорят эксперты TAG, указывают на эффективность кибератак, даже если они нацелены на уже известные и исправленные разработчиками ПО уязвимости — злоумышленники строят расчёт на том, что потенциальные жертвы не спешат обновлять программы.

Белые хакеры дважды за день взломали Samsung Galaxy S23

В рамках мероприятия Pwn2Own по поиску уязвимостей в коммерческих продуктах, белым хакерам за день дважды удалось взломать Samsung Galaxy S23. А ведь этот смартфон считается одним из самых защищенных с точки зрения ПО.Как сообщает Zero Day Initiative, команда Star Labs SG взломала Galaxy S23 при помощи разрешенного списка команд. За обнаружение и демонстрацию уязвимости белые хакеры заработали 25 тыс. долларов и 5 баллов Master of Pwn.

Pentest Limited получила 50 тыс. долларов и 5 баллов Master of Pwn за демонстрацию другой уязвимости – неправильной проверки ввода (эта уязвимость может использоваться в качестве эксплоита).Samsung уже получила все подробности об обнаруженных уязвимостях – компания закроет эти дыры в будущих обновлениях безопасности. К слову, хакеры проверяли на стойкость не только ПО Galaxy S23: Команды Team Viettel и NCC Group взломали Xiaomi 13 Pro, за что получили 40 и 20 тыс. долларов соответственно.

В Telegram начали распространять мод WhatsApp с неизвестным ранее трояном-шпионом

Эксперты «Лаборатории Касперского» обнаружили модификацию популярного мессенджера WhatsApp, которая содержит ранее неизвестное вредоносное ПО — троян-шпион для Android, определяемый как Trojan-Spy.AndroidOS.Agent.afq. Как отмечают в пресс-службе, мод уже некоторое время распространяется в Telegram-каналах на арабском и азербайджанском языках.

С 5 по 31 октября защитные решения компании предотвратили более 340 тысяч атак с его использованием более чем в ста в странах мира. Наибольшее количество зафиксировано в Азербайджане, Саудовской Аравии, Йемене, Турции и Египте. Российские пользователи также столкнулись с попытками заражения.

Новая программа-троян может красть данные с заражённого смартфона: список контактов, авторизационные данные от аккаунтов, документы. Также по команде она начинает вести запись с микрофона устройства. Шпионский модуль начинает работать при включении или постановке телефона на зарядку.

Основной источник заражённых файлов — Telegram-каналы преимущественно на арабском и азербайджанском языках, причём суммарное число подписчиков только в самых популярных из них достигает почти двух миллионов пользователей. «Лаборатория Касперского» уведомила Telegram о наличии вредоносного ПО в обнаруженных каналах. Однако вредоносные моды распространяются также через различные сайты, где можно скачать моды для мессенджеров.

Китайские хакеры из Chimera более двух лет крали данные нидерландского производителя чипов NXP Semiconductors

Китайская хакерская группа Chimera проникла во внутреннюю сеть нидерландской компании NXP Semiconductors и в течение более двух лет, с конца 2017 по начало 2020 года, занималась кражей интеллектуальной собственности полупроводникового гиганта, сообщает издание NRC. Отмечается, что хакеры успели похитить документы NXP, связанные с разработкой и конструкцией микросхем. Общий масштаб преступления ещё не раскрыт. NXP является крупнейшим производителем микросхем в Европе.



Дыра в системе безопасности сети NXP Semiconductors оставалась незамеченной в течение примерно двух с половиной лет. Она была обнаружена только потому, что аналогичная атака произошла на нидерландского авиаперевозчика Transavia, дочку авиакомпании KLM. Хакеры получили доступ к системам бронирования Transavia в сентябре 2019 года. Расследование взлома Transavia выявило связь с IP-адресами NXP, что привело к обнаружению взлома последней.

Сообщается, что взлом имеет все признаки, указывающие на хакерскую группу Chimera, а в процессе проникновения во внутреннюю сеть NXP хакеры использовали в том числе разработанный этой группой инструмент ChimeRAR. Для взлома NXP Semiconductors злоумышленники сначала использовали учётные данные, полученные в рамках предыдущих утечек личной информации сотрудников на таких платформах, как LinkedIn и Facebook, а затем просто подбирали пароли для входа во внутреннюю сеть полупроводниковой компании.

Хакеры сумели обойти защитные меры двойной аутентификации, изменив привязанные ко входу в систему мобильные номера. Злоумышленники вели себя очень тихо, не привлекая внимания и каждые несколько недель крали новые документы из базы данных NXP. Полученная информация зашифровывались, а затем публиковалась на онлайн-сервисах облачного хранения вроде Microsoft OneDrive, Dropbox и Google Drive. NXP Semiconductors является весьма крупным игроком на мировом рынке полупроводников.

Производитель микросхем расширил свою долю рынка и влияние после приобретения американской компании Freescale (тоже занимается производством микросхем) в 2015 году. NXP известна разработкой чипов безопасности Mifare для нидерландского общественного транспорта, а также микросхемами безопасности, связанными с iPhone. В частности, NXP принимала участие в разработке аппаратных компонентов системы платежей Apple Pay.

Несмотря на подтверждение кражи своей интеллектуальной собственности, NXP заявляет, что нарушение не привело к материальному ущербу, поскольку украденные данные достаточно сложны, и их нельзя легко использовать для копирования проектов. Вследствие этого компания не видела необходимости информировать об инциденте своих акционеров или широкую общественность. Сообщается, что после взлома NXP приняла меры по повышению безопасности.

Компания усовершенствовала свои системы мониторинга и ввела более строгий контроль за доступностью и передачей данных внутри своей сети. Шаги направлены на защиту от подобных инцидентов в будущем, безопасность ценных интеллектуальных активов, а также поддержку целостности её сети.

Хакеры научились красть данные банковских карт через поддельное обновление браузеров на Mac

В начале 2023 года в мире кибербезопасности появилась новая угроза, нацеленная на пользователей Apple.Новый вид мощного вредоносного ПО, названный Atomic macOS Stealer (AMOS), способен красть пароли iCloud Keychain, номера кредитных карт, криптовалютные кошельки, файлы и многое другое.

После первоначального обнаружения угрозы AMOS в марте и апреле, исследователи безопасности из Malwarebytes обнаружили, что пользователи Mac устанавливают AMOS через поддельные сайты обновления Chrome и Safari.Новый метод атаки с использованием AMOS называется ClearFake. Этот метод был ранее замечен в атаках на компьютеры с Windows. Теперь же он распространяется и на пользователей Mac.

Для защиты от Atomic macOS Stealer (AMOS) рекомендуется не загружать программное обеспечение из ненадежных или неизвестных источников, обновлять Safari напрямую через настройки системы Mac или Chrome непосредственно от Google или внутри приложения Chrome.