Интерес «ИИ» к Monero, Trickbot обрел лицо и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• Хакеров Dark Partners связали с сетью поддельных криптокошельков и трейдинговых приложений.
• Лидера Trickbot разоблачили в Германии.
• «ИИ-инструмент» потребовал $50 000 в Monero.
• Новый сервис заявил о способности вычислить места проживания комментаторов на YouTube.

Хакеров Dark Partners связали с сетью поддельных криптокошельков и трейдинговых приложений 

Исследователь g0njxa рассказал о группировке Dark Partners, занимающейся масштабными кражами цифровых активов. 

Хакеры владеют множеством сайтов для распространения стилеров под видом ИИ-сервисов, VPN и криптовалютного ПО. В числе последнего фейковые приложения TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE и Unusual Whales.

Вредоносы сканируют устройства жертвы на наличие ранее установленных кошельков Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live, MetaMask и других. Также хакеры собирают информацию о хосте, учетные данные, закрытые ключи и файлы cookie для дальнейшей перепродажи.  

g0njxa предположил, что Dark Partners используют приобретенные сертификаты подписи кода для сборок вредоносного ПО Windows. 

Лидера Trickbot разоблачили в Германии 

Федеральное управление уголовной полиции Германии (BKA) установило личность лидера хакерских группировок Trickbot и Conti под псевдонимом Stern — им оказался 36-летний россиянин Виталий Ковалев. Его объявили в розыск по обвинению в создании преступной организации. Предположительно фигурант скрывается в РФ.

Виталий Ковалев. Данные: Секретная служба США.

В феврале 2023 года Ковалев был одним из семи человек, подвергшихся санкциям США за связь с TrickBot и Conti. Тогда его называли высокопоставленной фигурой в группировках.

По данным BKA, Trickbot насчитывала свыше 100 участников. В общей сложности она несет ответственность за заражение нескольких сотен тысяч систем по всему миру с ущербом в сотни миллионов долларов. 

«ИИ-инструмент» потребовал $50 000 в Monero

Специалисты Cisco Talos обнаружили, что под видом легитимных установщиков ИИ-инструментов распространяются вредоносы: вирусы-вымогатели CyberLock и Lucky_Gh0$t, а также вайпер Numero.

Операторы CyberLock запугивают жертву тем, что якобы получили полный доступ к конфиденциальным деловым документам, личным файлам и базам данных. За ключ дешифрования они требуют $50 000 в криптовалюте Monero, обещая направить эту сумму на гуманитарную помощь в различные страны.

Письмо вымогателей CyberLock. Данные: Cisco Talos.

Хакеры угрожают опубликовать данные, если не получат оплату в течение трех дней. Однако эксперты не обнаружили никаких доказательств функциональности эксфильтрации данных в коде программы-вымогателя. 

По схожей схеме работает и Lucky_Gh0$t. В свою очередь Numero манипулирует компонентами GUI — переписывает содержимое окон и кнопок числовой последовательностью, что делает операционную систему непригодной для использования. 

В Нидерландах админов AVCheck связали с криптографическими сервисами

Полиция Нидерландов при содействии коллег из США заблокировала службу AVCheck, используемую киберпреступниками для оценки скрытности их вредоносного ПО перед коммерческими антивирусами.

Уведомление об изъятии домена. Данные: Bleeping Computer.

Следователи также связали администраторов сайта с криптографическими сервисами Cryptor.biz и Crypt.guru. Домен первого изъяли, второй находится в офлайне.

Службы шифрования помогают операторам вредоносного ПО шифровать или скрывать свои данные, делая их частью одной экосистемы.

В закрытии сервисов помогли тайные агенты, действовавшие под видом клиентов.

Новый сервис заявил о способности вычислить места проживания комментаторов на YouTube

В сети появился сервис YouTube-Tools, который может найти все комментарии пользователя видеохостинга, после чего с помощью ИИ составить его профиль с указанием предположительного места жительства, владения языками, интересов и политических взглядов. Об этом сообщает 404 Media.

Изначально сервис создавался для изучения юзернеймов пользователей League of Legends, однако с переходом на модифицированную LLM от Mistral его возможности расширились.

По словам разработчика, YouTube-Tools предназначен для правоохранительных органов. Впрочем после регистрации и за ~$20 в месяц он доступен любому желающему. 

Эксперты предупредили, что инструмент может представлять серьезную угрозу конфиденциальности.

Великобритания объявила о модернизации кибервойск 

Министр обороны Великобритании Джон Хили рассказал о планах правительства по созданию киберкомандования, которое займется защитой страны от нападений хакеров и помощью военным в самостоятельной организации подобных атак. Об этом сообщает BBC.

Новая структура модернизирует системы наведения и координации армейских подразделений при помощи ИИ-технологий. На это потратят 1 млрд фунтов ($1,3 млрд).

Киберкомандование сыграет ведущую роль и на радиоэлектронном фронте в части перехвата коммуникаций противника и глушения беспилотников.

За последние два года британские власти столкнулись примерно с 90 000 кибератак со стороны иностранных спецслужб, в основном из РФ и Китая.

Также на ForkLog:

• Пользователь Euler лишился $500 000 из-за временного скачка deUSD на Avalanche.
• Аналитики раскрыли причину взлома Cetus, а команда проекта представила план восстановления, одобренный валидаторами.
• Атака на доверие: как поддельный софт для Ledger Live крадет криптовалюту и что с этим делать.
• В трех странах прошли аресты подозреваемых в биткоин-вымогательстве.
• Хакер вывел $12 млн из Cork Protocol.
• Майкл Сэйлор выступил против Proof-of-Reserves.
• Хакеры выложили данные соучредителя Solana на Instagram-аккаунт группы Migos.
• Криптоинвестор потерял $2,6 млн из-за мошенничества с «нулевыми переводами».
• Капитализация приватных монет превысила $10 млрд. XMR и ZEC продолжили рост.

Что почитать на выходных?

Рассказываем о лазейках, которые открыла для киберпреступников абстракция учетной записи в Ethereum.