Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Турецкие хакеры создали малварь для атаки на Binance и MetaMask.
- Telegram применит инструменты IWF в борьбе с детской порнографией.
- Фейковое ПО для созвонов опустошило кошельки Web3-специалистов.
- Программист заподозрил ФСБ РФ в установке шпионского ПО на его телефон.
Турецкие хакеры создали малварь для атаки на Binance и MetaMask
Исследователи Cleafy обнаружили Android-малварь DroidBot, способную похищать данные из 77 криптовалютных и банковских приложений. В числе целей:
- биржи Binance, KuCoin, Kraken;
- кошелек MetaMask;
- банкинг-сервисы BBVA, Unicredit, Santander, BNP Paribas и Credit Agricole.
Разработанный турецкими хакерами троян маскируется под Google Chrome, Google Play Store или Android Security. Функционал включает кейлоггинг, overlaying, перехват SMS, а также модуль VNC для удаленного контроля зараженного устройства.
Ключевым аспектом работы DroidBot является злоупотребление службами доступности Android для мониторинга действий пользователя и имитации свайпов и нажатий от имени вредоносного ПО.
Малварь активна с июня 2024 года и за $3000 в месяц предоставляет билдеры сторонним операторам с возможностью настройки под конкретные цели.
Билдер DroidBot. Данные: Cleafy.
Анализ одной из бот-сетей выявил 776 уникальных заражений в Великобритании, Италии, Франции, Турции, Португалии и Германии.
Вредонос находится на стадии интенсивной разработки и расширения географии атак.
Telegram применит инструменты IWF в борьбе с детской порнографией
Британский фонд Internet Watch Foundation (IWF) в рамках соглашения предоставит мессенджеру Telegram инструменты для превентивного обнаружения и удаления изображений сексуального насилия над детьми.
В частности речь идет о базах данных организации и сервисе по сбору «хешей» — уникальных цифровых отпечатков известных изображений и видеороликов на противоправную тематику. Кроме того, IWF будет напрямую сообщать в Telegram об обнаружении в общедоступных частях платформы преступного контента, в том числе созданного с помощью ИИ.
Фонд борется с распространением изображений сексуального насилия над детьми в сети посредством партнерств с правоохранителями, правительством, общественностью и интернет-компаниями по всему миру. Организацию часто критикуют за создание чрезмерного количества ложных жалоб, секретность действий и неэффективные технические решения.
Фейковое ПО для созвонов опустошило кошельки Web3-специалистов
Исследователи Cado Security Labs нашли вредонос Meeten для кражи криптовалют, маскирующийся под приложение для проведения конференций. Атаки нацелены на работников Web3-сегмента.
Кампания стартовала в сентябре 2024 года. Брендовое название фейкового приложения неоднократно менялось, однако для каждого хакеры создавали официальные сайты и аккаунты в соцсетях и заполняли их контентом, созданным ИИ.
Данные: Cado Security Labs.
Вредонос имеет Windows- и macOS-версии. Попав на компьютер, он передает хакерам:
- учетные данные Telegram;
- реквизиты банковской карты;
- файлы cookie, историю и данные автозаполнения из браузеров Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc и Vivaldi;
- информацию о кошельках Ledger, Trezor, Phantom и Binance;
- системные сведения.
При этом сайты оснащены скриптом, запрашивающим подключение криптокошелька, поэтому кражу активов могут осуществить до фактического скачивания ПО.
Германия закрыла два даркнет-маркетплейса и защищенный мессенджер
Власти Германии отключили серверы крупнейшего в стране даркнет-маркетплейса Crimenetwork и арестовали его технического администратора. С 2012 года площадка вела торговлю крадеными данными, наркотиками и поддельными документами. На ней были зарегистрированы более 100 000 пользователей и свыше сотни продавцов.
По подсчетам правоохранителей, с 2018 по 2024 годы объем транзакций на Crimenetwork превысил 1000 BTC и 20 000 Monero (€93 млн или ~$98 млн на момент написания). Комиссионная прибыль операторов составила не менее $5 млн.
Данные: BKA.
29-летний админ Crimenetwork арестован, ему предъявлены обвинения в управлении преступной платформой и торговле наркотиками. Правоохранители изъяли элитные автомобили и арестовали криптовалюты стоимостью около €1 млн.
Помимо этого в Германии пресечена деятельность даркнет-маркетплейса Manson Market, продававшего краденые учетные и платежные данные, а также личную информацию. Эти сведения злоумышленники получали посредством сети фишинговых онлайн-магазинов. Не менее 57 жертв понесли убытки, превышающие €250 000.
Следственная группа изъяла 50 серверов и более 200 ТБ документов с доказательствами преступной деятельности. Конфискованы свыше 80 устройств хранения данных, мобильных телефонов, компьютеров, а также наличные и криптовалюты на сумму €63 000. Двое предполагаемых операторов Manson Market арестованы в Германии и Австрии.
Еще одна операция при координации Европола привела к закрытию зашифрованной платформы обмена сообщениями Matrix. С ее помощью не менее 8000 пользователей на 33 языках координировали незаконную деятельность по всему миру. Сервис позволял совершать зашифрованные видеозвонки, отслеживать транзакции и анонимно просматривать сайты.
Отключены 40 серверов во Франции и Германии, а также арестованы пять подозреваемых в Испании и Франции. Один из них, 52-летний гражданин Литвы, предположительно является владельцем и основным оператором Matrix.
Данные: Европол.
Власти изъяли 970 зашифрованных телефонов, €145 000 ($152 500) наличными, €500 000 ($525 000) в криптовалютах и четыре транспортных средства.
CP3O признал вину в нелегальной добыче криптовалют на $1 млн
Житель штата Небраска Чарльз О. Паркс III известный под ником CP3O признался в том, что использовал сервисы облачных вычислений для майнинга криптовалют. В пресс-релизе пострадавшие компании не называются, но речь предположительно идет об Amazon и Microsoft.
Согласно материалам дела, с января по август 2021 года CP3O с различных аккаунтов добыл Ethereum, Litecoin и Monero совокупной стоимостью около $970 000. Счет за услуги провайдеров на $3,5 млн он не оплатил.
Паркса арестовали в апреле. Ему грозит до 20 лет тюрьмы.