6242
Регулярные новости и интересные публикации в сфере ITsec. По вопросам сотрудничества писать @cyberhackGL
⚡️Точка невозврата: YouTube установил антирекорд в России
💬23 декабря 2024 года трафик YouTube в России упал до 20% от средних значений, фиксировавшихся на платформе до августа этого года. Об этом свидетельствуют данные Google и профильных экспертов. Пользователи по всей стране начали массово сообщать о проблемах с доступом к видеосервису с 19 декабря: сайт и мобильное приложение загружаются, но видеоролики не воспроизводятся, а загрузка контента происходит крайне медленно или вовсе невозможна.
Нарушения затронули как мобильных операторов, включая МТС, «МегаФон», Т2 и «Билайн», так и провайдеров проводного интернета. Представитель Google сообщил, что компания знает о жалобах российских пользователей, но подчеркнул, что технические проблемы не связаны с действиями самой компании.
В середине ноября «Ростелеком» заявил , что технических ограничений для YouTube в России со стороны компании не вводилось. Проблемы с работой сервиса объясняются состоянием серверов GGC (Google Global Cache), которые Google не обновляет и не расширяет уже три года. Это, по мнению компании, стало основной причиной ухудшения качества работы видеосервиса.
Ранее Роскомнадзор также заявил о возможных мерах в отношении YouTube. В пресс-службе ведомства отметили, что право на использование инструментов для мотивации компании остается за российской стороной: «Многочисленные нарушения российского законодательства, неуважение к нашей стране и гражданам являются основанием для принятия мер в отношении YouTube. У нас достаточно инструментов для мотивации компании в такой ситуации, право на их использование остается за российской стороной».
В РКН напомнили, что компания Google LLC уже два года как официально не осуществляет деятельность в России, предпочтя процедуру банкротства российского филиала и прекратив поддержку инфраструктуры своих кэширующих серверов в наших сетях связи. «Такой подход приводит к снижению качества работы видеосервиса», - добавили в ведомстве.
🔔 ITsec NEWS
⚡️Плагиат или ребрендинг? Sophos раскрывает секреты фишинг-сервиса FlowerStorm
💬Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave в ноябре 2024 года, специализировался на фишинговых атаках типа Adversary-in-the-Middle (AiTM), направленных на кражу данных учётных записей Microsoft 365. Платформа предлагала удобный интерфейс и механизмы обхода защиты, продавая доступ к своим инструментам за $200 на две недели.
По данным экспертов Sophos, работа Rockstar2FA прекратилась после технического сбоя 11 ноября 2024 года, что сделало многие её страницы недоступными. При этом исследователи подчёркивают, что нарушение в работе никак не связано с действиями правоохранительных органов.
Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.
Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA. Кроме того, у них схожие методы регистрации доменов и архитектура систем.
FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.
Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.
Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).
Для защиты от подобных угроз эксперты рекомендуют использовать токены FIDO2, устойчивые к AiTM-атакам, а также внедрять фильтры для электронной почты и DNS-решения для блокировки подозрительных доменов.
🔔 ITsec NEWS
⚡️WhatsApp победил в суде: NSO Group ответит за массовую слежку
💬Американский суд постановил, что израильская компания NSO Group несет ответственность за использование уязвимости в мессенджере WhatsApp для установки шпионского ПО, что позволило осуществлять несанкционированное наблюдение. Решение суда в пользу Meta Platforms и её подразделения WhatsApp было вынесено судьей Филлис Хэмилтон в Окленде, штат Калифорния.
Иск, поданный WhatsApp в 2019 году, утверждал, что NSO Group незаконно получила доступ к серверам мессенджера для установки программы Pegasus, которая позволила следить за 1400 людьми, включая журналистов, правозащитников и диссидентов. Суд постановил, что NSO нарушила условия соглашения и осуществила незаконные действия. Следующим этапом дела станет рассмотрение вопроса о размере компенсации.
Глава WhatsApp Уилл Каткарт назвал это решение победой в защите конфиденциальности, подчеркнув, что шпионские компании не могут скрываться за юридической неприкосновенностью и должны нести ответственность за свои действия.
Эксперты в области кибербезопасности также приветствовали вердикт. Джон Скотт-Рейлтон из канадской организации Citizen Lab, впервые обнародовавшей данные о Pegasus в 2016 году, заявил, что это решение станет важным прецедентом для всей индустрии шпионского ПО. По его словам, оно демонстрирует, что компании, использующие такие инструменты, не могут уклоняться от ответственности, ссылаясь на действия своих клиентов.
NSO Group утверждала, что её технологии помогают правоохранительным органам бороться с преступностью и угрозами национальной безопасности. Однако суды США неоднократно отвергали её аргументы, включая попытки получить иммунитет на основе закона о суверенном иммунитете иностранных государств.
Решение Верховного суда США в прошлом году отказало NSO в обжаловании, что позволило продолжить судебное разбирательство. Этот случай стал важным сигналом для всей индустрии, подчеркивая необходимость соблюдения законов и уважения права на конфиденциальность.
🔔 ITsec NEWS
⚡️О3 от OpenAI: 96.7% на математическом тесте и новый подход к обработке данных
💬В пятницу, на 12-й день серии объявлений «12 дней OpenAI», генеральный директор компании Сэм Альтман представил новые AI-модели «о3» и «о3-mini», которые совершенствуют линейку «о1», запущенную ранее в этом году. Модели пока недоступны для широкой публики, но их уже открыли для исследователей и тестирования безопасности.
Главная особенность этих моделей — технология «приватной цепочки рассуждений». Она позволяет моделям приостанавливаться, анализировать внутренний диалог и планировать свои ответы, демонстрируя «симулированное мышление» (Simulated Reasoning, SR). Это следующий этап развития искусственного интеллекта, выходящий за пределы возможностей традиционных больших языковых моделей (LLMs).
Модели получили название «о3», чтобы избежать конфликтов с брендом британского телеком-провайдера O2. Альтман, комментируя необычный выбор имени, отметил: «В лучших традициях OpenAI, мы снова ужасны в названии наших продуктов».
Модель о3 уже побила рекорды на нескольких ключевых тестах. На визуальном бенчмарке ARC-AGI она набрала 75,7% в низкозатратном режиме и 87,5% в режиме высокой вычислительной мощности, достигнув уровня человеческой производительности. Также о3 показала 96,7% на экзамене American Invitational Mathematics 2024 года, ошибившись лишь в одном вопросе, и продемонстрировала 87,7% на тесте GPQA Diamond с вопросами уровня аспирантуры по биологии, физике и химии. На Frontier Math от EpochAI модель решила 25,2% задач, в то время как другие AI не преодолели порога в 2%.
Упрощённая версия, о3-mini, предложила новый подход к вычислениям с настройкой скорости обработки данных — низкой, средней и высокой. При этом высокие настройки демонстрируют лучшие результаты. О3-mini уже превзошла предыдущую модель о1 на тестах Codeforces.
Выход моделей совпал с аналогичными разработками конкурентов. Google накануне представила Gemini 2.0 Flash Thinking Experimental, DeepSeek запустила DeepSeek-R1, а Alibaba презентовала QwQ, назвав её первой «открытой» альтернативой модели о1.
OpenAI заявляет, что сначала новые модели будут доступны исследователям безопасности, а публичный запуск версии о3-mini ожидается в конце января, тогда как полноценный релиз о3 запланирован на более поздний срок.
🔔 ITsec NEWS
⚡️Тёмная сторона ИИ: как хакеры обходят любую защиту
💬Согласно новому отчёту компании Malwarebytes, киберпреступники активно используют возможности искусственного интеллекта (ИИ) и крупных языковых моделей (LLM) для создания новых схем обмана, которые способны обходить большинство систем кибербезопасности.
Примером такой активности стала фишинговая кампания, направленная на пользователей Securitas OneID. Злоумышленники запускают рекламу в Google, маскируя её под легитимные объявления. Когда пользователь кликает на такую рекламу, он перенаправляется на так называемую «белую страницу» — специально созданный сайт, не содержащий видимого вредоносного контента. Эти страницы выступают в роли отвлекающего манёвра, предназначенного для обхода автоматических систем защиты Google и других платформ.
Суть атаки заключается в том, что реальные цели фишинга остаются скрытыми, пока пользователь не выполняет определённые действия или пока система безопасности не завершает проверку. «Белые страницы», созданные с помощью ИИ, содержат текст и изображения, которые выглядят правдоподобно, включая сгенерированные лица якобы «сотрудников компании». Это делает их ещё более убедительными и сложными для обнаружения.
Ранее преступники использовали украденные изображения из соцсетей или стоковые фото, но теперь автоматическая генерация контента позволяет быстрее адаптировать такие атаки и создавать уникальные страницы для каждой кампании.
Другой случай связан с программой удалённого доступа Parsec, популярной среди геймеров. Злоумышленники создали «белую страницу» с отсылками к вселенной Star Wars, включая оригинальные постеры и дизайн. Этот контент не только вводит в заблуждение системы защиты, но и выглядит интересно для потенциальных жертв.
Использование ИИ позволяет преступникам с лёгкостью обходить проверки. Например, при валидации рекламы Google видит только невинные «белые страницы», не вызывающие подозрений. Однако для реальных пользователей, знакомых с контекстом, такие страницы нередко выглядят несерьёзно и могут быть легко разоблачены.
В ответ на растущее применение ИИ в преступных схемах некоторые компании уже создают инструменты, способные анализировать и выявлять сгенерированный контент. Однако проблема остаётся острой: универсальность и доступность ИИ делают его привлекательным инструментом в руках злоумышленников.
Ситуация подчёркивает важность человеческого вмешательства в процессы анализа данных. То, что для машинного алгоритма может казаться нормальным, часто сразу бросается в глаза человеку как подозрительное или просто нелепое. Такой баланс между технологиями и человеческим опытом остаётся ключевым элементом в борьбе с цифровыми угрозами.
🔔 ITsec NEWS
⚡️2 миллиарда зданий и 86 млн км дорог: Overture Maps запускает Transportation Database
💬Проект Overture Maps, развиваемый при поддержке Linux Foundation, представил первую стабильную версию своей картографической базы данных под названием Transportation. База охватывает 86 миллионов километров дорог по всему миру и доступна для использования разработчиками геосервисов, включая Microsoft и TomTom.
Данные предоставляются в формате GeoParquet, полный архив занимает около 500 ГБ. Для работы с отдельными сегментами предусмотрен веб-интерфейс с интерактивной картой, позволяющий получить информацию для конкретных территорий.
Учредителями проекта Overture Maps выступили Amazon, Meta*, Microsoft и TomTom. Компании объединили усилия на платформе Linux Foundation, чтобы разработать открытые карты, инструменты для их обработки и единый формат хранения данных.
Основой для Overture Maps послужили карты OpenStreetMap, дополненные информацией от участников проекта и из открытых источников. В отличие от OpenStreetMap, где ключевую роль играет сообщество, Overture Maps ориентирован на интеграцию существующих данных и их преобразование в единую систему.
Перед публикацией данные проходят тщательную проверку, уточняются с использованием аэрофотоснимков и дополняются информацией о дорожных знаках, ограничениях движения, паромных маршрутах и железнодорожных линиях.
Для привязки данных используется система GERS (Global Entity Reference System), позволяющая добавлять сведения о ремонтах, ДТП или движении транспорта к точкам на карте и снабжать их уникальными идентификаторами. Это обеспечивает совместимость с различными картографическими приложениями.
База данных распространяется под лицензиями CDLA и ODbL, которые учитывают юридические аспекты смешивания данных из разных источников. Исходный код инструментов Overture Maps опубликован под лицензией MIT.
Разработчики продолжают расширять коллекцию. В дополнение к транспортной сети добавляются данные об адресах, инфраструктуре, растительности, зданиях (более 2 млрд очертаний), административных границах и точках интереса.
🔔 ITsec NEWS
⚡️Отпечатки каждого: Google начала эпоху тотального отслеживания
💬 Недавно Google объявил, что с 16 февраля 2025 года компании, использующие рекламные продукты корпорации, смогут применять фингерпринтинг. Данная технология позволяет идентифицировать устройство пользователя на основе данных о программном и аппаратном обеспечении. Британский регулятор ICO выразил обеспокоенность таким решением, так как считает, что фингерпринтинг ограничивает права пользователей на конфиденциальность.
Фингерпринтинг может заменить функции сторонних cookie-файлов, которые используются для отслеживания действий пользователей в интернете. Однако ICO подчеркивает, что это лишает людей возможности выбирать, как их данные собираются и используются. В 2019 году Google заявлял, что фингерпринтинг нарушает право на выбор и прозрачность. Теперь компания изменила свою позицию.
ICO опубликовало проект рекомендаций по использованию фингерпринтинга в соответствии с законодательством о защите данных. Эти рекомендации описывают требования, такие как обеспечение прозрачности, получение добровольного согласия, соблюдение справедливой обработки данных и предоставление пользователям возможности контролировать свои данные. Ожидается, что 20 декабря начнется консультация по проекту, чтобы компании могли поделиться своими замечаниями. По мнению ICO, выполнить указанные требования будет непросто.
Фингерпринтинг сложнее контролировать, чем куки. Даже если пользователь очищает данные браузера, устройство может быть распознано снова, что ослабляет защиту конфиденциальности, даже для тех, кто активно старается избежать отслеживания.
ICO продолжает сотрудничать с Google и готовится представить свою стратегию по защите пользовательских данных в начале следующего года. Цель — вернуть людям контроль над тем, как используется их информация для персонализированной рекламы.
🔔 ITsec NEWS
⚡️Американские хакеры обошли цифровую крепость Китая
💬 CERT Китая сообщило о двух крупных кибератаках, целью которых стали ведущие китайские предприятия в сфере высоких технологий. Предполагается, что атаки исходили от разведки США, а также сопровождались утечкой коммерческой тайны и кражей интеллектуальной собственности.
В августе 2024 года объектом нападения стал научно-исследовательский институт, разрабатывающий передовые материалы. Злоумышленники использовали уязвимость в системе управления безопасностью электронных документов, что позволило получить доступ к серверу управления обновлениями ПО. Через данную систему вредоносное ПО было доставлено на более чем 270 устройств, что привело к масштабной утечке данных, включая уникальные разработки и информацию коммерческого характера.
Другой случай произошёл в мае 2023 года, когда атака была направлена на крупную корпорацию в сфере интеллектуальной энергетики и цифровых технологий. Хакеры воспользовались уязвимостью в Microsoft Exchange. Используя промежуточные серверы за пределами Китая, атакующие проникли в почтовый сервер компании и установили вредоносное ПО, что позволило организовать непрерывный доступ к корпоративной переписке.
Далее сервер использовался для атак на другие системы компании, в результате чего пострадали более 30 устройств, включая инфраструктуру дочерних организаций В результате был похищен значительный объём данных, включая коммерческие тайны.
Специалисты отмечают, что атаки носили целенаправленный и высокотехнологичный характер, а их исполнение указывает на профессиональную подготовку участников.
🔔 ITsec NEWS
⚡️Критическая уязвимость в BeyondTrust: CISA предупреждает об активных атаках
💬 Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило в свой каталог известных эксплуатируемых уязвимостей (KEV) критическую проблему в продуктах BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS). Уязвимость уже используется злоумышленниками.
Уязвимость с идентификатором CVE-2024-12356 получила высокий рейтинг опасности (9.8 по шкале CVSS). Это уязвимость типа Command Injection, которая позволяет злоумышленнику выполнять произвольные команды от имени пользователя сайта.
По информации CISA, уязвимость затрагивает продукты BeyondTrust PRA и RS, позволяя неавторизованным атакующим вводить команды, которые запускаются с правами пользователя сайта. Для защиты пользователям облачных версий уже предоставлены обновления. Тем, кто использует локальные версии, компания рекомендует установить патчи BT24-10-ONPREM1 или BT24-10-ONPREM2.
Сообщение об активной эксплуатации уязвимости появилось вскоре после того, как BeyondTrust сообщила о кибератаке, жертвой которой стала её система Remote Support SaaS. Злоумышленники получили доступ к API-ключу, использовав его для сброса паролей в локальных учётных записях.
В ходе расследования, проводимого с привлечением сторонних специалистов, была выявлена ещё одна уязвимость средней степени критичности — CVE-2024-12686 (CVSS 6.6). Она позволяет атакующим с административными правами выполнять команды с правами пользователя сайта. Эта проблема устранена в новых версиях программного обеспечения.
Для пользователей PRA и RS доступны патчи BT24-11-ONPREM1 и последующие, в зависимости от используемой версии. BeyondTrust сообщила, что все затронутые клиенты были уведомлены, однако не раскрыла масштаб атаки и личности злоумышленников.
Включение уязвимости CVE-2024-12356 в каталог CISA подчёркивает её серьёзность. Пользователям рекомендуется незамедлительно установить актуальные обновления, чтобы минимизировать риски.
🔔 ITsec NEWS
⚡️Кладбище, тачка и мешок: Google Street View раскрыл убийство в Испании
💬Google Street View помог раскрыть убийство в испанском городке Тахуэко, расположенном в северной провинции Сория. На снимке сервиса запечатлён момент, когда человек загружает большой белый мешок в багажник автомобиля.
Мобильное приложение Google позволяет просматривать снимки улиц по всему миру, которые делают специальные автомобили с установленными камерами. В данном случае машина сервиса впервые за 15 лет посетила городок Тахуэко.
По информации правоохранителей, на другой серии снимков видна размытая фигура человека, перевозящего большой белый свёрток на тележке. При этом в полиции отмечают, что эти кадры не стали «решающими» в раскрытии преступления.
Пропавший мужчина оказался 33-летним гражданином Кубы. О его исчезновении заявили в октябре 2023 года, когда родственник получил подозрительные сообщения с телефона жертвы. В них говорилось, что пропавший якобы встретил женщину, собирается покинуть Испанию и избавиться от своего телефона.
В ноябре 2024 года полиция задержала двух подозреваемых — подругу пропавшего мужчины и её бывшего партнёра. В начале декабря на местном кладбище был найден сильно разложившийся торс, предположительно принадлежащий жертве. Подозреваемые находятся под стражей, расследование продолжается.
🔔 ITsec NEWS
⚡️ChatGPT для бабушек: не понадобится даже смартфон
💬 Компания OpenAI запустила новую функцию, позволяющую общаться с ChatGPT по телефону. Теперь любой житель США может бесплатно позвонить по номеру 1-800-242-8478 и общаться с искусственным интеллектом голосом до 15 минут. Кроме того, пользователи из других стран могут бесплатно отправлять сообщения через WhatsApp на тот же номер.
После звонка система приветствует словами. «Здравствуйте, это ChatGPT, ваш AI-ассистент. Наш разговор может быть записан для обеспечения безопасности. Чем могу помочь?» Пользователи могут задавать вопросы и вести интерактивный диалог с ИИ, как и в других интерфейсах ChatGPT.
Функция была продемонстрирована в прямом эфире на десятый день мероприятия «12 дней OpenAI». Звонки проводились с различных устройств, включая iPhone, кнопочный телефон и даже старый дисковый телефон.
OpenAI отмечает, что идея голосовых звонков появилась в ходе внутреннего «хакатона» и была реализована всего за несколько недель. Основная цель — сделать ChatGPT доступнее для тех, кто не имеет доступа к смартфону или компьютеру.
Сервис открывает новые возможности, например, для пожилых людей, не пользующихся смартфонами. Они смогут узнавать полезную информацию, решать бытовые вопросы, получать советы и просто общаться для избавления от чувства одиночества. ChatGPT может рассказать интересные факты, объяснить сложные термины или подсказать кулинарный рецепт, создавая удобство и поддержку в повседневной жизни.
Звонки ограничены по времени — после 15 минут пользователю предлагается воспользоваться другими версиям ChatGPT, такими как веб-сайт или мобильное приложение. Для реализации голосовой связи используется Realtime API от OpenAI, а для WhatsApp-интерфейса применяется GPT-4o mini.
🔔 ITsec NEWS
⚡️Свинка с разбитым сердцем: Интерпол требует сменить термин для обозначения финансового мошенничества
💬 Интерпол призывает исключить термин «Pig Butchering» (забой свиней) при описании мошенничеств, связанных с онлайн-знакомствами и инвестициями. По мнению ведомства, данный термин неправомерно осуждает жертв этих мошеннических схем, а также препятствует их обращениям в правоохранительные органы.
Термин «Pig Butchering» отражает методы социальных манипуляций, используемые мошенниками, где жертв называют «свиньями», которых «откармливают» перед тем, как «забить». Мошенники часто начинают общение с жертвой в социальных сетях, выстраивая доверительные отношения, которые впоследствии используются для того, чтобы уговорить жертву инвестировать деньги или предоставить средства в виде «кредита».
После того как жертва вложила значительные суммы в фальшивые схемы, мошенники «убивают» её доверие, забирая деньги и прекращая все контакты. Такие схемы часто связаны с криптовалютами и другими финансовыми рынками.
В отчёте ФБР о киберпреступности за 2023 год сообщается, что инвестиционные мошенничества увеличились на 38%, составив 4,57 миллиарда долларов США, по сравнению с 3,31 миллиарда в 2022 году. Однако, такие атаки не только наносят финансовый ущерб, но и сильно воздействуют на психику жертв.
Интерпол считает, что термин «Pig Butchering» обезличивает и унижает пострадавших, что может стать препятствием для того, чтобы они обратились за помощью. В качестве альтернативы предлагается использовать термин «романтическое мошенничество», который, по мнению экспертов, подчёркивает манипуляции мошенников и снимает вину с жертв.
Это изменение в терминологии является частью более широкой инициативы, направленной на то, чтобы жертвы таких мошенничеств могли обращаться в правоохранительные органы без страха осуждения и получать необходимую помощь.
Хотя правоохранительные органы не всегда могут вернуть украденные средства, своевременные сообщения о таких мошенничествах могут помочь предотвратить новые преступления и поймать преступников.
🔔 ITsec NEWS
⚡️CISA предупреждает: E2EE – ваш последний шанс избежать цифровой слежки
💬 После волны утечек данных из телекоммуникационных компаний в ряде стран, включая США, Агентство кибербезопасности и инфраструктуры США (CISA) н астоятельно порекомендовало государственным и политическим деятелям перейти на мессенджеры с поддержкой сквозного шифрования (E2EE), такие как Signal.
Утечка данных была зафиксирована в октябре, когда CISA и ФБР подтвердили взлом нескольких американских операторов связи, включая T-Mobile, AT&T, Verizon и Lumen Technologies. Атака была связана с китайской угрозой Salt Typhoon, которая занимается хакерской деятельностью с 2019 года. Злоумышленники смогли проникнуть в системы операторов, находясь в них долгие месяцы.
Хотя рекомендации касаются в первую очередь высокопрофильных лиц, которые могут быть в поле зрения кибершпионов, меры предосторожности помогут всем пользователям, обеспокоенным безопасностью своих данных. CISA заявляет, что все мобильные коммуникации, включая личные и государственные устройства, могут быть перехвачены или изменены.
Организация советует использовать приложения с защитой сквозным шифрованием, в том числе Signal, для безопасной передачи сообщений на различных устройствах, включая iOS и Android, а также на настольных компьютерах. Это приложение позволяет обмениваться сообщениями между платформами.
CISA также рекомендует использовать многофакторную аутентификацию с защитой от фишинга, а также аппаратные ключи безопасности для защиты аккаунтов Microsoft, Apple и Google. Важным шагом является включение дополнительных функций защиты, таких как Advanced Protection от Google и Lockdown Mode от Apple.
В качестве дополнительных рекомендаций CISA советует отказаться от использования SMS-аутентификации, использовать менеджеры паролей, а также настроить PIN-код или пароль для предотвращения SIM-Swapping.
Кроме того, организация подчёркивает важность регулярных обновлений программного обеспечения для устранения уязвимостей и использования актуального оборудования для обеспечения надёжной безопасности.
🔔 ITsec NEWS
⚡️Главный «Енот» отправился за решётку: разработчику Racoon Stealer вынесен обвинительный приговор
💬 Гражданин Украины Марк Соколовский был приговорён американским судом к пяти годам тюрьмы за участие в киберпреступной операции, связанной с вредоносным ПО Raccoon Stealer.
Как следует из материалов дела, Соколовский, также известный под псевдонимами raccoon-stealer, Photix и black21jack77777, вместе с сообщниками сдавал вредоносное ПО в аренду другим киберпреступникам по модели «вредоносное ПО как услуга» (MaaS). Стоимость аренды составляла $75 в неделю или $200 в месяц.
Raccoon Stealer использовался для кражи конфиденциальных данных с заражённых устройств. Программа похищала учётные данные, криптовалютные кошельки, данные кредитных карт, электронные письма и другую информацию из десятков приложений.
В марте 2022 года Соколовский был задержан в Нидерландах. Примерно в то же время ФБР совсестно с правоохранительными органами Нидерландов и Италии ликвидировали инфраструктуру Raccoon Stealer, временно прекратив его деятельность.
На фоне ареста разработчика преступная группа Raccoon Stealer объявила о приостановке своей работы, ссылаясь, что примечательно, на гибель одного из ключевых разработчиков в ходе событий на Украине. Тем не менее, вредоносное ПО несколько раз возобновляло свою деятельность, добавляя новые функции для кражи данных.
В феврале 2024 года Соколовский был экстрадирован в США, где ему предъявили обвинения в мошенничестве, отмывании денег и хищении личных данных. Ранее он уже признал свою вину и обязался выплатить компенсацию в размере не менее $910,844.
Согласно данным ФБР, вредоносное ПО, связанное с Соколовским, скомпрометировало более 52 миллионов учетных записей, которые использовались для дальнейших мошеннических действий, хищения личных данных и атак с использованием вымогательских программ.
После ликвидации инфраструктуры Raccoon Stealer в 2022 году ФБР создало веб-сайт, где пользователи могли проверить, была ли их информация украдена этим вредоносным ПО.
История Raccoon Stealer демонстрирует, как киберпреступления могут оставлять за собой масштабные разрушения не только в цифровом пространстве, но и в жизни реальных людей. Приговор Марку Соколовскому — это не просто финал его киберпреступной деятельности, но и сигнал о том, что международное сотрудничество в борьбе с киберугрозами становится всё более эффективным.
Однако возрождение вредоносного ПО показывает, что подобные угрозы никуда не исчезают, а лишь видоизменяются, требуя от мира ещё большей бдительности.
🔔 ITsec NEWS
⚡️Психолог поневоле: GPT-4 осваивает терапию, но никак не может подавить в себе расиста
💬Анонимность интернета становится спасательным кругом для миллионов американцев, ищущих психологическую поддержку. По данным последних исследований, свыше 150 миллионов жителей США проживают в районах с острой нехваткой специалистов в области психического здоровья, что вынуждает их искать помощь в социальных сетях.
Исследователи из Массачусетского технологического института, Нью-Йоркского университета и Калифорнийского университета в Лос-Анджелесе изучили более 12 тысяч постов на Reddit и 70 тысяч ответов из 26 сабреддитов, посвященных ментальному здоровью. Цель исследования: разработать критерии, с помощью которых можно будет оценивать навыки психологической поддержки у больших языковых моделей вроде GPT-4.
В ходе эксперимента два лицензированных клинических психолога анализировали 50 случайно выбранных обращений за помощью на Reddit. К каждому посту прилагался либо реальный ответ другого пользователя платформы, либо сгенерированный искусственным интеллектом текст. Специалисты, не зная происхождения ответов, оценивали уровень эмпатии в каждом случае.
Результаты удивили. GPT-4 не только продемонстрировал более высокую способность к сопереживанию, но и на 48% эффективнее мотивировал людей к позитивным изменениям.
Но вот что тревожит: ИИ оказался довольно предвзятым терапевтом. Уровень эмпатии в ответах GPT-4 снижался на 2-15% для чернокожих пользователей и на 5-17% для пользователей азиатского происхождения по сравнению с белыми людьми или теми, чья расовая принадлежность не указывалась.
Чтобы это подтвердить, ученые включили в выборку посты с явными демографическими маркерами (например, "Я 32-летняя чернокожая женщина") и неявными указаниями на принадлежность к определенной группе (например, упоминание натуральных волос как косвенного признака расы).
При явном или скрытом указании демографических данных в сообщениях люди чаще демонстрировали повышенную эмпатию, особенно после косвенных намеков. GPT-4, напротив, в большинстве случаев сохранял стабильный тон независимо от демографических характеристик автора поста (исключение - чернокожие женщины).
Структура запроса и контекст тоже существенно влияют на качество ответов языковой модели. Важную роль играет указание стиля общения (клинический, социально-медийный) и способ использования демографических характеристик пациента.
Конечно, исследователи нашли способ снизить предвзятость искусственного интеллекта. Если при настройке системы четко прописывать, как работать с информацией о поле, расе и возрасте, GPT-4 начинает отвечать всем группам максимально тактично и с сочувствием. Другие методы оказались неэффективными.
Актуальность исследования доказывают недавние трагические события. В марте прошлого года бельгиец совершил самоубийство после общения с чат-ботом ELIZA, работающим на основе языковой модели GPT-J. Месяц спустя Национальная ассоциация расстройств пищевого поведения была вынуждена отключить своего бота Tessa, который начал давать советы по диетам пациентам с расстройствами пищевого поведения.
Профессор Марзиех Гассеми из MIT подчеркивает, что языковые модели уже активно используются в медицинских учреждениях для автоматизации рутинных процессов. В интервью он поделился своими выводами: «Мы выяснили, что современные языковые модели, хотя и меньше обращают внимание на демографические факторы по сравнению с людьми в контексте психологической поддержки, всё же выдают разные ответы для разных групп пациентов. У нас есть большой потенциал для улучшения этих моделей, чтобы они могли предоставлять более качественную и эффективную помощь».
Впереди у нас еще множество открытий и перемен в лучшую сторону.
🔔 ITsec NEWS
⚡️Украсть пароли по дешёвке: Nunu Stealer захватывает рынок похитителей данных
💬На хакерских форумах и в Telegram начали рекламировать новое вредоносное ПО под названием Nunu Stealer. Этот инструмент кибератак, предлагаемый за $100 в месяц, привлёк внимание своими широкими возможностями, угрожающими как частным пользователям, так и крупным компаниям.
По данным исследователей ThreatMon, вредоносное ПО нацелено на сбор конфиденциальной информации из различных источников, что делает его особенно востребованным среди киберпреступников.
Основные особенности Nunu Stealer:
Кража данных браузеров. Nunu Stealer ориентирован на браузеры на базе Chromium и Firefox, из которых может похищать пароли, куки, историю посещений и данные банковских карт, сохранённые пользователями.
Компрометация популярных приложений. Злоумышленники могут получить доступ к учётным данным таких приложений, как Telegram, Riot Games, Epic Games и Steam. Это открывает путь для дальнейших атак и финансового злоупотребления.
Кража криптовалютных кошельков. Особую угрозу представляют возможности Nunu Stealer по краже данных криптовалютных кошельков, включая Exodus, Atomic и Electrum. На фоне популярности цифровых валют это делает вредоносное ПО особенно опасным.
Обход антивирусов. Создатели утверждают, что Nunu Stealer остаётся незамеченным антивирусами, демонстрируя 0 из 71 обнаружения на тестовых платформах. Это затрудняет выявление и нейтрализацию угрозы.
Демократичный ценник в $100 в месяц делает этот инструмент привлекательным даже для неопытных злоумышленников, что способствует росту популярности MaaS-модели. Это создаёт новые вызовы для специалистов по кибербезопасности по всему миру.
Для защиты от подобных угроз эксперты рекомендуют:
регулярно обновлять программное обеспечение и антивирусы;
избегать подозрительных ссылок и загрузок;
использовать многофакторную аутентификацию;
отслеживать аномалии в сетевой активности.
Растущая сложность атак требует повышенного внимания и активных мер безопасности, чтобы опережать злоумышленников в меняющемся цифровом ландшафте.
🔔 ITsec NEWS
⚡️Атака на ЮБуст: сервис потерял контроль над расширением
💬Расширение ЮБуст, разработанное для ускорения работы YouTube в браузере Chrome и на ТВ, оказалось украденным. Об этом сообщила команда сервиса в официальном Telegram-канале.
Разработчики связывают инцидент с усилением блокировок YouTube и увеличением числа атак на платформу в последние дни. На данный момент ведётся расследование, кто стоит за похищением.
Команда ЮБуст подчеркнула, что расширение никогда не собирало и не хранило пользовательские данные, и они могли гарантировать это до момента кражи. Что касается пользователей с платной подпиской или ТВ-версией, разработчики пообещали решить финансовые вопросы в течение трёх-четырёх дней. Данные об оплатах остались надёжно защищёнными, и мошенникам не удалось получить к ним доступ.
В целях безопасности команда советует удалить расширение и приложение ЮБуст с устройств, а также пожаловаться на украденное расширение через магазин Chrome. Создатели также призвали не оплачивать никакие услуги и не отправлять деньги мошенникам по реквизитам, которые появились на сайте расширения.
Мошенники активно создают поддельные каналы и чат-боты, маскируя их под официальные. Один из таких ботов — @uboost_bot, а поддельный канал — @youboost_official. Команда настоятельно просит не использовать эти ресурсы и не вступать в контакт с их администраторами.
В некоторых чат-ботах ЮБуста появились сообщения о том, что информация о краже якобы не соответствует действительности и распространяется бывшим сотрудником сервиса. В основном Telegram-канале эта версия была опровергнута.
Также стало известно, что мошенники зарегистрировали юрлицо менее двух недель назад, указав его местоположение в России. Команда подчеркнула, что никогда бы не стала регистрировать компанию в этой юрисдикции.
Для восстановления контроля над сервисом в Google уже отправлены все необходимые документы. Команда ЮБуст продолжает работать над возвратом украденного расширения и просит пользователей оставаться бдительными.
🔔 ITsec NEWS
⚡️Виновник атаки на Krispy Kreme найден
💬
Группировка Play взяла на себя ответственность за недавнюю кибератаку на сеть пончиков Krispy Kreme, произошедшую 29 ноября. На сайте утечек Play заявлено, что хакеры похитили конфиденциальные данные компании, включая документы клиентов, бухгалтерскую и финансовую информацию, а также налоговые записи.
Krispy Kreme ранее сообщила о киберинциденте, который вызвал сбои в работе онлайн-заказов в США. Однако компания не уточнила, является ли причиной атаки деятельность вымогателей и какие именно данные могли быть затронуты. По словам представителей Krispy Kreme, масштабы и последствия происшествия ещё выясняются.
В отчёте компании в Комиссию по ценным бумагам и биржам США (SEC) отмечено, что были приняты меры по устранению последствий инцидента и привлечены внешние эксперты по кибербезопасности. Несмотря на сбои, розничные точки сети и поставки продолжали работу в штатном режиме.
Группировка Play утверждает, что намерена опубликовать украденные данные 21 декабря. Эти действия укладываются в схему двойного вымогательства, характерную для Play, когда жертвы атак оказываются под давлением из-за угрозы утечки данных.
Группировка Play активна с 2022 года и уже атаковала около 300 организаций по всему миру, включая крупные компании и муниципалитеты. Эксперты предупреждают, что её действия становятся всё более масштабными и наносят значительный ущерб бизнесу.
Krispy Kreme пока не комментировала заявления Play, предоставляя только ранее опубликованную информацию. Расследование продолжается, а компания сосредоточена на восстановлении работы онлайн-сервисов.
🔔 ITsec NEWS
⚡️WhatsApp в реестре ОРИ: риски, которые нельзя игнорировать
💬Роскомнадзор внёс в реестр организаторов распространения информации 12 популярных мессенджеров и сервисов для общения. Среди них оказался WhatsApp, которым пользуются более 2 миллиардов человек по всему миру.
В список также вошли такие известные сервисы, как Skype, Wire и Element. Последний представляет собой кроссплатформенный мессенджер британского производства со сквозным шифрованием данных.
Азиатский сегмент в реестре представлен южнокорейским приложением KakaoTalk, которое пользуется большой популярностью в странах Юго-Восточной Азии. Компания Kakao развивает и другие цифровые сервисы помимо мессенджера.
Внимание также привлек австралийский мессенджер Session, построенный на базе экосистемы Oxen. Среди его особенностей — анонимность, децентрализация и минимальное использование метаданных для защиты приватности пользователей.
В реестр также были добавлены американские сервисы DUST, Keybase и Trillian, армянский Pinngle Safe Messenger, швейцарский Status и немецкий защищённый мессенджер Crypviser.
Реестр организаторов распространения информации (ОРИ) — это реестр интернет-ресурсов, на которых пользователи могут отправлять сообщения друг другу или администраторам.
Этот статус получают интернет-ресурсы, которые обязаны хранить и расшифровывать сообщения пользователей, а затем делиться ими с силовиками.
Реестр ОРИ ведет Роскомнадзор. По закону каждый ОРИ должен сам сообщить о своём существовании. Если этого не произошло, Роскомнадзор может прислать уведомление о необходимости включения в реестр. Требование ведомства нужно выполнить в течение десяти дней.
За нарушение требований в КоАП предусмотрена статья 13.31 — «Неисполнение обязанностей организатором распространения информации в сети „Интернет“».
🔔 ITsec NEWS
⚡️Мошенники в погонах: лжесотрудники ФСБ обманули пенсионерку на 165 миллионов
💬83-летняя москвичка лишилась более 165 миллионов рублей после телефонного звонка мошенников. Злоумышленник, представившийся сотрудником ФСБ, сообщил пенсионерке о якобы возбуждённом против неё уголовном деле.
Преступник заявил пожилой женщине, что с её банковских счетов якобы пытались перевести деньги на незаконные цели. Для защиты от уголовного преследования мошенник предложил сотрудничество со следствием.
В течение нескольких дней доверчивая пенсионерка снимала крупные суммы денег со своих счетов и счетов супруга. Все средства женщина передавала через курьеров лжесотрудникам «ФСБ» и «Центробанка».
Только оказавшись на своей подмосковной даче после очередной встречи с курьером, пожилая москвичка поняла, что стала жертвой мошенников. К этому моменту злоумышленники уже успели завладеть её сбережениями на сумму более 165 миллионов рублей.
🔔 ITsec NEWS
⚡️5,52 млрд сделали выбор: ИИ вытесняет поисковики из интернета
💬 Компания Domo опубликовала отчёт Data Never Sleeps, который раскрывает изменения в цифровых привычках пользователей интернета в реальном времени. Согласно исследованию, мировая интернет-аудитория достигла рекордных 5,52 миллиарда человек, а развитие искусственного интеллекта начинает изменять баланс цифровой активности, вытесняя привычных лидеров и формируя новые формы взаимодействия.
Основные моменты отчёта демонстрируют масштаб данных, создаваемых в сети каждую минуту. Внимание уделено изменениям в стриминге, онлайн-покупках и цифровых инструментах для работы, подчёркивая роль технологий в повседневной жизни.
В Domo отметили, что за последние 2 года ИИ ускорил цифровую трансформацию и привёл мир к новому переломному моменту. ИИ готов стать ведущим игроком, заменяя прежних лидеров цифровой эпохи. Также подчеркивается, что дальнейшее развитие ИИ будет влиять на широкий спектр цифровой активности, конкурентный ландшафт и инвестиции в ИИ-технологии.
В Domo добавили, что ускорение внедрения ИИ требует от бизнеса подготовки данных и технологий к эффективному использованию возможностей искусственного интеллекта. Отчёт акцентирует важность стратегического подхода к ИИ для усиления конкурентных позиций.
Основные выводы отчёта Data Never Sleeps 12.0:
Распространение ИИ
Искусственный интеллект становится повседневным помощником для миллионов людей. Число поисковых запросов в Google сократилось на 6% по сравнению с прошлым годом, что может свидетельствовать о конкуренции со стороны чатботов. Siri отвечает на более чем 1 миллион запросов в минуту, а платформа Google Gemini привлекает 8574 посетителя за то же время. Это подчеркивает растущую роль ИИ в упрощении повседневных задач.
Изменения в сфере развлечений
За последние годы объем стриминга на Netflix сократился на 19% и составил 362 962 часа в минуту. В то же время TikTok и Snapchat демонстрируют стремительный рост вовлеченности: пользователи TikTok загружают 16 000 видео, а количество отправленных сообщений в Snapchat выросло на 37%. На Facebook* и Instagram* ежеминутно воспроизводится 138,9 миллиона коротких видео, что подчёркивает популярность бесплатного цифрового контента.
Совместная работа
Инструменты для совместной работы продолжают играть ключевую роль в профессиональной коммуникации. Microsoft Teams фиксирует 229 миллионов минут онлайн-встреч, в Slack отправляется более миллиона сообщений в минуту, а Zoom ежеминутно скачивается 288 раз.
Рост цифровой коммерции
Онлайн-шопинг и доставка еды достигают новых рекордов. Пользователи сервиса доставки DoorDash совершают заказы на сумму $126 763, а глобальные расходы на покупки в сети во время «кибернедели» составляют $43,6 миллиона за минуту, что демонстрирует ускорение темпов цифровой торговли.
Безопасность в центре внимания
Увеличение объема данных повышает риски. Каждую минуту фиксируется 4080 утечек данных, что подчёркивает необходимость усиления кибербезопасности и управления информацией в условиях растущей цифровой активности.
Полная инфографика отчёта Data Never Sleeps 12.0 доступна на сайте компании.
🔔 ITsec NEWS
⚡️ИИ-флаг в Chrome: интернет-паутина больше не для мошенников
💬 Google Chrome тестирует новый флаг на основе искусственного интеллекта для выявления мошеннических сайтов. Этот инструмент был замечен пользователем с псевдонимом @Leopeva64 на платформе X* (ранее Twitter). Новый флаг носит название «Client Side Detection Brand and Intent for Scam Detection» и разрабатывается в последней версии Google Chrome Canary.
Флаг использует локальную модель на основе больших языковых моделей (LLM), чтобы анализировать содержимое веб-страниц и выявлять их бренд и намерения. Это помогает определить, может ли сайт быть мошенническим. В описании функции отмечается, что обработка данных производится исключительно на устройстве пользователя, что обеспечивает конфиденциальность и исключает передачу данных в облако или использование Google для обучения своих алгоритмов.
Для активации флага пользователям необходимо установить последнюю версию Google Chrome Canary, перейти на страницу chrome://flags, найти «Client Side Detection Brand and Intent for Scam Detection» и включить её. После перезапуска браузера функция начнёт работать.
Ранее Google Chrome представил другую AI-функцию под названием «Store reviews». Она позволяет автоматически обобщать отзывы о товарах с независимых платформ, таких как Trustpilot и ScamAdvisor, чтобы пользователи могли быстрее оценить надежность интернет-магазинов.
На данный момент флаг для выявления мошенничества доступен только в экспериментальной версии Google Chrome Canary. Пользователи могут загрузить её с официального сайта и протестировать функцию самостоятельно.
🔔 ITsec NEWS
⚡️Пробная версия со взломом: легальный веб-сканер атаковал тысячи сайтов
💬 Специалисты компании Silent Push обнаружили, что хакеры продают сотни тысяч украденных данных с использованием взломанной версии популярного сканера уязвимостей для веб-приложений Acunetix. Этот инструмент превратили в облачный сервис для проведения атак. Один из таких сервисов связан с IT-компанией из Турции.
Эксперты выявили активные сканирования сайтов, использующие IP-адрес, ранее связанный с хакерской группой FIN7. После анализа стало ясно, что данные запросы исходят из панели управления «Araneida Customer Panel», которая работает на основе взломанной версии Acunetix и предоставляет функции для поиска уязвимостей на сайтах, сбора пользовательских данных и их дальнейшего использования в атаках. Чтобы скрыть источник запросов, Araneida использует мощную прокси-сеть, которая маскирует реальные IP-адреса, отправляя запросы через случайные узлы.
Разработчики Acunetix, компания Invicti Security, подтвердили, что злоумышленники смогли обойти лицензионные ограничения пробной версии программы, сделав её полноценным инструментом для атак.
Сервис Araneida активно продвигается на киберпреступных форумах и в Telegram, где канал сервиса насчитывает около 500 подписчиков. В сообщениях подробно рассказывается, как использовать инструмент для атак. На этом же канале продаются украденные учетные данные пользователей. Согласно заявлениям представителей Araneida, их продукт позволил взломать более 30 000 сайтов всего за шесть месяцев. Также упоминается, что один из клиентов купил автомобиль Porsche на деньги, вырученные от продажи украденных данных платежных карт.
Эксперты обнаружили не менее 20 аналогичных сервисов, основанных на взломанной версии Acunetix, которые ориентированы на пользователей из Китая. Однако доказательств их продвижения на даркнет-форумах пока не найдено.
Сообщения о применении взломанной версии Acunetix начали появляться ещё в июне 2023 года. В одном из отчётов Министерства здравоохранения США говорится, что этот инструмент использовала китайская хакерская группировка APT 41. Домен araneida[.]co, через который распространяется сервис, был зарегистрирован в начале 2023 года. Однако имя Araneida упоминается на киберпреступных форумах с 2018 года.
Исследователи выяснили, что сервис связан с разработчиком Алтугом Шара, который работает в IT-компании Bilitro Yazilim, базирующейся в Турции. Сам Шара и его работодатель отказались от комментариев. Хотя компания Invicti имеет офис в Анкаре, её представители заявили, что не знакомы с этим человеком и не имеют связей с его деятельностью.
Сервис Araneida активно использует прокси-сети для сокрытия местоположения своих клиентов. Однако инструмент легко заметить из-за большого количества запросов к API и случайным URL. Кроме того, взломанная версия Acunetix содержит устаревшие SSL-сертификаты, что позволяет отслеживать инфраструктуру.
Команда Silent Push продолжает мониторить активность хакеров, использующих Araneida и взломанные версии Acunetix. Для корпоративных клиентов уже подготовлен отчёт с рекомендациями, которые помогут выявить и предотвратить подобные угрозы.
🔔 ITsec NEWS
⚡️Десктопы были только началом: YouTube на грани полной остановки в России
💬В четверг, 19 декабря, начали возникать проблемы при воспроизведении видео на YouTube на сетях мобильных операторов МТС, «МегаФон», «Т2 РТК Холдинг» (бренд Т2) и «ВымпелКом» («Билайн»), убедились сотрудники РБК. Они сообщили, что видео либо не загружается вовсе, либо воспроизведение происходит с сильными задержками. В некоторых случаях загружается лишь несколько секунд видео, после чего процесс останавливается.
На платформе DownDetector также фиксируются массовые жалобы пользователей на сбои в работе YouTube. По данным сервиса, проблемы начали отмечаться с полуночи 19 декабря.
Источник на медиарынке сообщил РБК, что «раньше была блокировка на 30% и только на десктопах, а с середины декабря будут усиливать и блокировать полностью, в том числе мобильную версию». Второй источник на IT-рынке подтвердил РБК «серьезное, но еще не полное замедление работы YouTube на мобильных устройствах»: «Видим блокировку, видим очереди пользователей, видим жалобы».
В компании Google сообщили, что им известно о затруднениях с доступом к YouTube в России, но заявили, что это не связано с их действиями или техническими сбоями на стороне компании.
В тот же день, 19 декабря, во время прямой линии президент России Владимир Путин также связал неполадки в работе YouTube с проблемами на стороне Google. По его словам, «здесь, пожалуй, вопросов больше на стороне YouTube, чем на нашей стороне». Он отметил, что компания создала в России дочерние юрлица и сервисы, которые необходимо обслуживать, но после введения западных санкций «Google сократил финансирование, сократил сюда поставки соответствующей техники и, таким образом, создал сам себе проблемы». Президент также подчеркнул, что YouTube и Google обязаны соблюдать российские законы, а не «злоупотреблять Сетью для достижения политических целей своих правительств». Он напомнил о случаях блокировки российских артистов и политических деятелей, что вызывает вопросы со стороны Роскомнадзора. По данным ведомства, в июле на платформе было заблокировано 207 российских ресурсов
Максут Шадаев сообщил , что «половина трафика, который YouTube теряет, "приземляется" на российские площадки». Он также отметил, что в стране развивается собственная инфраструктура для видеоконтента и появляются платформы, готовые занять эту нишу: «Мы понимаем сейчас развитие собственных больших площадок. Это касается платформ с пользовательским видеоконтентом. Нам нужна альтернатива, и мы видим, что у нас есть претенденты, готовые выходить на эти рынки».
Аналитический канал «ЗаТелеком» сообщил, что снижение трафика YouTube началось еще 15 декабря, что подтверждается данными самой компании Google
🔔 ITsec NEWS
⚡️От «просто дал карту» до уголовного дела: Путин предложил сажать дропперов
💬Владимир Путин предложил ввести уголовную ответственность для тех, кто предоставляет свои банковские карты мошенникам для совершения преступлений.
На итоговой пресс-конференции он отметил, что проблема связана с использованием посреднических карт. «Здесь есть еще одна проблема, о которой мне председатель ЦБ и глава МВД докладывали. Открываются карты на людей, которые вроде бы в схеме жульнической участия не принимают, но потом, когда у граждан деньги выманивают, их сначала переводят на карты посреднические, так называемые, а потом уже мошенники оттуда деньги сдирают», — пояснил президент.
По его словам, владельцы таких карт формально не участвуют в преступлениях, однако осознают, для чего их карты используются. В связи с этим, Путин предложил усилить контроль и ввести ответственность для таких лиц. «Формально они вроде бы ничего не делают, но они понимают, для чего открываются карты на их имя. Есть предложение и уголовную ответственность за такую деятельность определить», — добавил он.
Президент подчеркнул, что предложенные меры не решат проблему полностью, однако, по его мнению, работа в этом направлении необходима.
🔔 ITsec NEWS
⚡️Sickle: новый стандарт для работы с шелл-кодом и полезными нагрузками
💬 Разработчик под ником «wetw0rk» представил новый инструмент Sickle для создания и анализа шелл-кодов, значительно упрощающий процесс разработки полезной нагрузки. Фреймворк поддерживает множество форматов и предоставляет широкие возможности для работы с машинным кодом.
Инструмент поддерживает генерацию шелл-кода с помощью Keystone Engine. На данный момент поддержка полезных нагрузок ограничена, но планируется добавление базового обратного шелла для разных архитектур и платформ. Среди других возможностей — конвертация инструкций ассемблера в машинный код, выполнение байт-кода, форматирование оп-кодов под нужный язык, выявление недопустимых символов и линейный дизассемблинг.
Модуль для сравнения (diff) позволяет анализировать различия между двумя бинарными файлами или шелл-кодами. Этот инструмент особенно полезен для изучения шаблонов шелл-кодов, так как поддерживает различные режимы анализа на уровне ассемблера и оп-кодов.
Процесс выполнения шелл-кода значительно упрощён: инструмент автоматически подготавливает оболочку для быстрого тестирования, поддерживая операционные системы Windows и Unix. Sickle также способен извлекать шелл-код из бинарных файлов и преобразовывать его в инструкции ассемблера.
Особое внимание уделено модулю pinpoint, который идентифицирует инструкции, вызывающие ошибки из-за использования запрещённых символов. Это особенно полезно при создании эксплойтов, где такие ограничения могут встречаться.
Инструмент построен на модульной архитектуре, что упрощает добавление новых функций. Каждый модуль, например, для дизассемблирования, генерации шелл-кода или выполнения полезных нагрузок, содержит подробную документацию.
Sickle поддерживает различные форматы, включая C, Python, PowerShell, JavaScript, Bash и другие, что делает его универсальным решением для работы с байт-кодом.
Современные инструменты разработки и анализа программного кода становятся всё более совершенными, что подтверждает активное развитие отрасли информационной безопасности. Появление таких фреймворков, как Sickle, демонстрирует растущую потребность в специализированных решениях для профессионалов, работающих над защитой компьютерных систем и сетей.
🔔 ITsec NEWS
⚡️Gorilla Tag: режим «бога» в VR-мире или билет в киберхаос
💬 Пользователи популярной VR-игры Gorilla Tag нашли способ обойти правила и быстрее победить соперников с помощью VPN-приложения, которое содержало в себе скрытые вредоносные функции.
В интернете появились видеоруководства, где объясняется, как установить VPN на гарнитуры виртуальной реальности Meta*. Приложение Big Mama VPN стало самым популярным выбором, так как оно бесплатно, не требует регистрации и, по словам авторов видео, помогает создавать задержки, которые дают игрокам преимущество.
Однако использование Big Mama VPN связано с серьёзными рисками. Исследователи из Trend Micro выяснили, что приложение подключает устройства пользователей к прокси-сети. Другие люди могут использовать их интернет-соединение для анонимной активности в сети. Тапкая технология, известная как резидентный прокси, часто используется киберпреступниками для кибератак, создания ботнетов и других незаконных действий.
По данным Trend Micro, устройства Meta стали третьими по популярности в сети Big Mama, уступая лишь смартфонам Samsung и Xiaomi. Использование таких приложений может сделать домашний интернет частью кибератак или мошеннических схем. Разработчики Gorilla Tag заявляют, что в игре используются механизмы для выявления подозрительной активности, однако загрузка сторонних приложений остаётся вне контроля создателей.
Дополнительные исследования показали, что прокси-сеть Big Mama активно продвигается на киберпреступных форумах и в Telegram. Эксперты из компании Kela выявили более тысячи сообщений о её использовании, начиная с 2020 года. Там обсуждаются настройки и способы применения сети для обхода блокировок или проведения атак. Хотя представители Big Mama утверждают, что сервис используется только легально, реклама прокси вызывает сомнения.
На своём сайте Big Mama VPN открыто сообщает, что трафик пользователей может быть использован для других целей. Услуги включают сбор данных для анализа цен, покупку билетов и другие задачи, которые могут быть использованы как в легальных, так и в спорных целях.
Ранее Trend Micro обнаружила уязвимость в приложении Big Mama VPN, которая могла позволить злоумышленникам получить доступ к локальной сети устройства. Ошибка была исправлена, но эксперты напоминают, что использование бесплатных VPN-приложений всегда связано с рисками для конфиденциальности и безопасности. Специалисты советуют загружать приложения только из официальных магазинов и внимательно читать их условия, чтобы избежать угроз для своих данных и устройств.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
⚡️От Fortune 500 до частных лиц: GPS-трекеры раскрыли корпоративные тайны
💬 Производитель GPS-трекеров Hapn допустил утечку данных тысяч своих клиентов из-за уязвимости на одном из серверов. Об этом стало известно из материалов TechCrunch.
В ноябре исследователь кибербезопасности обнаружил, что сервер Hapn раскрывает имена пользователей и названия их мест работы. Утечка затрагивает тысячи записей, включая идентификаторы устройств, использующихся для отслеживания.
Hapn (ранее Spytec ) занимается разработкой и продажей GPS-трекеров для мониторинга местоположения транспортных средств, оборудования или личных вещей. Компания сообщает, что в ее системе числится свыше 460 000 активных устройств, среди владельцев которых есть крупные компании из списка Fortune 500. Продукция Spytec рекламируется как средство для защиты ценных вещей и «заботы о близких».
Обнаруженная уязвимость позволяет авторизованным пользователям получать доступ к конфиденциальным данным через инструменты разработчика в браузере. В опубликованных записях содержатся данные о более чем 8600 устройствах, включая уникальные IMEI-номера SIM-карт, а также имена и рабочие контакты владельцев. При этом информация о текущем местоположении устройств в утечке отсутствует.
На данный момент утекшие данные остаются доступными. Hapn не ответила на многочисленные запросы журналистов. Запросы на имя гендиректора компании также остались без ответа, а адрес электронной почты, указанный в политике конфиденциальности, оказался недействительным. На сайте компании также не предусмотрен раздел для уведомлений о выявленных уязвимостях.
Некоторые клиенты, чьи данные оказались в открытом доступе, подтвердили свою связь с устройствами, но предпочли не комментировать их использование. Одна из компаний, указанных на сайте Hapn как корпоративный клиент, также числится среди владельцев GPS-трекеров, информация о которых оказалась доступной.
Исследователь отметил, что начал изучать трекеры после того, как обратил внимание на отзывы покупателей, использующих устройства для слежки за супругами. На онлайн-платформах Spytec действительно размещены десятки отзывов о применении трекеров в подобных целях.
В числе утекших данных обнаружены записи о тысячах устройств с привязанными именами, но без указания дополнительной информации. Остается неизвестным, знают ли затронутые люди о факте отслеживания.
🔔 ITsec NEWS
⚡️HubPhish атакует: Microsoft Azure под угрозой масштабного фишинга
💬 Исследователи из Palo Alto Networks раскрыли новую фишинговую кампанию под названием HubPhish, нацеленную на компании в Европе с целью похищения учётных данных и контроля над облачной инфраструктурой Microsoft Azure. Атака охватила около 20 000 пользователей в сферах автомобилестроения, химии и промышленного производства.
Кульминация фишинговой активности пришлась на июнь 2024 года. Злоумышленники использовали бесплатный конструктор форм HubSpot для создания поддельных форм, перенаправляющих жертв на фальшивую страницу входа Office 365 Outlook Web App. Это позволяло похищать учётные данные пользователей.
В кампании выявлено не менее 17 рабочих форм HubSpot, перенаправляющих жертв на домены, контролируемые злоумышленниками. Большинство из них были зарегистрированы в зоне «.buzz». Хостинг инфраструктуры обеспечивался через Bulletproof VPS, что также использовалось для доступа к скомпрометированным учётным записям Azure.
После получения доступа злоумышленники добавляли в учётные записи новые устройства, что позволяло сохранять контроль и обеспечивать долговременное присутствие. Затем они проводили атаки на конечные устройства жертв и перемещались внутри облачной инфраструктуры.
Также отмечено, что атакующие использовали тему DocuSign в фишинговых письмах. Жертвам предлагалось открыть документ, запускающий цепочку перенаправлений на вредоносные страницы.
В последние месяцы участились случаи использования легитимных сервисов, таких как Google Calendar и Google Drawings, для обхода почтовой защиты. Например, злоумышленники всё чаще отправляют письма с вложением формата «.ICS», содержащим ссылки на эти платформы. Данные ссылки маскируются под элементы защиты, однако клик по ним ведёт на мошеннические сайты.
Эксперты Check Point советуют включить настройку «известные отправители» в Google Calendar, чтобы защититься от подобных атак, и быть бдительными при получении писем с неожиданными вложениями или ссылками.
🔔 ITsec NEWS
⚡️Jetson Orin Nano Super: Nvidia представила компьютер для ИИ размером с ладонь
💬Компания NVIDIA представила компактный суперкомпьютер для генеративного искусственного интеллекта — Jetson Orin Nano Super Developer Kit. Устройство отличается повышенной производительностью и сниженной стоимостью по сравнению с предыдущей версией.
По данным компании, Jetson Orin Nano Super обеспечивает увеличение производительности генеративного ИИ в 1,7 раза. Показатель INT8 TOPS вырос на 70% до 67 единиц, а пропускная способность памяти увеличилась на 50% — до 102 ГБ/с.
Комплект разработчика включает системный модуль Jetson Orin Nano 8GB и базовую плату. Устройство оснащено графическим процессором NVIDIA с архитектурой Ampere, тензорными ядрами и 6-ядерным процессором Arm. Система поддерживает подключение до четырёх камер с более высоким разрешением и частотой кадров. Компактный суперкомпьютер предназначен как для коммерческих разработчиков ИИ, так и для энтузиастов и студентов.
Обновление программного обеспечения для повышения производительности будет доступно владельцам новых устройств, а также пользователям существующих комплектов Jetson Orin Nano Developer Kit.
Платформа поддерживает программное обеспечение NVIDIA AI, включая NVIDIA Isaac для робототехники, NVIDIA Metropolis для систем компьютерного зрения и NVIDIA Holoscan для обработки данных с датчиков. Разработчики также получат доступ к обширной базе готовых моделей ИИ и инструментам для их настройки. Мини-компьютер стоит $249. Предыдущая модель суперкомпьютера стоила $499.
🔔 ITsec NEWS
