32261
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Почти год ФБР притворялось «Илоном Маском» и отмывало деньги для хакеров и драгдилеров
Еще в 2023 году ФБР обнаружило крупного преступника, известного в даркнете под ником ElonmuskWHM, который отмывал миллионы долларов для других злоумышленников. После того как личность ElonmuskWHM была установлена, его арестовали, однако бизнес продолжил работу. Около года отмыванием денег занималось само ФБР, собирая информацию о клиентах ElonmuskWHM.
https://xakep.ru/2025/04/09/elonmuskwhm/
Уязвимость в WhatsApp позволяла выполнить произвольный код в Windows
Разработчики WhatsApp предупредили пользователей Windows о необходимости как можно скорее обновить мессенджер до последней версии. В этом обновлении устранена уязвимость, позволявшая злоумышленникам выполнять вредоносный код.
https://xakep.ru/2025/04/08/whatsapp-code-execution/
Девять вредоносных расширений VSCode заражали пользователей майнерами
Сразу девять расширений в VSCode Marketplace выдавали себя за настоящие инструменты разработки и заражали машины пользователей криптомайнером XMRig для добычи Monero.
https://xakep.ru/2025/04/08/vscode-miner/
В Chrome исправляют старую уязвимость, раскрывавшую историю просмотров браузера
В грядущей версии Chrome 136 будет исправлена существующая уже 23 года side-channel проблема, позволяющая отслеживать историю просмотров пользователя. Эта старая атака строится на считывании цветов ссылок на страницах, что позволяет узнать, посещал ли человек тот или иной сайт ранее.
https://xakep.ru/2025/04/08/old-browsing-history-problem/
Мошенники присылают готовые seed-фразы пользователям Coinbase и Ledger
Исследователи рассказали о масштабной фишинговой кампании PoisonSeed. Злоумышленники взламывают корпоративные учетные записи для email-маркетинга и от лица взломанных аккаунтов Mailchimp, SendGrid, HubSpot, Mailgun и Zoho рассылают мошеннические письма.
https://xakep.ru/2025/04/07/poisonseed/
Кардерский скрипт из PyPI использовал WooCommerce для проверки украденных карт
В Python Package Index (PyPI) нередко обнаруживают малварь, но найденный недавно пакет disgrasya отличается от большинства таких случаев. Пакет был установлен более 34 000 раз и использовал легитимные интернет-магазины на базе WooCommerce для проверки ворованных банковских карт.
https://xakep.ru/2025/04/07/disgrasya/
В WinRAR исправлена уязвимость обхода MotW в Windows
В WinRAR исправили уязвимость, которая позволяла обойти защитную функцию Mark of the Web (MotW) в Windows и выполнить код на компьютере жертвы.
https://xakep.ru/2025/04/07/winrar-motw-bypass/
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя
Эксперты компании SafeBreach сообщили, что патчи, выпущенные Google в прошлом году для устранения уязвимостей в утилите Quick Share, которые могли привести к удаленному выполнению кода, оказались неполными и их можно легко обойти.
https://xakep.ru/2025/04/04/quick-share-incomplete-patch/
На радаре — Cutter. Исследуем программы в графической надстройке Cutter для Radare2
Дизассемблирование и отладка программ — весьма непростой и трудоемкий процесс, а значит, заниматься этим нужно с комфортом. Этот самый комфорт вместе с удобным интерфейсом и предлагает специальная надстройка для Radare2 под названием Cutter. Как она работает? Сейчас разберем на простых примерах.
https://xakep.ru/2025/04/04/radare2-cutter/
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel
Специалист PT SWARM Марк Ермолов обнаружил новый подход к использованию ряда старых уязвимостей, уже исправленных компанией Intel. Атака позволяет потенциальному злоумышленнику похитить информацию, получить доступ к зашифрованным файлам, обойти средства защиты авторских прав.
https://xakep.ru/2025/04/04/old-new-intel-bugs/
Oracle в частном порядке уведомляет клиентов об утечке данных
По данным СМИ, компания Oracle в частном порядке уведомила некоторых клиентов, что злоумышленники похитили их старые учетные данные после взлома «устаревшей среды», которая в последний раз использовалась в 2017 году.
https://xakep.ru/2025/04/04/oracle-leaks/
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными
Специалисты Group-IB опубликовали отчет о деятельности вымогательской хак-группы Hunters International. Хакеры считают, что использование шифровальщиков стало слишком рискованным, и меняют тактику.
https://xakep.ru/2025/04/03/hunters-international-world-leaks/
Метод чистой комнаты. Учимся легально клонировать чужие продукты #статьи #подписчикам
Прочитав статью, ты узнаешь, как законодательство смотрит на дизассемблирование чужого кода и как не попасть под нарушение DMCA. Мы изучим юридическую практику на примере таких проектов, как Wine, ReactOS, ScummVM, а также воссозданного игрового движка GTA 3.
https://xakep.ru/2025/04/03/clean-room/
Королевская почта Великобритании расследует возможную утечку данных
Королевская почта (Royal Mail), почтовый оператор Великобритании, расследует сообщения о взломе и утечке данных. Дело в том, что на хакерском форуме опубликовали 144 ГБ данных, якобы украденных из систем компании.
https://xakep.ru/2025/04/03/royal-mail-leak/
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей
Аналитики компании F6 обнаружили новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate. Теперь злоумышленники могут без звонка устанавливать на устройства пользователей малварь, способную дистанционно перехватывать данные банковских карт через NFC-модули.
https://xakep.ru/2025/04/03/craxsrat-and-nfcgate/
С декабря по февраль количество веб-уязвимостей увеличилось вдвое
По данным специалистов BI.ZONE WAF, в период с декабря 2024 года по февраль 2025 года было выявлено более 4000 новых уязвимостей в веб-приложениях. Больше трети из них представляют высокую или критическую опасность для веб-приложений. По сравнению с осенними показателями количество высококритичных уязвимостей выросло на 10% и составило около 1500.
https://xakep.ru/2025/04/08/web-flaws/
InstallShield изнутри. Препарируем виртуалку инсталлятора в x64dbg
В сегодняшней статье мы подробнее разберем работу виртуальной машины установщика InstallShield в динамике при помощи нашего любимого отладчика x64dbg на примере инсталлятора одного технического приложения.
https://xakep.ru/2025/04/08/installshield-reverse/
Сайт вымогательской группы Everest взломали и дефейснули
В минувшие выходные даркнет-сайт вымогательской группировки Everest был взломан, после чего ушел в офлайн. Взломщики заменили содержимое сайта на саркастическое сообщение: «Не совершайте преступлений, ПРЕСТУПЛЕНИЯ ЭТО ПЛОХО, xoxo из Праги».
https://xakep.ru/2025/04/08/everest-hacked/
В Ivanti Connect Secure патчат 0-day уязвимость
Компания Ivanti выпустила обновления безопасности для устранения критической RCE-уязвимости в Connect Secure. Как минимум с середины марта 2025 года этот баг уже использовался китайскими хакерами для развертывания малвари.
https://xakep.ru/2025/04/07/connect-secure-0day/
Роскомнадзор предупреждает о возможном ограничении работы зарубежных хостеров
В пресс-службе ведомства сообщили, что могут ограничить работу некоторых зарубежных провайдеров хостинга с учетом рисков для российских ресурсов.
https://xakep.ru/2025/04/07/rkn-hosting-warning/
HTB Ghost. Пробираемся через лес Active Directory
В этот раз мы пройдем путь от LDAP Injection и LFI до Command Injection в веб‑приложении. Захватив Linux-машину в домене, получим пользовательский тикет Kerberos и проведем DNS Spoofing. После получения еще одной доменной учетки скомпрометируем учетную запись службы ADFS и с помощью техники Golden SAML сделаем токен для доступа к сайту от имени админа.
https://xakep.ru/2025/04/07/htb-ghost/
Хакеры․RU. Глава 0х16. Код настоящего #подписчикам
Это двадцать третья глава приключенческо‑фантастической истории «Хакеры.RU». Каждую субботу мы публикуем по одной главе специально для подписчиков «Хакера». Если ты еще не читаешь, начинай с первой!
https://xakep.ru/2025/04/05/hackers-story-16/
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs
Исследователи продолжают изучать каскадную атаку на цепочку поставок в GitHub Actions, связанную со взломом tj-actions/changed-files и нацеленную на криптобиржку Coinbase. Как стало известно теперь, атака началась с кражи токена у разработчика SpotBugs, что позволило злоумышленникам скомпрометировать несколько проектов.
https://xakep.ru/2025/04/04/spotbugs-pat-leak/
В Apache Parquet обнаружили критическую RCE-уязвимость
Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS.
https://xakep.ru/2025/04/04/parquet-rce/
Кривая дорожка. Обфусцируем вызовы WinAPI новыми способами
Все крутые вредоносы стараются прятать использование вызовов WinAPI, ведь наличие подозрительных функций в коде может привести к блокировке исполнения нашей программы. Существует не так много документированных способов скрыть вызовы WinAPI, однако у меня есть пара любопытных разработок, и я готов ими поделиться. Мы попрактикуемся в сканировании памяти, исследовании компонентов Windows и даже немного затронем RPC.
https://xakep.ru/2025/03/07/winapi-obfuscation/
Миграция Kaspersky Security с Windows на Linux: бесплатное обучение с розыгрышем мерча!
Пройди бесплатный курс по миграции Kaspersky Security с Windows на Linux на образовательном портале TS University, получи сертификат по итогам обучения и участвуй в розыгрыше 20 фирменных призов от Лаборатории Касперского.
🎓 На курсе ты гарантированно получишь:
- знания о проблемах безопасности и обосновании миграции с Windows на Linux;
- практические навыки развертывания Kaspersky Security Center в Linux-среде;
- понимание различий между KES и KSC для Windows и Linux;
- навык миграции с Kaspersky Security Center Windows;
- опыт практикующих инженеров, сертифицированных вендором;
- сертификат и возможность принять участие в розыгрыше.
📆 Заявки принимаются до 18.04.25 включительно.
➡️ Узнать подробности и зарегистрироваться на розыгрыш: https://university.tssolution.ru/rozygrysh-kaspersky-security?utm_source=xakep&utm_medium=tg_post&utm_campaign=tsu_lk_play_gifts&erid=2SDnjeMvAvQ
Реклама. ООО "ТС Солюшен". ИНН: 7813288902.
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию
Эксперты раскрыли подробности недавно исправленной уязвимости повышения привилегий в Google Cloud Platform (GCP) Cloud Run, которая позволяла злоумышленнику получить доступ к образам контейнеров и даже внедрить в них вредоносный код.
https://xakep.ru/2025/04/03/imagerunner/
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования
Роскомнадзор (РКН) зарегистрировал приказ, который утверждает порядок, сроки, состав и формат, в рамках которых операторы связи должны передавать данные для идентификации средств связи и пользовательского оборудования. Ранее участники рынка выражали опасения, что этот приказ нарушит тайну связи и потребует больших затрат на модернизацию сетей.
https://xakep.ru/2025/04/03/rkn-device-identification/
Busy Bar — устройство от создателей Flipper, которое поможет меньше отвлекаться
Компания Павла Жовнера Flipper Devices, известная благодаря Flipper Zero, анонсировала новый девайс — Busy Bar. Он в меньшей степени ориентирован на хакеров, но может пригодиться в повседневной работе. Он должен помочь тебе не отвлекаться и другим — не отвлекать тебя.
https://xakep.ru/2025/04/03/busy-bar/
24 000 IP-адресов ищут в сети экземпляры Palo Alto Networks GlobalProtect
Исследователи предупреждают о повышенной активности злоумышленников, которые сканируют интернет в поисках порталов входа в систему Palo Alto Networks GlobalProtect. Предполагается, что это может быть прелюдией к предстоящей атаке или эксплуатации некой уязвимости.
https://xakep.ru/2025/04/02/globalprotect-scan/