Автор: Стефанія А.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.

Хакери вкрали 130 репозиторіїв на GitHub

Після того, як зловмисники атакували GitHub, Dropbox виявив значні порушення безпеки. Хакери завдяки фішинговій атаці змогли отримати облікові дані співробітника компанії, і отримали доступ до облікових записів GitHub.

Як повідомляє BleepingComputer, зловмисники зламали обліковий запис 14 жовтня. Підозрілу активність GitHub помітили ще за за день до надсилання сповіщення.

«На сьогоднішні наше розслідування виявило, що код, до якого отримали доступ, містив деякі облікові дані, насамперед, ключі API, які використовували розробники Dropbox», — повідомили у компанії Dropbox.

Dropbox зазнав чималих втрат. Насамперед це код і дані, які включали кілька тисяч імен і адрес електронної пошти співробітників компанії, поточних і минулих клієнтів, потенційних клієнтів і постачальників до яких входять код і дані. Слід зазначити, що Dropbox має понад 700 млн зареєстрованих користувачів.

Саме завдяки фішинговій атаці, яка була націлена на кількох співробітників і базувалася на підроблених електронних листах, хакерам вдалось успішно зламати їх облікові записи. Електронні листи імітували сповіщення від платформи безперервної інтеграції та доставки CircleCI, і перенаправляли їх на фішингову цільову сторінку, де їм було запропоновано ввести ім’я користувача та пароль GitHub.

«Ці репозиторії включали наші власні копії сторонніх бібліотек, трохи модифікованих для використання Dropbox, внутрішні прототипи та деякі інструменти та конфігураційні файли, які використовує команда безпеки», — додала компанія.

Dropbox додали, що хакери ніколи не мали доступу до облікових записів користувачів, платіжної системи та паролів. Також вони оголосили на тому, що їх основні програми та інфраструктура не постраждали в результаті цього злому.

Хактивісти викрали 100,000 листів Організації з Атомної енергії Ірану

Організація з атомної енергії Ірану (AEOI) повідомила, що поштові сервери одного з її дочірніх підприємств були зламані. Раніше хакерська група Black Reward публікувала дані, викрадені з організації, заявивши, що всього вони викрали понад 100,000 повідомлень і 50 Гб інформації.

Нагадаємо, також повідомлялося, що експерти Microsoft розповіли про іранських хакерів, які атакують учасників конференції з безпеки.

AEOI повідомляє, що несанкціонована іноземна сторона з неназваної країни вкрала електронні листи з хакерського сервера, в яких здебільшого міститься щоденне листування співробітників і технічні нотатки. Організація пише, що вона негайно прийняла всі необхідні превентивні заходи і повідомила відповідним органам та посадовим особам, щоб вони були підготовлені до можливих нападів.

Бушерська АЕС на півдні Ірану

Представники AEOI повідомляють, що єдиною метою цього хаку було привернення уваги і псування іміджу організації в ЗМІ.

Хакерська група Black Reward взяла на себе відповідальність за атаку, назвавши себе іранською, але нібито виступила проти чинного уряду.

Наприкінці минулого тижня група випустила заяву на своєму каналі Telegram, в якій стверджувалось, що вона здатна зламати AEOI і витягти дані з 324 поштових скриньок організації, що містять в цілому більше 100,000 повідомлень і 50 Гб інформації.

Група Black Reward спочатку попередила, що вони опублікують свої знахідки протягом 24 годин, якщо іранський уряд не випустить всіх політичних в’язнів і затриманих протестувальників.

Хакери зазначили, що до оприлюднених відомостей увійшли «управлінські графіки різних частин Бушерської електростанції», паспорти і візи іранських та російських фахівців, які там працюють, а також «контракти та угоди про ядерний розвиток з вітчизняними та зарубіжними партнерами».

Крім того, хакери закликали експертів з відповідних галузей та ЗМІ публікувати звіти про розслідування цих документів. Після того, як іранська влада не підкорилася вимогам хакерів, Black Reward опублікували частину викрадених даних в тому ж каналі Telegram. Хакери випустили кілька RAR-архівів загальним обсягом 27 Гб, що містять 85,000 електронних листів, і зловмисники стверджують, що вони «ідеальні для дослідників».

Хакери пишуть, що вони ретельно дослідили всі дані перед публікацією, видаливши з дампу всі маркетингові повідомлення і спам, залишивши тільки цінний контент. Судячи з усього, цей витік містить паспорти і візи іранців і росіян, що працюють з АЕОІ, звіти про стан і експлуатацію обладнання, плани будівництва атомної електростанції, контракти, технічні звіти та іншу документацію. Можливо, ці викрадені дані можуть пролити світло на спроби Ірану розробити ядерну зброю.

Наприкінці свого повідомлення хакери згадують про 22-річну іранську жінку Махса Аміні, яку наприкінці вересня місцева віце-поліція затримала за неправильне носіння хіджабу. Незабаром після затримання вона померла. Потім влада опублікувала заяву, в якій стверджувалося, що Аміні раптово впала від серцевого нападу в центрі затримання і була доставлена в лікарню, де вона впала в кому і врешті решт померла.

Після смерті Аміні в соціальних мережах з’явилася інформація, що дівчина була замучена представниками поліції. Після цього по країні пішла хвиля антиурядових протестів, символом яких була Аміні. Послання хакерів також закінчується словами: «Життя та свобода для жінок».

Тисячі репозиторіїв GitHub розповсюджують шкідливе програмне забезпечення під експлойти

Фахівці Лейденського інституту передових комп’ютерних наук виявили тисячі репозиторіїв GitHub з підробленими експлойтами PoC для різних вразливостей, які поширюють шкідливе ПЗ.

Виявилося, що ймовірність зараження шкідливим ПЗ при завантаженні PoC може досягати 10. 3%, навіть якщо виключити явні збої. Нагадаємо ми також повідомляли, що GitHub вилучив експлойт ProxyLogon і був підданий критиці, а також що хакери використовують підроблені сповіщення CircleCI для доступу до облікових записів GitHub.

GitHub є одним з найбільших сайтів для розміщення коду. Дослідники по всьому світу використовують його для публікації експлойтів PoC, щоб інші члени спільноти могли тестувати патчі, визначати вплив і масштаби помилок у програмах.

Для своїх досліджень фахівці проаналізували понад 47,300 репозиторіїв, що пропонують експлойти для різних вразливостей, виявлених між 2017 і 2021 роками. Для аналізу були використані наступні методи.

  1. Аналіз IP-адрес. Порівняння IP-адреси автора з публічними блеклистами, а також VirusTotal і AbuseIPDB.
  2. Бінарний аналіз. Перевірка наданих виконуваних файлів і їх хешів через VirusTotal.
  3. Розбір шістнадцяткового та Base64 шифрування. Така перевірка спрощує бінарні і IP-перевірки обфускованого коду.

В результаті з 150734 унікальних IP-адрес, 2864 були чорного списку (1522 VirusTotal ідентифікував як зловмисні, ще 1069 були присутні в базі даних AbuseIPDB).

В ході бінарного аналізу був випробуваний набір з 6160 виконуваних файлів, серед яких було знайдено 2164 зловмисних зразків, розташованих в 1398 сховищах. У цьому огляді, в цілому 4,893 з 47,313 протестованих репозитаріїв, були визнані зловмисники, при цьому більшість PoC пов’язані з вразливостями в 2020 році.

Після вивчення деяких з цих експлойтів, дослідники виявили різні скрипти шкідливого програмного забезпечення і шкідливого програмного забезпечення, починаючи від троянів віддаленого доступу до Cobalt Strike.

Наприклад, в одному з прикладів, підроблений PoC для CVE-2019-0708, широко відомий як BlueKeep, містив заплутаний скрипт Python base64, який видобуває VBScript з Pastebin. Таким сценарієм був Houdini RAT, старий троян JavaScript, який підтримує віддалене виконання команд через командний рядок Windows.

В іншому випадку дослідники виявили підроблений експлойт, який був інформаційним стилером, що збирав системну інформацію, IP-адресу, а також інформацію UserAgent з інфікованої системи. Оскільки цей PoC раніше створювався як експеримент іншим дослідником, фахівці вважали його відкриття підтвердженням того, що їх підхід спрацював.

Експерти прийшли до висновку, що не слід сліпо довіряти репозиторіям GitHub, оскільки вміст тут не модерується. Згідно з авторами доповіді, всі тестери повинні виконувати наступні дії перед роботою з експлойтами:

  1. Уважно прочитайте код, який ви плануєте запустити у вашій мережі або клієнтській мережі;
  2. Якщо код занадто складний і аналізується вручну занадто довго, слід покласти його в ізольоване середовище (наприклад, віртуальну машину) і перевірити мережу на підозрілий трафік;
  3. Використовувати інструменти аналізу з відкритим кодом, такі як VirusTotal для тестування бінарних файлів.

Дослідники пишуть, що вони сповістили GitHub про всі зловмисні репозиторії, але для їх перевірки і видалення знадобиться деякий час, тому багато з них все ще доступні всім.

Підроблені сайти для дорослих знищують дані користувачів

Фахівці компанії Cyble виявили низку підроблених сайтів для дорослих, які розповсюджують програми-вимагачі. Проте детальний аналіз показав, що ця шкідлива програма не шифрує дані, а навмисне знищує інформацію своїх жертв.

Читайте також нашу статтю про методи, які хакери використовують для зараження програмами-вимагачами.

Точно невідомо, як оператори цієї кампанії рекламували свої сайти, але всі вони використовують імена хостів, пов’язані з еротичними фотографіями: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com та sexy-photo[.]online.

Дослідники кажуть, що на таких сайтах відвідувачам автоматично пропонується завантажити файл, що виконується, з ім’ям SexyPhotos.JPG.exe, який маскується під зображення JPG. Якщо користувач спробує відкрити його, підроблений шифрувальник-вимагач розгорне в системі чотири файли – del.exe, open.exe, windll.exe і windowss.exe – а також файл avtstart.bat. у каталозі %temp%, а потім запустіть їх.

Пакетний файл прикріплюється до системи шляхом копіювання всіх чотирьох файлів, що виконуються в папку автозавантаження Windows. Потім запускається файл windowss.exe, до системи додаються три додаткові файли, включаючи windows.bat, який перейменовує файли жертви. Типи файлів та папки, на які націлено шкідливе програмне забезпечення, показані нижче.

Нагадаю, що ми також писали про сповіщення про порнографічний вірус від Microsoft.

В результаті файли користувача перейменовуються за єдиним шаблоном, наприклад, Lock_1.fille, Lock_2.fille і так далі. Хоча вміст порушених файлів не змінюється і не шифрується, жертви не можуть дізнатися про їх початкові імена.

Разом з цим у системі з’являються нотатки про викуп (файли readme.txt). У цьому повідомленні зловмисники вимагають 300 доларів у біткойнах протягом трьох днів, потім погрожують подвоїти цю суму до 600 доларів протягом семи днів, а потім викрасти всі файли жертви до свого сервера.

Як пояснюють дослідники, цей шкідник взагалі не виконує шифрування файлів, тільки перейменовує їх. Тому автори цієї шкідливої програми навряд чи мають інструмент для відновлення даних. Адже шкідлива програма навіть намагається зберегти вихідні імена файлів при зараженні. Найгірше, експерти вважають, що таке навмисне спотворення даних зовсім не випадковість.

Зважаючи на все, шкідлива програма замислювалася саме як вандал, тобто така що навмисно знищує дані своїх жертв. Справа в тому, що після фальшивого шифрування шкідлива програма зазвичай намагається запустити файл dell.exe , але через помилку іменування (яка призводить до видалення dell.exe) цей крок не працює як слід. Якщо виправити помилку і запустити файл, всі логічні диски, крім диска С, будуть очищені.

Аналітики Cyble відзначають, що єдиний можливий спосіб відновити дані після атаки цієї шкідливої програми – відкат ОС на попередню контрольну точку, оскільки фейковий вимагач не видаляє тіньові копії. Розповсюдження вірусів-вандалів під виглядом вимагача – це досить рідка тактика, однак не є новинкою. Так, шифрувальник HiddenTear у своїх перших варіантах був саме вірусом-вандалом, незважаючи на те що первинний код цього шкідника має всі функції, потрібні для “нормальної” роботи вимагача.

Meta знайшла більше 400 китайських програм, які вкрали дані у 1 мільйона користувачів

Meta подала в суд на кілька китайських компаній (включаючи HeyMods, Highlight Mobi та HeyWhatsApp) за розробку та використання «неофіційних» програм WhatsApp для Android. Справа в тому, що з травня 2022 року за допомогою цих додатків було викрадено понад мільйон облікових записів WhatsApp.

До речі, читайте також нашу статтю: Найкращі шахрайства у Facebook 2022 та як їх уникнути.

Згідно з судовими документами, якими поділилися журналісти Bleeping Computer, шкідливі програми, зокрема, були доступні для завантаження з сайтів самих компаній, а також через Google Play Store, APK Pure, APKSFree, iDescargar та Malavida.

Після встановлення програм (у тому числі AppUpdater для WhatsPlus 2021 GB Yo FM HeyMods та Theme Store для Zap) вони використовували вбудоване шкідливе програмне забезпечення для збору конфіденційної інформації про користувачів, включаючи дані аутентифікації, а потім захопили чужі облікові записи WhatsApp для розсилки спаму.

Після того, як жертви встановили шкідливі програми, їм було запропоновано ввести свої облікові дані користувача WhatsApp та надати шкідливим програмам доступ до WhatsApp.” – документи свідчать.

При цьому, згідно з офіційною статистикою Google Play Store, лише програма AppUpdater for WhatsPlus була встановлена понад мільйон разів.

Ігровий сайт, який спамери рекламували у WhatsApp

Варто зазначити, що минулого літа глава WhatsApp Уілл Кеткар попередив користувачів, щоб вони не завантажували модифіковані версії WhatsApp, і навів приклад HeyMods і HeyWhatsApp. Кеткарт написав, що служба безпеки компанії виявила в цих додатках приховані шкідливі програми, і їхня основна мета – крадіжка особистої інформації користувачів.

Цікаво, що одночасно з тим, як ЗМІ дізналися про цей позов, Meta опублікувала офіційний прес-реліз, в якому також заявила, що виявила понад 400 шкідливих додатків, які викрадали дані користувача. Однак тут йдеться не тільки про програми для Android (355 штук), але і про програми для iOS (47 штук), а їх метою називалася крадіжка облікових даних від облікових записів Facebook.

Категорії шкідливих програм

Ці програми розміщувалися в Google Play Store та Apple App Store і маскувались під фоторедактори, ігри, VPN, бізнес-програми та інші утиліти, щоб змусити людей їх завантажити.” – сказала компанія.

Пропонуючи жертвам «Увійти через Facebook», програми врешті-решт викрадали облікові дані користувачів, зламували облікові записи інших людей і могли «виконувати такі дії, як надсилання повідомлень друзям та отримання доступу до особистої інформації». Повідомляється, що більше мільйона користувачів були повідомлені про потенційну компрометацію, і тепер їм рекомендується змінити свої паролі та включити двофакторну аутентифікацію.

Невдовзі новий недорогий смартфон без сервісів Google стане доступним у продажу

Компанія Simple Mobile Tools представила смартфон, який використовує програми написані на відкритому коді. Це гарна можливість для тих, хто замислюється за свою анонімність та безпеку програм. Фанати FOSS мають гідно оцінити цей девайс, оскільки дійсно “відкритих” телефонів на ринку не так багато. І це не дивно: великі корпорації все частіше намагаються залізти в наші особисті дані.

Словацька компанія Simple Mobile Tools представила свій смартфон Simple Phone. Особливістю пристрою, за заявою виробника, є відсутність сервісів Google.

Повідомляється, що смартфон працює на Android 11 із встановленою оболонкою SimpleOS, в якій відсутні сервіси Google, у тому числі GMS та Google Play. Натомість у телефоні використовується альтернативний магазин F-Droid з відкритим вихідним кодом.

Simple Phone має в оснащенні процесор 2018 MediaTek Helio P60, 4 ГБ оперативної пам’яті, 128 ГБ вбудованої пам’яті і акумулятор ємністю 4500 мАч, а також IPS-дисплей з роздільною здатністю 1080p. За автономність пристрою відповідає АКБ на 4500 мАг. Смартфон має 4 камери – 25-мегапіксельну фронтальну камеру, а також три задні камери, що складаються із сенсорів на 48, 8 та 5 мегапікселів.

Пристрій вже доступний для замовлення на сайті виробника за ціною €399. Компанія обіцяє два роки гарантії та три роки випуску оновлень програмного забезпечення. У продаж Simple Phone надійде 1 листопада.

Повторення історії Huawei?

У 2019 році, після ряду судових засідань у США китайському виробнику електроніки Huawei було заборонено використовувати пропріетарне ПЗ, яке Google постачає у комплекті до своєї ОС Android. Google Play, Google Maps, утиліти телефонної книги та календаря – все це за символічну суму доступне для розробників – якщо вони не підпадають під згадані вище санкції. Однак китайський технологічний гігант знайшов вихід з ситуації шляхом створення своїх замісних рішень. Успіх такого виходу з ситуації, однак, досі сумнівний. Велика кількість програм з альтернативного “плеймаркету” отримує оновлення з запізненням; крім того, Huawei розміщує там ПЗ, яке більше підходить для китайського ринку. Багато користувачів з України та інших країн Європи скаржаться на відсутність таких речей як YouTube (він у Китаї заборонений) та нормально деталізованих карт.

Чи не стане Simple Phone повторенням історії китайського бренду? Звісно, тут причиною відмови від базового ПЗ стало бажання зробити телефон, що використовує виключно програми з відкритим програмним кодом. На відміну від Android, первинний код прикладного ПЗ до операційної системи є закритим, і користувачі, які найбільше турбуються про свою приватність, бачать у цьому загрозу своїй безпеці.

Однак приклад відмови від “рідного” для ОС набору програм вже продемонструвало цілий ряд труднощів для користувача. Альтернативні джерела програм та ігор, такі як вищезгаданий F-Droid, хоч і пропонують набір найільш потрібних програм, але навряд чи дадуть доступ до усього можливого ПЗ, яке може знадобитись у щоденному житті. Окрім того, переважна більшість програм, які ми використовуємо щодня, не є опен-сорсними, що суперечить правилам магазину F-Droid. Тож скоріше за все, цей телефон буде цікавинкою лише для поціновувачів ідеології Free Open Source Software (FOSS).

Google Chrome посів перше місце у світі за кількістю вразливостей, виявлених у 2022 році

Згідно з останніми дослідженнями, Google Chrome вважається найбільш вразливим браузером у 2022 році. З початку року в Google Chrome було виявлено 303 вразливості. На другому місці Firefox (117), на першому – Microsoft Edge (103), на четвертому – Safari (26).

За весь час у Google Chrome виявлено 3159 вразливостей, у Firefox – 2361, а у Safari – 1139. Цифри базуються на даних, наданих базою даних уразливостей VulDB. У статті розглянуто вразливості, внесені до бази даних з 1 січня 2022 року до 5 жовтня 2022 року.

Google Chrome також є єдиним браузером у списку, де вже виявлені нові вразливості в жовтні. Деякі з останніх вразливостей Google Chrome включають CVE-2022-3318, CVE-2022-3314, CVE-2022-3311, CVE-2022-3309 та CVE-2022-3307. Усі уразливості можуть призвести до пошкодження пам’яті, але їх можна усунути шляхом оновлення до версії 106.0.5249.61.

Хоча Google Chrome, Microsoft Edge і Opera абсолютно різні за функціями, всі вони побудовані на ядрі Chromium. Розроблене Google, це ядро з відкритим первинним кодом доступне для усіх бажаючих розробити свій браузер. Це означає, що уразливості, які присутні у Chrome можуть торкнутися всіх вищезгаданих програм, а також альтернатив, які мають те саме ядро за основу.

Хакери використовують різні методи використання вразливостей браузера. Але як вже зазначали в вищезгаданому дослідженні, користувачам потрібно встановлювати всі оновлення, щоб забезпечити свій браузер від можливих атак, а також з обережністю встановлювати розширення, які можуть містити вразливості.

Ferrari досі заперечує той факт, що її атакували програми-вимагачі

Виробник спортивних та гоночних автомобілів Ferrari завзято заперечує, що його пограбували. У той же час хак-група RansomEXX додала автовиробника до списку своїх жертв і стверджує, що вкрала у Ferrari 7 ГБ даних.

Нагадаю, що ми також говорили про 13 проблем, що загрожують медичним приладам, автомобілям та промисловим системам, а також, наприклад, про те, що Volvo Cars зазнає атаки Snatch і про те, що підліток отримує віддалений доступ до 25 автомобілів Tesla.

Представники RansomEXX заявили про злом Ferrari у минулі вихідні. Хакери стверджують, що вкрали у компанії численні документи, у тому числі контракти, рахунки-фактури, інсайдерську інформацію, посібники з ремонту та багато іншого.

Представники Ferrari повідомили ЗМІ, що їм відомо про цей передбачуваний витік даних, але компанія наголосила, що наразі не розслідує жодних атак програм-вимагачів чи інцидентів по кібербезпеці.

Ferrari не має жодних доказів злому своїх систем або атак з боку програм-вимагачів. Ми наголошуємо, що жодних збоїв у нашому бізнесі та операціях не було. Компанія працює над виявленням причин цих подій і при потребі здійснить всі необхідні дії”. – заявила комапнія.

Цікаво, що повідомлення RansomEXX не містить вимог про викуп, а хакери замовчують про те, як їм нібито вдалось зламали Ferrari.

Нагадаю, що раніше це угруповання атакувало такі відомі компанії, як Gigabyte, Hellman Worldwide та модний бренд Zegna. І хоча в минулому цю конкретну групу не було викрито в брехні, загалом хакери іноді видають бажане за дійсне. Наприклад, у серпні 2022 року оператори програми-вимагача Cl0p заявили, що атакували Thames Water, найбільшого у Великій Британії постачальника послуг з очищення води та каналізацій. Як виявилося, вони переплутали дві компанії, а насправді була атакована ще одна британська компанія South Staffordshire Water.

Популярні схеми шахрайства у ТікТоці: що ховається за розважальним контентом

ТікТок стрімко набирає кількість своїх користувачів щодня. Аудиторія цієї платформи в Україні, станом на 2022 рік, нараховує близько 10 млн користувачів.

Формат коротких відео у ТікТоці зацікавив не тільки користувачі всього світу, але і шахраїв. Таким чином у них з’явилося більше способів для незаконного заробітку. В цій статті підготовлено список найбільш поширених видів шахрайства у ТікТоці.

1. Пропозиції швидкого збагачення

Шахраї найчастіше використовують методику обіцянок про великий прибуток при найменших зусиллях та вкладеннях. У соціальних мережах ви можете побачити багато реклами про вигідні інвестиції, які насправді є лише фінансовими пірамідами. Інколи мова йде про досить примітивне шахрайство: ви надсилаєте їм гроші, і більше ніколи їх не побачите – ані грошей, ані шахраїв.

З цього випливає, що користувачам потрібно бути більш уважними з вибором організацій, які пропонують ті чи інші інвестиції. Більше того, не ведіться на обіцянки отримати великі відсотки прибутку за короткий термін. Не ведіться на те, що багато продуктів і проектів рекламуються від відомого інфлюєнсера – це теж може бути обманом.

Шахрайський акаунт у Тік-Тоці
Так виглядає шахрайський профіль у Тік-Ток

2. Фішингові повідомлення

Фішингові листи також часто використовуються як метод для обману користувачів. Подібні листи виглядають цілком невимушено і нешкідливо. Але є один нюанс – мета цих листів полягає у тому, аби переконати користувача перейти за тим чи іншим посиланням чи вкладенням. В основному це пропозиції щодо того, як збільшити кількість підписників або як отримати значок верифікації.

Після того, як користувач відкриє подібне вкладення або посилання, він ризикує заразити свій ПК шкідливим програмним забезпеченням. Для крадіжки аккаунта, шахраї можуть надіслати посилання на сервер, який вкраде токен аутентифікації. Іншим варіантом подій є отримання запиту на введення своїх даних для входу в обліковий запис. Якщо користувач не використовує двофакторну аутентифікацію, то у хакерів ще більше шансів отримати доступ до всіх конфіденційних даних жертви.

Підроблений лист від ПейПал
Приклад фішингового листа, який маскується під сповіщення від ПейПал

3. Аккаунти ботів

Боти зараз поширилися на просторах багатьох соціальних мереж. Тік Ток – не виняток, тут боти поширюють неправдиву інформацію аби лише оволодіти конфіденційними даними, або ж для того, щоб поширити шкідливий контент. Таким чином користувач ризикує заразити свій смартфон або інший пристрій шкідливими програмами.

4. Шахрайські програми

Безкоштовні програми – завжди гарна приманка для користувачів. Тут шахраї пропонують встановити безкоштовно нібито зручні та корисні додатки. Але при переході на сайти для встановлення цих програм, користувач може отримати шкідливе ПЗ і втратити свої особисті дані. Тому краще завантажувати програми з перевірених джерел, таких як App Store або Google Play.

5. Підроблені акаунти знаменитостей

Деякі профілі є фейковими та видають себе за знаменитих особистостей. В основному їх контент – це все лише копіювання якогось офіційного профілю в ТікТоці або в іншій соціальній мережі. Їх метою є збільшення кількості підписників або зловмисні дії. Щоб не стати жертовою цієї шахрайської схеми, підписуйтесь тільки на верифіковані профілі.

Верифікований акаунт
“Галочка” верифікованого профілю підтверджує особу, що ним володіє

Як не стати жертвою поширених схем шахрайства у ТікТоці

Як і багато інших соціальних мереж, ТікТок не захищений від злому на сто відсотків. Однак ключовою вразливістю завжди був і залишається сам користувач, точніше, його неуважність та нехтування правилами кібербезпеки. Тому варто використовувати базові кроки та знання для того, щоб не стати жертвою шахраїв.

  • Використовуйте двофакторну аутентифікацію. Вона розрахована на те, щоб перевірити двічі особистість того, хто намагається ввійти в обліковий запис або в профіль тієї чи іншої соціальної мережі. Наприклад, користувач отримуватиме код на електронну пошту чи в текстовому повідомленні, щоб підтвердити вхід до облікового запису. Таким чином, у шахраїв менше шансів вкрасти вашу конфіденційну інформацію.
  • Створюйте надійний пароль. У цьому випадку важливо не використовувати прості і часто зламані паролі, такі як 1111, qwerty тощо. Найкраще створювати пароль з різних символів та літер верхнього та нижнього реєстру. Також не забудьте про те, що чотиризначний пароль легше зламати, ніж восьми-значний або десяти-значний.

Надійний пароль

  • Не зв’язуйся з обліковими записами, які публікують сумнівний контент. Якщо ви побачите подібне, скористайтесь кнопкою “Поскаржитися”. Таким чином ви збережете інших користувачів від, можливо, шахрайського профілю.

BlackCat оновила своє програмне забезпечення та змінила умови співпраці з іншими хакерами

Поява нових висококваліфікованих хакерів та нові можливості шкідливого ПЗ відкрили нові горизонти в світі кіберзлочинності.

Програма-вимагач BlackCat (ALPHV) оновила свій інструмент для крадіжки даних, що використовується для атак із подвійним вимаганням. Дослідники з компанії Symantec повідомляють, що інструмент Exmatter, який використовувався з моменту запуску BlackCat у серпні 2021 року, у серпні був оновлений та отримав наступні зміни:

  • Тепер ексфільтрація доступна тільки для розширень: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT та DWG;
  • Доданий FTP як опція ексфільтрації на додаток до SFTP та WebDav;
  • Додана можливість створити звіт зі списком всіх оброблених файлів;
  • Додана функція «Гумка», що дає можливість пошкоджувати оброблені файли;
  • Додано параметр конфігурації «Самознищення», щоб облишити систему та «видалити себе», якщо вхід виконано в неприпустимому середовищі
  • Видалена підтримка Socks5;
  • Додана можливість розгортання об’єкта групової політики GPO.

Також у Exmatter виявлено масштабний рефакторинг коду, через що виявлення шкідника ускладнене. Крім того, було виявлено, що BlackCat створила нове шкідливе програмне забезпечення «Eamfo», що пов’язане з обліковими даними, які зберігаються в резервних копіях розробника програмного забезпечення Veeam.

Eamfo підключається до бази даних Veeam SQL та зберігає облікові дані для резервної копії із SQL-запитом. Після вилучення облікових даних Eamfo розшифровує їх та в кінці сповіщує про цю дію жертву. За чутками, Eamfo використовувалося іншими угрупованнями, включаючи Monti, Yanluowang та LockBit.

Symantec також повідомляє, що оператори BlackCat скасовують співпрацю з афілійованими особами, які, на їхню думку, недостатньо продуктивні, так як працюють з менш ефективними RaaS-програмами. Це було реалізовано до притоку досвідчених зловмисників, що дозволило швидко реалізувати нові атаки в рамках нової кампанії.