Банковский вредонос из Telegram, потеря криптовалют на $5,6 млрд и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

В Telegram отследили вредонос для кражи банковской информации

Исследователи Group-IB сообщили о новом Android-вредоносе Ajina.Banker, ворующем финансовые данные под видом легитимных банковских приложений и платежных систем.

Угроза активна с ноября 2023 года и распространяется через рассылки в Telegram. Она использует мессенджер для обхода двухфакторной аутентификации.

Попав на компьютер жертвы и запросив необходимые разрешения, Ajina.Banker собирает информацию о SIM-карте, установленных финансовых приложениях и SMS. Вредонос также поддерживает фишинговые страницы для сбора банковских сведений.

Текущая кампания нацелена на пользователей из Армении, Азербайджана, Исландии, Казахстана, Кыргызстана, Пакистана, РФ, Таджикистана, Украины и Узбекистана.

По словам экспертов, стилер находится в процессе активной разработки.

Потери от биткоин-мошенничества превысили $5,6 млрд в 2023 году

За 2023 год ФБР получило 69 468 жалоб на мошенничество с криптовалютами с совокупным ущербом свыше $5,6 млрд. По сравнению с 2022 годом финансовые потери выросли на 45%.

Наибольшее число жалоб подали люди старше 60 лет, а основным типом преступлений стали инвестиционные пирамиды. Среди других популярных схем:

• мошенничество с техподдержкой;
• утечка персональных данных;
• вымогательство;
• романтические аферы;
• обман под видом представителя правительства.

Подавляющее большинство заявленных убытков понесли граждане США — $4,8 млрд, Каймановых островов — $196 млн и Мексики — $127 млн.

Свыше 50% атак на macOS за полгода пришлись на один криптостилер

Исследователи Sophos X-Ops описали новый вредонос Atomic macOS Stealer (AMOS), на который за последние шесть месяцев пришлось более половины всех атак в отношении macOS.

Стилер распространяется посредством фишинга, вредоносной рекламы и SEO-оптимизации. Он способен имитировать легитимные приложения — Trello, браузер Arc, Slack, Todoist и Clean My Mac X.

Целями AMOS являются файлы cookie, аутентификационные данные, формы автозаполнения и содержимое криптокошельков, включая Electrum, Binance, Exodus, Atomic Wallet и Coinomi. Часть собранной информации реализуется другим киберпреступникам для последующей эксплуатации. 

Малварь появилась в апреле 2023 года и на текущий момент ее стоимость составляет $3000 в месяц. Эксперты полагают, что в будущем атаки распространятся и на iOS.

В Сингапуре задержали предполагаемых членов киберпреступного синдиката

9 сентября полиция Сингапура арестовала шестерых граждан Китая и одного местного жителя по подозрению в проведении вредоносных атак в составе «глобального преступного синдиката».

В ходе рейда у задержанных изъяли электронные устройства с установленными программами для управления вредоносным ПО, в частности бэкдором PlugX, а также $1,39 млн наличными и в криптовалютах. 

Расследование продолжается.

В конфиденциальной функции WhatsApp нашли серьезную уязвимость

Функция однократного просмотра сообщений View Once в мессенджере WhatsApp содержит уязвимость, которая позволяет сохранять и распространять полученные медиафайлы. На это обратили внимание разработчики криптокошелька Zengo.

Несмотря на то, что функция не поддерживается веб-версиями приложения, API-сервер WhatsApp в течение трех лет не обеспечивал должной реализации этих ограничений. Сообщения отправлялись одновременно на все устройства получателя. При установке флага «view once» на false медиафайлы становились доступными для загрузки и пересылки.

Некоторые версии сообщений содержат низкокачественный предварительный просмотр. Выяснилось также, что медиафайлы не удаляются немедленно с сервера WhatsApp после загрузки, а хранятся там на протяжении двух недель.

Помимо этого исследователи обнаружили на GitHub образцы кода в виде расширения для Chrome и модифицированного клиента под Android с эксплойтом уязвимости. 

WhatsApp работает над решением проблемы.

Ученые использовали создаваемый пикселями экрана шум для утечки данных

Исследователи из Университета Бен-Гуриона представили новую атаку PIXHELL, которая задействует создаваемый пикселями ЖК-экрана шум в качестве канала утечки информации из защищенных систем.

Шпионский вредонос генерирует битовую карту. За счет вибрации катушек и конденсаторов в мониторах она производит акустические сигналы в диапазоне частот от 0 до 22 кГц. С их помощью можно кодировать и передавать конфиденциальную информацию. 

Текстовые и двоичные данные могут быть извлечены из изолированных от воздуха и звука компьютеров на расстоянии двух метров.

Также на ForkLog:

• Telegram начал оперативно отвечать на запросы властей в ЕС.
• Власти Нигерии заморозили $330 000 на банковских счетах клиентов биткоин-бирж.
• Эксперты сообщили о взломе Indodax на $22 млн.
• СМИ: топ-менеджера ряда украинских криптобирж заподозрили в хищении 1 млрд гривен.
• CertiK: криптомошенники обойдут FaceID с помощью дипфейков.
• Организаторы хакатона DemHack открыли прием заявок.
• Запрет «Яндекса» на рекламу криптовалют спровоцировал волну скама.
• Tether, TRON и TRM Labs займутся пресечением незаконной деятельности с USDT.
• Сингапур начал расследование о продаже счетов Worldcoin. Проведены аресты.
• Слитое видео Chainalysis раскрыло способ отслеживания XMR.
• НБУ призвал банки совместно мониторить P2P-переводы клиентов.
• Экс-CEO Revelo Intel перевел вымогателям деньги компании.
• Создателя ИИ-музыки обвинили в мошенничестве на $10 млн.

Что почитать на выходных?

Рассказываем, кто такой Тигран Гамбарян и какие последствия для крипторынка несет его арест.