Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

ForkLog — культовый журнал о биткоине, технологии блокчейн и цифровой экономике. Ежедневно поставляем новости и аналитику по рынку криптовалют с 2014 года.Все опубликованные материалы принадлежат ForkLog. Вы можете перепечатывать наши материалы только после согласования с редакцией и с указанием активной ссылки на ForkLog.

GPS-деанон, чат-бот с перепиской хакеров и другие события кибербезопасности

cryptocurrency security 3
cryptocurrency security 3

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Слитую переписку группировки Black Basta «скормили» ChatGPT.
  • Утечка брокера данных Gravy Analytics привела к деанону пользователей.
  • Украинские хакеры заявили о взломе CarMoney.

Слитую переписку группировки Black Basta «скормили» ChatGPT 

11 февраля неизвестный инсайдер опубликовал в открытом доступе архив внутренних чатов группировки вымогателей Black Basta из приложения Matrix. На это обратили внимание исследователи киберугроз PRODAFT.

Переписка охватывает период с сентября 2023 по сентябрь 2024 года. Она содержит адреса криптокошельков, учетные записи жертв, описание фишинговых схем и тактик взломов. 

Кроме того, в ней раскрыты личности некоторых членов группировки: в частности, предположительного лидера банды Олега Нефедова (псевдонимы GG, AA, «Трамп») и двух вероятных администраторов под никами Lapa и YY.

Компания Hudson Rock передала более миллиона полученных внутренних сообщений чат-боту ChatGPT и запустила открытый BlackBastaGPT для их анализа.

По мнению экспертов, слив мог стать результатом внутренних разборок группировки. 

Утечка брокера данных Gravy Analytics привела к деанону пользователей

Январский взлом американской фирмы по отслеживанию местоположения Gravy Analytics привел к крупной утечке данных пользователей по всему миру — от РФ до США. Брокер перепродавал сведения о геолокации, собранные тысячами мобильных приложений.

Утекшая база данных связана с рекламными идентификаторами IDFA для iOS и AAID для Android-устройств, что нередко позволяет отслеживать перемещения людей, а в ряде случаев даже деанонимизировать их. 

Исследователь Баптист Роберт в ходе эксперимента изучил траекторию движения одного из пользователей от знаковой площади Колумбус-Серкл на Манхэттене в Нью-Йорке до его дома в Теннесси, а на следующий день до места жительства его родителей. Основываясь исключительно на данных OSINT, исследователь узнал множество информации об этом человеке, включая имя его матери и тот факт, что его покойный отец был ветераном ВВС США.

Утечка Gravy Analytics подняла вопрос о серьезных рисках индустрии брокеров данных.

Пользователей Signal атаковали через привязку устройств

В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются скомпрометировать учетные записи Signal посредством злоупотребления функцией привязки устройств. Потенциальных жертв обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с девайсом злоумышленника.

GPS-деанон, чат-бот с перепиской хакеров и другие события кибербезопасности
Вредоносный QR-код. Данные: Google Threat Intelligence Group.

Для целенаправленных атак фишинговые ссылки маскируют под приглашения в группу Signal или под инструкции по сопряжению устройств с легитимного сайта. 

Новый метод атаки опасен тем, что не требует полного взлома оборудования для отслеживания защищенных разговоров жертвы.

Пользователям Signal рекомендуется обновить приложение до последней версии, которая включает улучшенную защиту от фишинговых атак, обнаруженных Google.

Эксперты нашли новую малварь из КНДР для подмены криптокошельков

Северокорейские хакеры Lazarus использовали ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на блокчейн-разработчиков. Об этом заявили специалисты SecurityScorecard.

100x

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Вредонос встраивается в сайты или пакеты npm, связанные с различными криптовалютными проектами. Попав на устройство жертвы, он ищет в каталогах Chromium-браузеров расширения кошельков MetaMask, Exodus и Atomic Wallet, после чего меняет их настройки.

Впервые Marstech1 заметили в 2024 году. Его жертвами уже стали не менее 233 человек из США, стран Европы и Азии.

Исследователи отследили вредонос до публичного репозитория на GitHub, созданного ныне заблокированным профилем SuccessFriend.

Украинские хакеры заявили о взломе CarMoney

Хакеры «Украинского киберальянса» сообщили о взломе инфраструктуры российской микрофинансовой компании CarMoney и получении доступа к данным о большом количестве заемщиков организации. Среди них — подразделения ГРУ, ФСБ и воинские части.

В качестве подтверждения группировка опубликовала в том числе два заявления на заем на имена военнослужащих Дмитрия Соловьева и Максима Вагина. 

Telegram-канал «Агентство» изучил утечки и обнаружил информацию о людях с аналогичными ФИО, датами и местами рождения. Однако СМИ не смогло независимо проверить информацию, представленную хакерами.

Пресс-служба CarMoney на странице во «ВКонтакте» сообщила, что взлому подвергся «один из старых сайтов компании», а персональные данные клиентов и инвесторов не пострадали. Тем не менее «для предотвращения последствий» специалисты отключили все системы на время проведения мониторинга.

Основателем сервиса кредитования CarMoney является Эдуард Гуринович, называющий себя эксклюзивным партнером игры Hamster Kombat в РФ. Журналисты со ссылкой на издание «Собеседник» также напомнили, что доля в CarMoney принадлежит бывшей жене президента Владимира Путина Людмиле.

На Новый год россияне подверглись масштабному заражению криптомайнером

Специалисты «Лаборатории Касперского» обнаружили, что 31 декабря 2024 года киберпреступники запустили кампанию массового заражения криптомайнером XMRig посредством троянизированных версий популярных игр на торрент-сайтах. Атака StaryDobry длилась на протяжении месяца.

Вредоносные релизы игр BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy злоумышленники создали заранее и загрузили на торрент-трекеры примерно в сентябре 2024 года. Среди скомпрометированных установщиков были популярные симуляторы и игры-песочницы, требующие минимального дискового пространства.

Криптомайнер после установки проверял количество ядер процессора и не запускался, если их оказывалось меньше восьми. Также злоумышленники разместили сервер майнингового пула в собственной инфраструктуре вместо публичной, что затруднило отслеживание их доходов.

Кампания затронула отдельных лиц и предприятия по всему миру, в том числе в РФ, Бразилии, Германии, Беларуси и Казахстане.

Также на ForkLog:

Что почитать на выходных?

Разбираемся, кто в действительности стоит за серией «президентских» мем-токенов.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK