Криптоскам в App Store, майнинг-ботнет на 1200 серверов и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

В «Яндексе» сообщили о результатах расследования утечки

Корпорация «Яндекс» после инцидента с публикацией в открытом доступе фрагментов программного кода провела масштабный аудит внутреннего репозитория. Он выявил случаи серьезного нарушения политик компании. 

В числе прочего в коде обнаружили контактные данные некоторых партнеров, в частности телефоны и номера водительских удостоверений таксистов. 

Логика работы ряда сервисов корректировалась не алгоритмическим способом, а «костылями». 

В сервисе «Яндекс Лавка» существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.

У отдельных групп пользователей в сервисах «Такси» и «Еды» была приоритетная поддержка.

Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но являлись оскорбительными для людей разных рас и национальностей.

Один из тестовых алгоритмов для улучшения качества активации ассистента позволял в случайный момент включать микрофон устройства на несколько секунд даже без упоминания «Алисы». Позднее в компании подчеркнули, что настройка работала только в бета-версии для разработчиков и не использовалась для прослушивания пользователей.

Согласно отчету, большинство выявленных проблем связаны с попытками вручную внести в сервис улучшение или устранить ошибку. 

«Яндекс» принес извинения всем, кого затронул инцидент.

Популярный криптовалютный скам обнаружили в App Store и Google Play

Мошенники использующие схему «разделка свиней» начали загружать фейковые приложения для торговли криптовалютами в магазины Apple и Google. Об этом сообщили специалисты компании Sophos.

For the last two years, we’ve been tracking and reporting on #CryptoRom scams that have led to millions of dollars in victim losses. Our senior threat researcher, @jag_chandra, shares how scammers have “vastly increased their potential victim pool”: https://t.co/flUjycsqEO pic.twitter.com/AdNGNBdKtk

— Sophos (@Sophos) February 1, 2023

Своих жертв злоумышленники ищут через Facebook или Tinder, используя фальшивые профили якобы успешных женщин с фотографиями из элитных ресторанов и дорогих магазинов. 

Мужчинам, которые начинают переписку с ними, они рассказывают о некоем ближайшем родственнике, занимающемся финансовым анализом и запускающим специальное приложение для трейдинга. На самом деле его интерфейс позволяет только вносить деньги, после чего счета блокируются мошенником. 

Аналитики обнаружили вредоносные программы под названиями Ace Pro и MBM_BitScan и BitScan. На момент написания они удалены из магазинов.

По данным Sophos, за одной из таких кампаний стоит китайская группировка ShaZhuPan­. Для обхода проверок безопасности в App Store операторы вредоноса отправляют в магазин приложение, подписанное действительным сертификатом. Однако после прохождения проверки разработчики меняют домен, подключаясь к вредоносному серверу.

Вредонос HeadCrab заразил 1200 серверов для майнинга Monero

Исследователи Aqua Security обнаружили вредоносное ПО, заражающее сервера Redis и объединяющее их в ботнет для майнинга криптовалюты Monero.

🚨 Aqua Nautilus researchers have discovered a new elusive and severe threat known as HeadCrab that has compromised a large number of Redis servers.

📖 on for details of the attack and steps organizations can take to safeguard their systems.https://t.co/9pIVpyH6ZD pic.twitter.com/ucn8xqyeER

— Aqua Security (@AquaSecTeam) February 1, 2023

По их данным, с сентября 2021 года HeadCrab захватил не менее 1200 таких серверов.

Операторы ботнета пользуются тем, что на серверах Redis по умолчанию не включена аутентификация, поскольку они предназначены для использования во внутренних корпоративных сетях.

Вредонос умеет обходить сканирование на наличие вредоносных программ и взаимодействует с легальными IP-адресами, что затрудняет его обнаружение. С этой же целью хакеры в основном используют майнинговые пулы, размещенные на ранее скомпрометированных серверах.

Связанный с этим ботнетом кошелек Monero показал, что злоумышленники получают годовую прибыль предположительно в размере около $4500 на одного работника.

Эксперты сообщили об атаках вредоноса во время бесконтактных платежей

Малварь Prilex научилась блокировать бесконтактные транзакции с использованием NFC, вынуждая потребителей вставлять банковские карты в терминал и таким образом похищая их данные. Об этом сообщили эксперты «Лаборатории Касперского». 

CONTACTLESS PAYMENT ISN’T WORKING?

The new version of #Prilex #malware, used to attack POS terminals, now can block NFC transactions.

How to stay safe? 👉 https://t.co/05E0fMkEiO pic.twitter.com/2c7xrKSSAd

— Eugene Kaspersky (@e_kaspersky) February 2, 2023

Для заражения PoS-терминалов злоумышленники используют методы социальной инженерии. Как правило, они пытаются убедить сотрудников торговой точки, что им нужно обновить ПО терминала. После чего присылают своего «технического специалиста» непосредственно в магазин или организовывает ему удаленный доступ через программу AnyDesk.

В дальнейшем атакованный терминал отображает ошибку и вынуждает жертву вставить карту в устройство, с которой злоумышленник перехватывает данные.

По словам экспертов, операторы малвари одними из первых научились клонировать транзакции по кредитным картам, даже защищенным чипом и PIN-кодом.

Аналитики подсчитали ущерб от 10 крупнейших атак биткоин-вымогателей 

Начиная с 2020 года, 10 крупнейших атак криптовалютных вымогателей принесли им более $69,3 млн в биткоинах, подсчитали в компании Immunefi.

Самой крупной транзакцией стал платеж в размере $40 млн, сделанный чикагской страховой компанией CNA Financial в пользу операторов Phoenix CryptoLocker — 57,7% от общей суммы.

Также в топ-10 вошли JBS, CWT, Brenntag, Colonial Pipeline, Travelex, UCSF, BRB Bank, округ Джексон и Маастрихтский университет. Они заплатили злоумышленникам от $218 000 до $11 млн.

Все платежи производились в биткоинах со штаммами программ-вымогателей из РФ, Восточной Европы и Ирана. Чаще других использовались REvil/Sodinokibi и Darkside.

За 2022 год в сеть утекли 1,4 млрд строк из баз российских компаний

Специалисты Group-IB подсчитали, что в 2022 году в публичный доступ были выложены 311 баз данных российских компаний. Общее количество строк, содержащихся во всех опубликованных сливах, превысило 1,4 млрд.

Жертвами злоумышленников становились промышленные, финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, развлекательные и образовательные порталы, рестораны, соцсети, а также медучреждения.

Актуальность большинства опубликованных баз приходится на 2022 год, большая часть из них включает имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти пароли, паспортные данные, подробности заказов и другую чувствительную информацию. 

Также на ForkLog:

• DeFi-проект Orion Protocol взломали на $3 млн.
• СМИ сообщили о популярных схемах обмана россиян при обмене биткоина.
• BonqDAO и AllianceBlock пострадали от взлома на $89 млн.
• СМИ сообщили об аресте владельца Bithumb.
• В США организатор схемы криптомошенничества на $7,6 млн получил более 8 лет тюрьмы.
• Отчет: совокупные потери пользователей и инвесторов в 2022 году превысили $63,9 млрд.
• Соучредитель Bitzlato назвал объем арестованных средств и объявил о перезапуске.
• Предложения по запрету компьютерных игр в РФ опубликовали в сети.
• Эксперты CertiK вычислили предполагаемого автора фишинговой схемы Monkey Drainer.
• Глава SEC назвал три способа определения мошеннических криптопроектов.

Что почитать на выходных?

Интервью Forklog с «Лабораторией Касперского» о том, как блокчейн меняет сферу кибербезопасности.