Ликвидация Jewelry Team, массовые утечки в РФ и другие события кибербезопасности

Cybersec_Digest_1
Cybersec_Digest_1

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • МВД при поддержке F.A.С.С.T. ликвидировало группировку Jewelry Team.
  • Неизвестные слили данные клиентов ряда крупных магазинов в РФ.
  • В модах для Minecraft обнаружили малварь Fracturiser.
  • Исследователи создали робота для извлечения содержимого RAM.

МВД при поддержке F.A.С.С.T. ликвидировало группировку Jewelry Team

Эксперты ИБ-компании F.A.С.С.T. (бывшая Group-IB) вычислили группу мошенников Jewelry Team, которая похищала деньги россиян через популярный сервис поиска попутчиков BlaBlaCar.

По данным следствия, начиная с сентября 2021 года, участники группировки размещали фейковые объявления от имени водителей. В дальнейшем общение с пользователями переводилось в мессенджер, где им скидывали ссылки на фишинговый ресурс якобы для осуществления предоплаты. 

В результате мошенники получали не только «задаток» в размере от 500 до 1500 рублей, но и данные банковских карт. У одного из пользователей группировка пыталась вывести более 3 млн рублей, однако банк заблокировал этот перевод.

Исследователи предположили, что Jewelry Team создали в январе 2021 года выходцы из скам-команды HAUNTED FAMILY, либо же она была ее самостоятельным подразделением.

blabla-min
Данные: F.A.С.С.T. 

В общей сложности F.A.С.С.T. обнаружила три десятка фишинговых сайтов, созданных для получения предоплаты.

МВД сообщило о ликвидации группировки в мае. Открыто уголовное производство по факту хищения денежных средств. Предполагаемый лидер Jewelry Team отправлен под домашний арест, один из его сообщников находится под подпиской о невыезде, другой — в СИЗО.

Неизвестные слили данные клиентов ряда крупных магазинов в РФ

В течение недели в открытом доступе появились данные пользователей нескольких крупных российских магазинов. Об этом сообщил Telegram-канал «Утечки информации».

Первыми в сеть утекли базы торговых сетей «Ашан» и «Твой Дом» на 7,8 млн и более 713 000 строк соответственно.

first2023-06-09-21.37.55
Данные: Telegram-канал «Утечки информации».

Затем злоумышленники слили дампы с данными клиентов сети магазинов одежды Gloria Jeans, магазина матрасов «Аскона» и книжного интернет-магазина book24.ru на 2-4 млн строк.

Позднее они выложили базы книжного интернет-магазина «Буквоед» (6,8 млн строк), интернет-магазина одежды «ТВОЕ» (2,2 млн строк), интернет-магазина «Леруа Мерлен» (5,1 млн строк) и сайта кулинарных рецептов «Едим Дома» (более 535 000 строк).

В большинстве слитых файлов присутствовали:

  • имя/фамилия;
  • логин;
  • телефон;
  • email-адрес;
  • хешированные пароли;
  • пол;
  • дата рождения;
  • номер карты постоянного покупателя;
  • адрес доставки или самовывоза;
  • IP-адрес;
  • дата создания учетной записи и последнего входа в систему.

Ряд компаний, включая «Ашан», Gloria Jeans, «Эксмо-АСТ» (Book24) и «Аскона», подтвердил инцидент и начал внутреннее расследование.

Предположительно информацию слили злоумышленники, ответственные за утечку «Сбера» и других российских компаний.

В ближайшее время они обещали обнародовать новые данные.

В модах для Minecraft обнаружили малварь Fracturiser

В ряде модов для игры Minecraft найдена самораспространяющаяся малварь Fracturiser, атакующая системы под управлением Windows и Linux. Об этом сообщили представители платформы CurseForge.

Именно на ней, согласно первоначальной версии, размещались скомпрометированные учетные записи разработчиков. Также от атаки пострадал сайт Bukkit.org. В свою очередь создатели утилиты Prism Launcher предположили, что речь идет об эксплуатации уязвимости в платформе Overwolf.

Некоторые из вредоносных копий внедрены в популярные модпаки, включая Better Minecraft более чем с 4,6 млн загрузок. 

Первая информация о заражении плагинов и модов появилась еще в середине апреля.

windows-shortcut
Ярлык Windows, созданный Fractureiser. Данные: Bleeping Computer.

Малварь Fracturiser способна:

  • распространяться на все файлы JAR в системе для заражения других модов, загруженных не с CurseForge или BukkitDev;
  • похищать файлы cookie и информацию для входа в ряд браузеров;
  • подменять криптовалютные адреса в буфере обмена на кошельки хакеров;
  • похищать учетные данные Discord, Microsoft и Minecraft.

Представители CurseForge заблокировали все учетные записи, имеющие отношение к атакам. При этом они подчеркнули, что ни один из их администраторов не был взломан.

Пользователей призвали немедленно прекратить загрузку и обновление модов для игры, а также сменить пароли от всех учетных записей. 

Для облегчения поиска индикаторов компрометации расследователи инцидента опубликовали скрипты. CurseForge выпустила руководство по ликвидации заражения.

Исследователи создали робота для извлечения содержимого RAM

Сотрудники Red Balloon Security Анг Цуй и Юаньчжэ Ву представили криомеханического робота, способного извлекать содержимое оперативной памяти DDR3 с помощью низкой температуры.

Такая атака носит название Cold Boot Attack и достигается благодаря эффекту сохранения данных в динамической и статической оперативной памяти после выключения питания.

Устройство стоимостью менее $1000 буквально замораживает одну микросхему оперативной памяти. Чтобы считать данные, извлеченную физическую память помещают в FPGA.

image_oE9R1mc
Данные: REcon.

«При таком подходе вы получаете код, все данные, стек и всю физическую память», — рассказали разработчики.

Исследователи полагают, что в случае использования более дорогой платформы для считывания памяти на основе FPGA (стоимостью порядка $10 000) их метод применим к сложным атакам на DDR4 и DDR5.

Противостоять Cold Boot Attack можно с помощью шифрования физической памяти.

В Twitter назвали нового вероятного руководителя BreachForums 

До конца июня хакерский форум BreachForums, закрытый спецслужбами США в марте, может возобновить работу под руководством хак-группы ShinyHunters. Об этом заявили в сообществе Vx-underground без указания источника информации.

ShinyHunters известна с 2020 года и отметилась организацией резонансных утечек из T-Mobile и AT&T с убытками в десятки миллионов долларов.

Летом 2022 года силовики арестовали одного из участников группировки, француза Себастьяна Рауля. Позднее двух его сообщников задержали в Марокко. На текущий момент все они экстрадированы в США, где ожидают суда.

По мнению экспертов, за возобновлением работы BreachForums могут стоять американские спецслужбы. 

Злоумышленники создали Telegram-бот для заработка на фейковом поиске интимных фотографий

Эксперты «Лаборатории Касперского» обнаружили в Telegram чат-бот, который якобы основан на коде ChatGPT 4.0 и позволяет находить слитые интимные фотографии.

Пользователям предлагают проверить романтических партнеров, прислав ссылку на их профиль в социальных сетях или номер телефона. 

Затем сервис имитирует процесс поиска и сообщает об «обнаружении страницы в базе». Последняя, по словам авторов бота, состоит более чем из 10 млн фото и видео.

По итогу заказчик получает скриншоты со скрытым изображением и предполагаемой датой слива материалов. 

chatgpt-telegram-nudes-scam-05
Данные: «Лаборатория Касперского».

За разовое снятие блюра авторы бота требуют заплатить 399 рублей, за безлимитный доступ к базе — 990 рублей. Однако по факту пользователь просто теряет деньги и не получает никаких фото.

Также на ForkLog:

Что почитать на выходных?

Разбираем, чем чревато для Binance оказание услуг пользователям из России. 

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK