Малварь для Binance, слежка в Telegram и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Турецкие хакеры создали малварь для атаки на Binance и MetaMask

Исследователи Cleafy обнаружили Android-малварь DroidBot, способную похищать данные из 77 криптовалютных и банковских приложений. В числе целей:

• биржи Binance, KuCoin, Kraken;
• кошелек MetaMask;
• банкинг-сервисы BBVA, Unicredit, Santander, BNP Paribas и Credit Agricole.

Разработанный турецкими хакерами троян маскируется под Google Chrome, Google Play Store или Android Security. Функционал включает кейлоггинг, overlaying, перехват SMS, а также модуль VNC для удаленного контроля зараженного устройства.

Ключевым аспектом работы DroidBot является злоупотребление службами доступности Android для мониторинга действий пользователя и имитации свайпов и нажатий от имени вредоносного ПО.

Малварь активна с июня 2024 года и за $3000 в месяц предоставляет билдеры сторонним операторам с возможностью настройки под конкретные цели.

Анализ одной из бот-сетей выявил 776 уникальных заражений в Великобритании, Италии, Франции, Турции, Португалии и Германии. 

Вредонос находится на стадии интенсивной разработки и расширения географии атак.

Telegram применит инструменты IWF в борьбе с детской порнографией

Британский фонд Internet Watch Foundation (IWF) в рамках соглашения предоставит мессенджеру Telegram инструменты для превентивного обнаружения и удаления изображений сексуального насилия над детьми.

.@telegram joins the IWF in cracking down on child sexual abuse imagery on the platform.

Telegram will deploy new tools to proactively prevent child sexual abuse imagery from being spread in public parts of its platform.https://t.co/wGEjzGFsee

— Internet Watch Foundation (IWF) (@IWFhotline) December 4, 2024

В частности речь идет о базах данных организации и сервисе по сбору «хешей» — уникальных цифровых отпечатков известных изображений и видеороликов на противоправную тематику. Кроме того, IWF будет напрямую сообщать в Telegram об обнаружении в общедоступных частях платформы преступного контента, в том числе созданного с помощью ИИ.

Фонд борется с распространением изображений сексуального насилия над детьми в сети посредством партнерств с правоохранителями, правительством, общественностью и интернет-компаниями по всему миру. Организацию часто критикуют за создание чрезмерного количества ложных жалоб, секретность действий и неэффективные технические решения. 

Фейковое ПО для созвонов опустошило кошельки Web3-специалистов

Исследователи Cado Security Labs нашли вредонос Meeten для кражи криптовалют, маскирующийся под приложение для проведения конференций. Атаки нацелены на работников Web3-сегмента.

Cado Security Labs has discovered a new malware campaign targeting Web3 workers with a sophisticated scam using AI-generated content to appear legitimate.

Read more in our latest blog post: https://t.co/Pj8Y82kaKY

— Cado (@CadoSecurity) December 6, 2024

Кампания стартовала в сентябре 2024 года. Брендовое название фейкового приложения неоднократно менялось, однако для каждого хакеры создавали официальные сайты и аккаунты в соцсетях и заполняли их контентом, созданным ИИ. 

Вредонос имеет Windows- и macOS-версии. Попав на компьютер, он передает хакерам:

• учетные данные Telegram;
• реквизиты банковской карты;
• файлы cookie, историю и данные автозаполнения из браузеров Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc и Vivaldi;
• информацию о кошельках Ledger, Trezor, Phantom и Binance;
• системные сведения.

При этом сайты оснащены скриптом, запрашивающим подключение криптокошелька, поэтому кражу активов могут осуществить до фактического скачивания ПО.

Германия закрыла два даркнет-маркетплейса и защищенный мессенджер

Власти Германии отключили серверы крупнейшего в стране даркнет-маркетплейса Crimenetwork и арестовали его технического администратора. С 2012 года площадка вела торговлю крадеными данными, наркотиками и поддельными документами. На ней были зарегистрированы более 100 000 пользователей и свыше сотни продавцов.

По подсчетам правоохранителей, с 2018 по 2024 годы объем транзакций на Crimenetwork превысил 1000 BTC и 20 000 Monero (€93 млн или ~$98 млн на момент написания). Комиссионная прибыль операторов составила не менее $5 млн.

29-летний админ Crimenetwork арестован, ему предъявлены обвинения в управлении преступной платформой и торговле наркотиками. Правоохранители изъяли элитные автомобили и арестовали криптовалюты стоимостью около €1 млн.

Помимо этого в Германии пресечена деятельность даркнет-маркетплейса Manson Market, продававшего краденые учетные и платежные данные, а также личную информацию. Эти сведения злоумышленники получали посредством сети фишинговых онлайн-магазинов. Не менее 57 жертв понесли убытки, превышающие €250 000. 

Cybercrime network dismantled in 🇩🇪🇦🇹🇳🇱🇫🇮!

💾 50+ servers seized
📂 200 terabytes of digital evidence secured
👥 2 suspects arrested

An effort coordinated by Europol.

🔗 https://t.co/aqfi2tPOCg pic.twitter.com/Stigwn0Tiz

— Europol (@Europol) December 5, 2024

Следственная группа изъяла 50 серверов и более 200 ТБ документов с доказательствами преступной деятельности. Конфискованы свыше 80 устройств хранения данных, мобильных телефонов, компьютеров, а также наличные и криптовалюты на сумму €63 000. Двое предполагаемых операторов Manson Market арестованы в Германии и Австрии. 

Еще одна операция при координации Европола привела к закрытию зашифрованной платформы обмена сообщениями Matrix. С ее помощью не менее 8000 пользователей на 33 языках координировали незаконную деятельность по всему миру. Сервис позволял совершать зашифрованные видеозвонки, отслеживать транзакции и анонимно просматривать сайты.

Отключены 40 серверов во Франции и Германии, а также арестованы пять подозреваемых в Испании и Франции. Один из них, 52-летний гражданин Литвы, предположительно является владельцем и основным оператором Matrix.

Власти изъяли 970 зашифрованных телефонов, €145 000 ($152 500) наличными, €500 000 ($525 000) в криптовалютах и четыре транспортных средства.

CP3O признал вину в нелегальной добыче криптовалют на $1 млн

Житель штата Небраска Чарльз О. Паркс III, известный под ником CP3O, признался в том, что использовал сервисы облачных вычислений для майнинга криптовалют. В пресс-релизе пострадавшие компании не называются, но речь предположительно идет об Amazon и Microsoft.

Согласно материалам дела, с января по август 2021 года CP3O с различных аккаунтов добыл Ethereum, Litecoin и Monero совокупной стоимостью около $970 000. Счет за услуги провайдеров на $3,5 млн он не оплатил.

Паркса арестовали в апреле. Ему грозит до 20 лет тюрьмы. 

Жителя Небраски обвинили в криптоджекинге на $1 млн

В США арестован подросток, подозреваемый во взломе клиентов Gemini и KuCoin

Власти США арестовали 19-летнего Ремингтона Гоя Оглтри, связанного с киберпреступной группировкой Scattered Spider. Его обвиняют во взломе американского финансового учреждения и двух неназванных телекоммуникационных компаний.

По версии следствия, хакер, известный под ником remi, взламывал внутренние сети посредством фишинга сотрудников целевых организаций. Под видом предоставления льгот, изменения графика работы или запроса из отдела кадров он вынуждал их заходить на вредоносные сайты и вводить логины и пароли от служебных компьютеров. 

С октября 2023 по май 2024 года Оглтри после получения доступа к системам телекоммуникаций отправил более 8,6 млн фишинговых SMS для кражи криптовалют получателей. Некоторые из этих атак были нацелены на клиентов бирж Gemini и KuCoin.

При обыске в доме хакера на его iPhone найдены скриншоты фишинговых сообщений, страниц по сбору учетных данных и криптокошельков с десятками тысяч долларов в цифровых валютах.

USDT по промокоду, следы королевы OneCoin в ЮАР и другие события кибербезопасности

Программист заподозрил ФСБ РФ в установке шпионского ПО на его телефон 

Специалисты Citizen Lab изучили мобильный телефон российского программиста, который у него изымали сотрудники ФСБ в ходе ареста на 15 суток, и обнаружили на нем тайно установленное шпионское ПО. Вредонос выдавал себя за легальное Android-приложение Cube Call Recorder.

Read our new report: "Something to Remember Us By: Device Confiscated by Russian Authorities Returned With Monokle-type Spyware Installed"

✍️ by @cooperq, @PDXbek, and @jsrailtonhttps://t.co/XPkogcCndq https://t.co/U6pT0t9xiq pic.twitter.com/1BfvAo2woJ

— The Citizen Lab (@citizenlab) December 5, 2024

Программа имела неограниченный доступ к устройству за счет широкого спектра разрешений. Среди ее функций:

• отслеживание местоположения в режиме ожидания;
• доступ к SMS, списку контактов, записям календаря и переписке в месенджерах;
• запись телефонных звонков, действий на экране и видео через камеру;
• извлечение сообщений, файлов и паролей, в том числе с помощью кейлоггинга;
• выполнение команд оболочки, расшифровка данных и установка пакетов APK.

По мнению Citizen Lab, вредонос является новой версией шпионского ПО Monokle, разработанного сотрудниками ООО «Специальный технологический центр» из Санкт-Петербурга.

Также на ForkLog:

• Разработчиков токена героини мема Hawk Tuah заподозрили в экзит-скаме.
• Полиция Польши объяснила претензии к бывшему главе WEX Дмитрию Васильеву.
• OpenAI представила Pro-версию o1 за $200 в месяц. Исследователи заподозрили ее в обмане людей.
• Garantex, Russia Today, Ryuk: Великобритания закрыла российскую сеть по отмыванию криптовалют.
• Хакеры атаковали Solana-разработчиков через подмену библиотеки JavaScript.
• Криптокошелек Phantom «освободил» пользователей от сид-фраз.
• Икона корпоративного мошенничества Enron «воскресла», сообщество заинтересовали токены.
• Экс-CEO Celsius признал вину по двум обвинениям из семи.
• Доля пострадавших от «сэндвич-ботов» блоков BNB Chain установила рекорд.
• МВД РФ раскрыло схему с фальшивыми криптоматами.
• Основателя Hydra приговорили к пожизненному сроку в РФ.

Что почитать на выходных?

Рассказываем, какими бывают криптовалютные пирамиды и чем они привлекают людей.

Мы можем масштабировать. Как финансовые пирамиды стали «крипто»