Охота на «Мамонта» в Telegram, бой с инфостилерами и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Помогавшие в краже криптовалют инфостилеры RedLine и META остановили работу

28 октября международная коалиция правоохранителей пресекла деятельность инфостилеров RedLine и META, жертвами которых стали миллионы пользователей по всему миру. Более 1200 серверов работали с вредоносным ПО, похищая различные персональные данные с зараженных устройств. Полученная информация затем продавалась в даркнете и применялась для кражи денег, криптовалют и дальнейших хакерских атак.

🌐 Infostealers #Redline & #META taken down by international coalition.

🇳🇱 🇺🇸 🇧🇪 🇵🇹 🇬🇧 🇦🇺

⚠️ The malware targeted millions of victims worldwide and was used to steal personal data, including usernames and passwords, addresses, phone numbers and more.

👉 https://t.co/Z0AZLiXGOU pic.twitter.com/4hYKTeCgrA

— Eurojust (@Eurojust) October 29, 2024

В Нидерландах отключены три сервера и арестованы два домена, в Бельгии задержаны два человека. США выдвинули обвинения против предполагаемого разработчика и администратора RedLine, россиянина Максима Рудометова. За мошенничество с устройствами доступа, сговор с целью кибератак и отмывание денег ему грозит в совокупности до 35 лет тюрьмы.

Власти также извлекли информацию о клиентах RedLine и META, включая IP-адреса, временные метки активности и указанные при регистрации сведения. Расследование продолжается.

В Telegram сократилось количество мошеннических групп

В конце сентября – начале октября некоторые мошеннические группы стали отказываться от взаимодействия в Telegram, после начала более плотного сотрудничества мессенджера с властями по обмену данными о правонарушителях. На это обратили внимание специалисты компании F.A.C.C.T.

Компания F.A.C.C.T. сообщает о росте активности киберпреступников, работающих по схеме «Мамонт». В Telegram, напротив, сейчас наблюдается спад

Детали: https://t.co/SPZXv3c3NH pic.twitter.com/FP8EVcQoo8

— F.A.C.C.T. (@F_A_C_C_T_) November 1, 2024

Обновление Политики конфиденциальности привело к тому, что работающая по схеме «Мамонт» группа с более чем 10 000 подписчиков объявила о полном переходе на собственную платформу и запуске анонимного onion-сайта.

За четыре недели доходы 70% аналогичных мошеннических групп сократились в среднем на 22% — с 58 млн до 45 млн рублей. Дополнительные сложности у злоумышленников возникли из-за блокировки счетов торговым ботом Crypto Bot, использовавшимся ими для вывода криминальных средств.

Троян FakeCall научился перехватывать звонки в банк

Исследователи Zimperium сообщили об усовершенствованной версии Android-трояна FakeCall, способного перехватывать звонки пользователя в банк и перенаправлять их на номер злоумышленника. Конечной целью является кража конфиденциальной информации и денег со счетов пользователей.

Our #zLabs team uncovered advanced FakeCall malware using voice phishing (vishing) 📞 to hijack calls and steal sensitive data.

Don’t let vishing compromise your business.

Learn how Zimperium’s MTD protects your enterprise in real-time: https://t.co/CPIBwQ4jiO pic.twitter.com/X1JMurrzdD

— Zimperium (@Zimperium) October 31, 2024

Впервые вредонос заметили в апреле 2022 года. В 2023 он научился мимикрировать под более чем 20 финансовых организаций и проводил звонки через сторонние приложения. 

Текущая версия устанавливает себя в качестве обработчика вызовов по умолчанию и способна захватывать прямые аудио- и видеопотоки с зараженных устройств. Также она обладает повышенной защитой от обнаружения.

Германия отключила сайт-посредник для DDoS-атак Dstat.cc 

Правоохранительные органы Германии захватили инфраструктуру платформы для обзора DDoS-атак Dstat.cc и арестовали двух подозреваемых в возрасте 19 и 28 лет. 

Согласно материалам дела, с помощью сайта различные киберпреступные группировки, например российские Killnet и Passion, демонстрировали эффективность своих возможностей. Также на нем размещались обзоры и рекомендации по проведению различных типов атак.

Предполагаемые администраторы Dstat.cc, по версии следствия, также управляли рынком синтетических наркотиков Flight RCS. Им грозит тюремный срок до десяти лет и денежные штрафы.

Торговцы крадеными банковским картами осели в Threads

В соцсети Threads замечен всплеск объявлений о продаже украденных банковских карт и учетных данных пользователей. Об этом сообщает The Register.

Исследователи кибербезопасности нашли не менее 15 аккаунтов, насчитывающих свыше 12 000 подписчиков, где публикуется финансовая и личная информация.

Страницы существуют от одного до двух месяцев, однако должной модерации со стороны Meta не проводится. Наоборот, подобная активность поощряется алгоритмами соцсети и продвигается посредством рекламы, добавили эксперты.

В сообщениях злоумышленников содержатся: 

• имена владельцев;
• полные и частичные номера карт с датой истечения срока действия;
• PIN-коды и CVV;
• банковские идентификационные номера;
• названия банков и эмитентов карт;
• номера соцстрахования;
• IP- и физические адреса;
• телефоны и электронные почты;
• даты рождения;
• пароли.

Представители Meta сообщили, что «осведомлены об этом поведении и продолжают принимать меры против аккаунтов и контента, нарушающих правила» площадки.

Также на ForkLog:

• Минюст США обвинил основателя Gotbit в мошенничестве.
• Immunefi: за октябрь криптоиндустрия потеряла $55,1 млн.
• В 1inch прокомментировали взлом приложения и анонсировали возврат средств.
• Виталик Бутерин рассказал о перспективах совершенствования EVM.
• В Circle представили решение для конфиденциальности токенов ERC-20.
• Tether представила ИИ-инструмент для создания ориентированных на конфиденциальность приложений.
• Эксперт обнаружил «вампирскую атаку» на биткоин.

Что почитать на выходных?

Разбираемся в уголовном деле основателя биткоин-биржи Cryptex вместе с аналитиками «ШАРД».