Троян для биткоин-кошельков, взлом Okta и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Владельцы криптокошельков стали жертвами трояна Godfather.
- Okta сообщил о взломе своих GitHub-репозиториев.
- В LastPass уточнили ущерб от декабрьской утечки.
- В Минцифре Украины подтвердили атаку украинских хакеров на Rutube.
Владельцы криптокошельков стали жертвами трояна Godfather
Пользователи сотен банковских приложений, криптовалютных кошельков и биткоин-бирж стали мишенью мобильного банковского трояна Godfather для Android. Об этом сообщили специалисты Group-IB.
Group-IB’s #ThreatIntelligence detected more than 400 international financial companies targeted by the #Godfather #Android banking #Trojan between June 2021 and October 2022. Godfather’s predecessor is another #banking Trojan named #Anubis:https://t.co/Kf2IGvrLnk pic.twitter.com/JERnAuNfAC— Group-IB Global (@GroupIB_GIB) December 21, 2022
По их данным, малварь распространяется с июня 2021 года и по состоянию на октябрь 2022 года нацелена на 215 международных банков, 94 криптокошелька и 110 биткоин-бирж. Большинство из них находятся в США, Турции, Испании, Канаде, Германии, Франции и Великобритании.
Godfather является модернизированной версией банковского трояна Anubis. На устройстве жертвы он собирает имена пользователей, пароли, а также коды двухфакторной аутентификации из SMS.
Вредоносная программа распространяется под видом легитимных приложений в Google Play и по модели «вредоносное ПО как услуга».
Эксперты не смогли оценить количество пострадавших, однако согласно отчету Cyble, в Турции Godfather распространяется под видом популярного музыкального приложения. На Google Play его загрузили свыше 10 млн раз.
Okta сообщил о взломе своих GitHub-репозиториев
Злоумышленники взломали GitHub-репозитории и похитили исходный код ведущего поставщика решений для управления идентификацией Okta.
Согласно внутрикорпоративному уведомлению, в начале декабря GitHub уже предупреждал Okta о подозрительном доступе к репозиториям кода Okta Workforce Identity Cloud. При этом продукт Auth0 Customer Identity Cloud не был затронут.
В Okta заверили, что злоумышленники не получили доступ к корпоративным или клиентским средам. Инцидент не повлиял на обслуживание клиентов.
После получения информации о возможном подозрительном доступе Okta ввела временные ограничения на доступ к репозиториям GitHub, приостановила все интеграции со сторонними приложениями и уведомила об инциденте правоохранительные органы.
В LastPass уточнили ущерб от декабрьской утечки
Разработчики менеджера паролей LastPass завершили расследование взлома, произошедшего ранее в декабре.
Злоумышленникам удалось получить доступ к зашифрованным данным хранилища паролей. Они содержат информацию об учетной записи клиента и связанные метаданные, в том числе наименование компаний, имена конечных пользователей, платежные адреса, электронную почту, номера телефонов и IP-адреса доступа к LastPass.
Разработчики подчеркнули, что конфиденциальные данные хранилища остаются надежно зашифрованными благодаря архитектуре нулевого разглашения.
При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.
LastPass не называет общее число пострадавших, однако уведомила менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.
В LastPass признают, что утечку в дальнейшем могут использовать для фишинга, атак с подстановкой учетных данных или брутфорса аккаунтов, связанных с хранилищем LastPass.
Злоумышленники украли аккаунты в Viber под видом гипермаркетов
Хакеры притворились известными гипермаркетами в попытке украсть аккаунты пользователей мессенджера Viber. Об этом сообщает Telegram-канал «Беларусь головного мозга».
Только с начала зимы зарегистрировано несколько десятков подобных случаев.
Мошенники отправляют фишинговую ссылку с «промокодом» от лица известных торговых сайтов, перейдя по которой пользователь теряет доступ к аккаунту.
После этого кибермошенники звонят жертвам с украденных номеров и под разными предлогами уговаривают оформить кредит на их имя.
Хакеры обошли 2FA при взломе электронной почты Xfinity
С 19 декабря пользователи электронной почты Xfinity начали получать сообщения об обновлении информации их учетной записи. При этом они утратили доступ к аккаунту, так как пароли были изменены.
После восстановления доступа пользователи увидели, что их взломали, а в профиль неизвестные добавили дополнительную электронную почту с доменом yopmail.com.
Несмотря на установленную для учетных записей двухфакторную аутентификацию, злоумышленникам удалось ее обойти. Для этого они, предположительно, использовали приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2FA.
После этого хакеры сбрасывали пароль и меняли дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж Coinbase и Gemini.
В Xfinity официально не комментировали ситуацию, но, со слов одного из клиентов, корпорация знает о взломе и ведет расследование.
Вымогатели остановили выход газеты The Guardian
Вечером 20 декабря британскую газету The Guardian атаковала неназванная программа-вымогатель. Об этом сообщает Bloomberg.
Инцидент затронул IT-системы и ряд бизнес-служб компании, в связи с чем редакция приказала сотрудникам работать из дома до конца недели.
Издание продолжало публиковать информацию на своем сайте и в приложениях, а к 23 декабря возобновился выход печатной версии.
Технические детали и подробности инцидента отсутствуют, ведется расследование.
В Минцифре Украины подтвердили атаку украинских хакеров на Rutube
Министр цифровой трансформации Украины Михаил Федоров признал, что кибератаку на российский видеохостинг Rutube 9 мая совершили украинские хакеры. Об этом сообщает Bloomberg.
По словам Федорова, с начала войны IT-армия Украины неоднократно нарушала работу российских сервисов. Он уточнил, что атаку на Rutube хакеры приурочили ко Дню Победы.
«IT-армии даже удалось взломать бейджи сотрудников Rutube, чтобы они не могли попасть внутрь компании», — добавил министр.
9 мая Rutube подвергся мощнейшей за всю историю своего существования хакерской атаке и в течение нескольких дней не мог восстановить работу. Тогда ответственность за инцидент взяли хакеры Anonymous. Они заявили о повреждении более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных.
Российские службы такси предоставят ФСБ доступ к своим базам данных
Госдума РФ в третьем чтении приняла закон, регулирующий работу легковых такси.
Документ обязывает службы такси предоставлять ФСБ доступ к своим информационным системам и базам данных, которые используются для обработки и хранения заказов.
Технические средства, необходимые для обработки заказов, и базы данных должны размещаться на территории РФ.
Также на ForkLog:
- Похищенные у российского даркнет-маркетплейса биткоины отправили на помощь Украине.
- Власти Италии и Албании раскрыли мошенническую схему с криптоинвестициями.
- С OpenSea похитили токены Bored Ape стоимостью в миллионы долларов.
- Хакеры потребовали у производителя электрокаров из Китая $2,25 млн в биткоине.
- В Telegram зафиксировали массовые кражи аккаунтов.
- С начала года мошенники запустили почти 120 000 токенов.
Что почитать на выходных?
В конце июня сайдчейн Ronin успешно перезапустили после мартовского масштабного взлома на $625 млн. Предлагаем прочитать материал о проекте и одной из самых крупных хакерских атак за всю историю DeFi.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!