Троянизированный Telegram, поддельная NFT-игра Pokemon и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Пользователи стали жертвами шпионажа со стороны троянизированного Telegram.
  • Поддельная игра Pokemon NFT позволила хакерам захватить устройства под управлением Windows.
  • В открытый доступ попали данные 200 млн пользователей Twitter.
  • MetaMask предупредил о новом криптовалютном мошенничестве.

Пользователи стали жертвами шпионажа со стороны троянизированного Telegram

Специалисты ESET обнаружили фейковое приложение Shagle, которое представляет собой троянизированную версию приложения Telegram для Android с добавленным в код бэкдором.

За распространение малвари ответственна хакерская группировка StrongPity. 

Реальная платформа Shagle предоставляет услуги случайных зашифрованных видеочатов, однако она полностью ориентирована на веб и не имеет собственного мобильного приложения. Начиная с 2021 года, StrongPity распространяли вредонос через замаскированный под официальный сайт Shagle. 

Легитимный сайт слева и поддельный — справа. Данные: ESET.

После установки приложение позволяет хакерам следить за своими жертвами посредством записи телефонных звонков, отслеживания местоположения устройства, сбора SMS-сообщений, журналов вызовов, списков контактов и файлов. Собранные данные в конечном итоге поступают на управляющий сервер хакеров.

Имеющиеся у малвари разрешения позволяют читать ей входящие уведомления и сообщения из различных приложений, включая Gmail, Kik, LINE, Facebook Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber и WeChat.

Помимо этого, на устройствах с полным доступом к правам администратора вредонос автоматически может изменять настройки безопасности, сохранять данные в файловую систему и перезагружать телефон.

Аналитики ESET предполагают, что ссылки на фейковый сайт Shagle распространялись через адресные фишинговые рассылки, SMS-фишинг или мгновенные сообщения на онлайн-платформах.

В настоящее время сайт хакеров неактивен.

Поддельная игра Pokemon NFT позволила хакерам захватить устройства под управлением Windows

Через фейковый сайт карточной игры Pokemon злоумышленники распространяют инструмент удаленного доступа NetSupport для получения контроля над устройствами жертв. Об этом сообщают эксперты ASEC.

Согласно информации на сайте, стратегическая игра создана на основе франшизы Pokemon и предлагает пользователям дополнительный заработок на инвестициях в NFT. 

Данные: ASEC.

Нажатие кнопки «Играть на ПК» загружает исполняемый файл, который выглядит как обычный установщик игры, но на самом деле устанавливает инструмент удаленного доступа NetSupport в систему жертвы. Хотя NetSupport Manager является легитимным ПО, злоумышленники обычно используют его в своих вредоносных кампаниях.

Он позволяет хакерам удаленно подключаться к зараженному устройству для кражи данных, установки других вредоносных программ или попыток дальнейшего распространения по сети.

Первые признаки активности этой кампании появились в декабре 2022 года. На момент написания сайт все еще доступен. 

В открытый доступ попали данные 200 млн пользователей Twitter

Очередной слив данных пользователей Twitter зафиксирован на известном хак-форуме Breached. Как сообщает Bleeping Computer, дамп объемом 59 ГБ содержит информацию о 200 млн профилей.

Хакер оценил базу в $2.

В общей сложности в открытый доступ выложены 211 524 284 уникальных адреса электронной почты. Также дамп включает имена, никнеймы, количество подписчиков и даты создания учетных записей. 

Данные: Bleeping Computer.

В комментарии по ситуации представители Twitter сообщили, что информацию пользователей хакеры получили не через ранее выявленную уязвимость в API, связанную с процессом авторизации на Android-клиенте. 

В декабре 2021 года с ее помощью злоумышленники могли отправлять номера телефонов и адреса электронной почты для получения идентификатора Twitter. В январе 2022 года баг устранили.

«Упомянутый набор данных 200 млн пользователей не может быть соотнесен с ранее освещавшимся инцидентом или какой-либо информацией, полученной в результате эксплуатации систем Twitter», – отметили представители соцсети.

В Twitter подчеркнули, что дамп не содержал паролей или информации, которая могла бы привести к компрометации паролей.

MetaMask предупредил о новом криптовалютном мошенничестве

Некастодиальный кошелек MetaMask сообщил о новой афере под названием «Отравление адресов», которая заставляет пользователей отправлять средства мошеннику, а не предполагаемому получателю.

Хакеры отравляют историю транзакций пользователя и подменяет адреса кошельков на схожие с теми, по которым еще недавно осуществлялись переводы. 

Затем злоумышленник отправляет на адрес жертвы небольшую сумму криптовалюты или даже нулевую транзакцию, чтобы она отобразилась в истории кошелька. Поскольку MetaMask сокращает адреса в истории транзакций, создается впечатление, что это адрес одного и того же человека.

После этого хакер ждет, что жертва использует его адрес при последующем переводе средств.

Какого-либо способа предотвратить такой вид мошенничества не существует, поэтому MetaMask предупреждает пользователей, чтобы они были осторожны при копировании адресов из транзакций.

Даркнет-маркетплейсы перешли на использование Android-приложений

Начиная с третьего квартала 2022 года, торгующие наркотиками даркнет-маркетплейсы начали использовать собственные приложения для Android, чтобы повысить конфиденциальность и избежать внимания правоохранителей. Об этом сообщили специалисты Resecurity.

По их данным, как минимум семь торговых платформ — Yakudza, TomFord24, 24Deluxe, PNTS32, Flakka24, 24Cana и MapSTGK — выпустили APK-файлы собственных Android-приложений. 

Данные: Resecurity.

Эксперты предположили, что это стало ответом на прошлогодние действия правоохранительных органов, в частности на закрытие маркетплейса Hydra

Мобильные приложения позволяют передавать данные о заказах наркотиков, а также отправлять покупателю географические координаты «клада», оставленного курьером. Обмен информацией в различных приложениях порождает фрагментацию и мешает правоохранителям отслеживать преступников.

Эксперты зафиксировали утечку данных 3,5 млн пользователей Mail.ru

В открытый доступ попали данные одного из сервисов Mail.ru. Об этом сообщает Telegram-канал «Утечки информации».

Опубликованная база данных включает более 3,5 млн строк, содержащих:

  • никнейм, имя, фамилию и ID пользователя;
  • адрес электронной почты на доменах mail.ru, corp.mail.ru, bk.ru, inbox.ru и list.ru;
  • номер мобильного телефона.

В общей сложности в базе находятся 1 647 711 уникальных телефонных номеров. Выборочная проверка случайных записей через форму восстановления доступа на сайте account.mail.ru подтвердила, что в утечке указаны реальные номера пользователей.

При этом в Mail.ru заверили, что пользователям ничего не угрожает, а сервис «надежно защищен».

«Опубликованные данные связаны с утечкой стороннего ресурса в начале 2022 года», — рассказали в пресс-службе.

Компания проводит проверку инцидента.

Также на ForkLog:

Что почитать на выходных?

О взломах и скамах DeFi-сегмента в 2022 году читайте в итоговом материале ForkLog.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version