Ворующие крипту «журналисты», продажа данных граждан Турции и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Хакеры под видом журналистов украли ~$3 млн в криптовалютах

Группировка Pink Drainer посредством фишинга и социальной инженерии похитила $2,9 млн в сетях Ethereum, Arbitrum и других. Об этом сообщили эксперты ScamSniffer.

1/ Over the past few weeks, the same scammer called 𝗣𝗶𝗻𝗸 𝗗𝗿𝗮𝗶𝗻𝗲𝗿 has hacked 7+ Discord servers and stolen $3 million in assets from nearly ~1,932 victims across multiple chains. pic.twitter.com/Ku2n2n5iPt

— Scam Sniffer (@realScamSniffer) June 9, 2023

Злоумышленники выдают себя за журналистов популярных профильных изданий, включая Cointelegraph и Decrypt, предлагая провести интервью. После этого они отправляют ссылку на вредоносный сайт якобы для прохождения KYC-проверки. На деле с его помощью они крадут аутентификационные токены Discord или Twitter.

Если взломанная учетная запись принадлежит известному проекту или личности с большим количеством подписчиков, хакеры используют полученный доступ для продвижения криптовалютного скама.

На момент публикации оригинального твита количество жертв достигло 1932. Среди них CTO OpenAI Мира Мурати, музыкант Стив Аоки, а также Evmos, Pika Protocol, Orbiter Finance, LiFi, Flare Network, Cherry Network и Starknet.

Одновременно с этим компания «Доктор Веб» обнаружила трояна-стилера Trojan.Clipper.231 в пиратских сборках Windows 10, распространяющихся через неназванный торрент-трекер. 

⚡️⚡️ В пиратских сборках Windows обнаружен стилер для кражи криптовалюты, нанесший ущерб на более чем 1,5 млн рублей

Наши специалисты выявили в ряде неофициальных сборок ОС Windows 10 стилер Trojan.Clipper.231. Это вредоносное приложение… https://t.co/yAykyCFVGI pic.twitter.com/NKanszFg99

— Dr.Web® (@Doctor_Web) June 14, 2023

Вредонос способен подменять криптовалютные адреса из буфера обмена на кошельки злоумышленников. На данный момент хакерам удалось похитить цифровые активы на сумму ~$19 000.

Данные 85 млн турецких граждан выставлены на продажу

На сайте Sorgu Paneli неизвестные продают доступ к личным и финансовым данным «всех проживающих в Турции» граждан. Об этом сообщило местное издание FreeWebTurkey, однако на момент написания оригинальная статья удалена.

Часть утечки хакеры предлагают бесплатно в обмен на регистрацию членства на портале. Она включает идентификационные номера, телефоны и информацию о членах семей.

За платное премиум-членство предлагаются более конфиденциальные данные, включая полные адреса, документы на недвижимость и сведения об образовании.

Среди прочего на сайте нашли информацию о высокопоставленных государственных чиновниках, включая президента Турции Реджепа Тайипа Эрдогана и главного лидера оппозиции Кемаля Кылычдароглу. Исследователи подтвердили достоверность образцов.

Предположительно данные похитили в результате взлома портала электронного правительства e-Devlet в апреле 2022 года.

Официальные власти пока не подтверждали утечку. Несмотря на это, Турецкая ассоциация медийных и юридических исследований объявила о планах подать иск против МВД.

В Китае возьмут под контроль беспроводные сети 

Правительство Китая разрабатывает законопроект, регулирующий использование на территории страны беспроводных технологий, включая Bluetooth и Wi-Fi.

Документ требует от операторов всех беспроводных сетей внедрять системы мониторинга данных, «продвигать основные социалистические ценности» и «придерживаться правильных политических направлений». 

В свою очередь пользователи должны «принимать меры для предотвращения производства, копирования или распространения нежелательной информации и противодействия ей», а также обращаться в компетентные органы в случае ее получения.

Кроме того, сетевых операторов обяжут собирать информацию обо всех подключениях и передавать ее властям по запросу. 

В документе не указано, затронет ли он все точки доступа Wi-Fi или только коммерческие. Также не до конца ясно, почему в документе упоминаются сети Bluetooth. 

Trend Micro нашла более 150 поддельных сайтов с критовалютным скамом

Существующая с 2018 года киберпреступная группы Impulse Team продвигает более 150 фальшивых сайтов и приложений для криптовалютного мошенничества, нацеленного на жителей РФ и стран СНГ. Об этом говорится в отчете компании Trend Micro.

Жертв привлекают через соцсети, рекламу на криминальных форумах, спам и другие каналы. 

Злоумышленники имитируют торговые операции и прибыль на счетах пользователей, чтобы создать видимость успешной торговли, однако все внесенные депозиты поступают напрямую на кошельки Impulse Team.

В дальнейшем пользователей убеждают увеличивать инвестиции, предлагая бонусы, льготы, консультации и поддержку. Вывод средств блокируется под видом необходимости оплатить комиссию, налог или штраф.

Исследователи выявили около 170 биткоин- и Ethereum-кошельков, принадлежащих группировке. Общая сумма похищенных средств составляет около $50 млн.

В РФ сообщили о планах по созданию «внутреннего интернета»

До конца 2023 года в России запустят защищенный национальный сегмент интернета. Об этом пишут «Ведомости».

Вход в него будет разрешен только по паспорту с получением личного идентификатора. После этого пользователь получит доступ к «безопасным, проверенным сервисам, владельцы которых исполняют все требования действующего законодательства». Спецслужбы смогут отслеживать принадлежность каждого аккаунта.

«Главной целью является обеспечение безопасности граждан, сохранности их персональных данных, защита от спам-рассылок, мошенничества и фишинговых сайтов», – рассказал зампред комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

Депутат добавил, что незащищенный интернет тоже сохранится, но там ответственность за персональные данные и иные аспекты безопасности будут нести сами пользователи.

Сейчас механизм реализации безопасной сети обсуждается с «операторами связи, производителями российских чипов и железа и компаниями-разработчиками софта по кибербезопасности».

Эксперты обнаружили многоэтапную атаку на биткоин-кошельки

Троян-загрузчик DoubleFinger атаковал владельцев криптовалютных кошельков в Европе, США и Латинской Америке. На это обратили внимание эксперты «Лаборатории Касперского».

Продвинутая криптоугроза: злоумышленники распространяют криптовалютный стилер GreetingGhoul при помощи многоэтапного загрузчика DoubleFinger. Подробнее о зловредах и о цепочке заражения — в новом отчёте.

— Kaspersky (@Kaspersky_ru) June 13, 2023

Атака начинается после того, как жертва открывает вредоносное вложение в формате PIF в электронной почте. Это действие запускает первый этап загрузчика DoubleFinger.

Вредоносное ПО внедряет программу для кражи логинов и паролей от криптовалютных кошельков — GreetingGhoul — и троян Remcos Remote Access Trojan. 

Первый создает фальшивые окна, перекрывающие интерфейс настоящих криптокошельков, в которые пользователь по невнимательности может ввести сид-фразу. Второй ищет приложения с кошельками на устройстве жертвы.

DoubleFinger использует специальные методы сокрытия информации и прибегает к технике подмены легитимного процесса вредоносным для внедрения в удаленные процессы.

В коде зловреда эксперты обнаружили несколько текстовых фрагментов на русском языке. Например, URL-адрес командного сервера начинается со слова «Privetsvoyu» в искаженной транслитерации. Однако этого недостаточно, чтобы утверждать, что за атаками стоят русскоговорящие хакеры.

Неизвестные продолжили сливать данные клиентов крупных компаний РФ

На текущей неделе продолжилась публикация данных пользователей крупных российских онлайн-магазинов. Об этом сообщил Telegram-канал «Утечки информации».

В открытый доступ выложены частичные дампы книжных интернет-магазинов «Читай-город» (9,8 млн строк) и «Эксмо» (452 700 строк), сайтов издательства «АСТ» (~87 500 строк ) и горного курорта «Роза Хутор» (~523 000 строк).

Во фрагментах таблиц представлены: 

• имя/фамилия;
• телефон;
• адрес электронной почты;
• хешированный пароль;
• пол (не для всех);
• дата рождения (не для всех);
• город;
• номер карты постоянного покупателя (не для всех);
• дата создания и обновления записи.

В общей сложности хакеры, как и обещали, опубликовали данные 12 крупных компаний. Их личности пока не установлены.

Также на ForkLog:

• СМИ: власти Франции начали расследование в отношении Binance.
• КНДР направила на ядерную программу половину из украденных $3 млрд.
• Обвинения против Сэма Бэнкмана-Фрида рассмотрят на отдельных заседаниях.
• Chainalysis: вымогатели биткоинов отмывают средства через майнинг.
• Незаконный биткоин-обменник из Казахстана хранил средства на Binance.
• Злоумышленники взломали протокол Hashflow на $600 000.
• Криптоброкер FPG приостановил выплаты после потери $15 млн.
• Из дела о биткоин-взятке московского следователя «пропали» более 650 BTC, а адвокат назвал «сомнительной» экспертизу по делу.
• Суд разрешил Bittrex вывод средств для клиентов из США.
• Взломщик Atomic Wallet отправил активы на российскую биржу Garantex, ущерб от атаки превысил $100 млн, а руководство сервиса вызвали на допрос.
• Залоговые активы взломщика BNB Chain приблизились к ликвидации на Venus.
• В Беларуси закрыли нелегальный биткоин-обменник с доходом $3,5 млн.
• Sturdy Finance потерял в результате атаки около $770 000. Позднее проект предложил взломщику награду в $100 000.

Что почитать на выходных?

Публикуем главу из книги Андрея Захарова об истории биржи BTC-e/WEX.

Как с админом WEX «разговаривали» в ФСБ