Дайджест Start X № 402

1. Мошенники звонят жертве и убеждают установить приложение для получения социальных выплат или неких финансовых выгод со специального сайта.

2. Приложения маскируются под банковские или клиент Госуслуг.

3. После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с банковской карты и передача их преступникам.

4. Для кражи NFC-данных атакуемый смартфон не требует root-доступа.

5. Пока жертва удерживает карту у смартфона, злоумышленник у банкомата запрашивает выдачу наличных с карты жертвы, данные которой получил от вредоноса.

6. В момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным ранее PIN-кодом.

1. Злоумышленники используют настоящие сид-фразы от криптокошельков с токенами Tether USD (USDT), размещая их в комментариях под видео на YouTube. Мошенники рассчитывают, что недобросовестные пользователи попытаются воспользоваться этим для вывода чужих средств.

2. Сид-фразы публикуются в комментариях под видео на YouTube, посвящённым финансовой тематике. Комментарии публикуются от имени якобы наивного пользователя, который не зная базовых мер безопасности, выложил конфиденциальные данные своего криптокошелька в открытый доступ для получения консультации.

3. Криптокошелёк, сид-фраза к которому находится в открытом доступе, содержит токены USDT (Tether). Как правило, сид-фразы достаточно, чтобы получить доступ к средствам в кошельке, и недобросовестные пользователи, которых привлекает перспектива лёгкой наживы, могут попытаться опустошить чужой кошелёк. Дополнительно людей искушает то, что сид-фраза настоящая, и они могут видеть баланс USDT и историю транзакций.

4. Когда пользователь пытается получить доступ к кошельку с помощью сид-фразы, он сталкивается с необходимостью оплатить комиссию в токенах TRX (Tron), которых в кошельке нет.

5. Если пользователь переводит TRX из своего личного кошелька для оплаты этой «комиссии», средства сразу перенаправляются на другой кошелёк, контролируемый мошенниками.

6. Кошелёк-приманка настроен как мультиподписная учётная запись (multisig), то есть требует для выполнения любых транзакций подтверждения двух и более владельцев подписей. Поэтому даже после оплаты комиссии перевести средства становится невозможно.

1. Первый звонок поступает в WhatsApp от «Социального фонда», якобы для записи на перерасчет пенсии, при этом у жертвы просят код от МТС ID.

2. Далее следует звонок якобы от поддержки госуслуг с текстом: «кто-то пытается украсть данные, мы вам поможем».

3. Чтобы вызвать доверие, злоумышленники предлагают жертве записать разговор и обратиться в полицию.

4. Параллельно поступают поддельные СМС о входе в личный кабинет разных микрофинансовых организаций (МФО), пуш-уведомления о переводе денег в разные банки из МФО по одобренным займам.

5. Когда жертва атаки начинает уже всерьез паниковать, с ней связываются или «полиция», или «банк», чтобы оказать помощь.

6. После беседы со спасителями жертва сама переводит все свои деньги на «безопасный счет» или же передает подставному «курьеру из Центробанка» наличными.

7. Злоумышленники не пытаются получить доступ к госуслугам и не берут займы. Цель этой активности — заставить человека поверить, что он реально стал жертвой мошенников, запаниковать, и тогда в состоянии аффекта он уже будет делать то, что ему говорят.

IntelBroker утверждает, что 2,9 Гб опубликованных данных связаны с продуктами Cisco Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella и WebEx.

В октябре 2024 года IntelBroker заявил о взломе систем Cisco и получении доступа к исходным кодам, сертификатам, учетным данным, конфиденциальным документам, ключам шифрования и другим материалам.

Cisco подтвердила утечку документов, но опровергла взлом своих систем. Хотя основная часть данных в DevHub общедоступна, хакеры воспользовались ошибкой в конфигурации и скачали файлы, не предназначенные для публичного использования.

Изначально Cisco заявляла, что среди украденных файлов не обнаружено конфиденциальной информации, однако позже из отчётов компании эту формулировку убрали.

Фальшивая страница оплаты была замаскирована под оригинальную, с помощью компонентов из SDK Stripe. Визуально поддельная страница не вызывала подозрений, так как загружалась напрямую с сайта ESA.

Вредоносный код, размещённый на официальном магазине ESA, отсылал данные на домен, схожий с оригинальным, но использующий другую доменную зону (TLD). Вместо официального «esaspaceshop[.]com» злоумышленники использовали домен «esaspaceshop[.]pics», что было зафиксировано в исходном коде сайта.

После обнаружения взлома интернет-магазин приостановил работу, оставив на сайте сообщение о том, что он «временно вне орбиты».

За атакой стоит хакерская группировка TraderTraitor, также известная под названиями Jade Sleet, UNC4899 и Slow Pisces. Злоумышленники использовали методы социальной инженерии, одновременно нацеливаясь на нескольких сотрудников компании.

Вот как развивались события:

1. В конце марта 2024 года северокорейский хакер связался с сотрудником японской компании Ginco через LinkedIn, представившись рекрутером. Ginco занимается разработкой программного обеспечения для корпоративных криптовалютных кошельков.
2. Злоумышленник отправил сотруднику, имевшему доступ к системе управления кошельками Ginco, вредоносный Python-скрипт под видом предварительного теста для трудоустройства. Скрипт находился на странице GitHub. Жертва скопировала код на свою личную страницу GitHub, после чего произошло заражение.
3. В середине мая 2024 года участники группировки TraderTraitor получили несанкционированный доступ к системе коммуникаций Ginco, воспользовавшись сессионными cookie-файлами скомпрометированного сотрудника.
4. В конце мая хакеры вмешались в процесс обработки легитимного запроса на транзакцию, поступившего от сотрудника DMM и смогли похитить 4502,9 биткоина, что на момент атаки составляло 308 млн долларов США.

Атака, в результате которой злоумышленники получили доступ к системам перевозчика, началась 26 декабря в 7:24 утра.

Для предотвращения дальнейшего распространения атаки специалисты Japan Airlines были вынуждены экстренно отключить свою сеть. Это привело к временной приостановке продаж билетов на все рейсы, запланированные на 26 декабря.

Технические специалисты авиакомпании провели тщательную проверку систем безопасности. По результатам анализа выяснилось, что персональные данные пассажиров не были скомпрометированы, а вредоносное программное обеспечение не проникло в системы Japan Airlines.