Обзор новостей информационной безопасности с 7 по 13 июня 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, использующая тематику трудоустройства для распространения вредоносного ПО WARMCOOKIE.

Схема кампании

1. Атака начинается с предложения потенциальному кандидату перейти по ссылке в письме для ознакомления с подходящей вакансией.

2. После перехода необходимо решить капчу, чтобы загрузить желаемый документ.

3. После этого на компьютер жертвы загружается JavaScript-файл с именем «Update_23_04_2024_5689382.js».

4. Этот скрытый скрипт запускает PowerShell-скрипт, который инициирует загрузку WARMCOOKIE через фоновую интеллектуальную службу передачи Windows (BITS).

5. Ключевым элементом кампании является использование скомпрометированной инфраструктуры для хостинга начального фишингового URL, который перенаправляет жертв на нужную страницу.

6. Бэкдор WARMCOOKIE предназначен для сбора обширной информации о заражённом хосте. Он поддерживает чтение и запись файлов, выполнение команд через CMD, получение списка установленных приложений и создание скриншотов.

В новой фишинговой кампании злоумышленники эксплуатируют поисковый протокол Windows (search-ms URI) для распространения вредоносных программ.

Схема действий преступников

1. Злоумышленники рассылают фишинговые письма, содержащие вложение в формате HTML, замаскированное под счёт. Вложение находится в ZIP-архиве, чтобы обойти антивирусную защиту.

2. HTML-файл использует тег <meta http-equiv=«refresh»>, чтобы браузер автоматически открыл вредоносный URL при запуске документа.

3. Если автоматическое открытие веб-страницы не срабатывает из-за настроек браузера, в документе есть кликабельная ссылка, однако здесь уже требуется участие пользователя.

4. Когда HTML загружается, браузеры обычно предлагают пользователю разрешить действие поиска. Эта мера безопасности предотвращает выполнение несанкционированными командами потенциально опасных операций без согласия пользователя. URL-адрес перенаправления использует протокол search: — мощную, но потенциально опасную функцию, которая позволяет приложениям напрямую взаимодействовать с функцией поиска в Проводнике Windows.

5. После того, как пользователь разрешает поиск, функция поиска извлекает файлы с именами счетов-фактур с удалённого сервера. В результатах поиска отображается только один элемент, в частности файл ярлыка (LNK). Этот файл LNK указывает на пакетный сценарий (BAT), размещенный на том же сервере, который при щелчке пользователя потенциально может вызвать дополнительные вредоносные операции.

Злоумышленники используют OTP-ботов для кражи кодов 2FA.

OTP-бот — это программное обеспечение, предназначенное для перехвата одноразовых паролей с помощью социальной инженерии. Функциональность ботов варьируется от простых сценариев для определенных организаций до высоко настраиваемых конфигураций с широким набором сценариев на разных языках и с различными голосами.

Схема кампании

1. Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод кода двухфакторной аутентификации.

2. Жертве на телефон приходит сообщение с одноразовым паролем.

3. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код.

4. Жертва набирает код на клавиатуре телефона прямо во время звонка.

5. Код поступает в Telegram-бот злоумышленника.

6. Злоумышленник получает доступ к аккаунту жертвы.

Ключевая функция OTP-бота — звонок жертве. От убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше.

Для работы с таким ботом нужно купить подписку. Самая дешёвая подписка обойдётся в 140 долларов США за неделю, самая дорогая — в 420 долларов США. Оплату бот принимает исключительно в криптовалюте.

Инциденты

Полиция Лондона раскрыла беспрецедентную схему интернет-мошенничества, в рамках которой злоумышленники использовали самодельную телефонную вышку для массовых фишинговых операций.

Изъятая вышка представляла собой самодельную мобильную антенну, получившую кодовое название «СМС-пушка» . Это первое в Великобритании устройство такого рода, специально сконструированное для распространения огромных партий вредоносных материалов. При этом злоумышленники каким-то образом обходили системы защиты операторов от СМС-фишинга или «смишинга».

Преступники выдавали себя за банки, госструктуры и прочие официальные организации. Под таким прикрытием они пытались выманить у получателей личные данные, пароли и платёжные реквизиты.

Хакерская группировка Nullbulge взломала пользователей популярного интерфейса ComfyUI для работы с нейросетью Stable Diffusion.

Чтобы добиться этого, они распространяли через Github вредоносное расширение ComfyUI_LLMVISION , позволявшее получать доступ к данным пользователей.

ComfyUI — это широко распространенный графический интерфейс с открытым исходным кодом для Stable Diffusion, размещенный на Github и значительно облегчающий генерацию и модификацию ИИ-изображений. Взломанное расширение ComfyUI_LLMVISION позволяло интегрировать мощные языковые модели GPT-4 и Claude 3 в ту же программу. Изначально оно было легитимным.

Сейчас страница ComfyUI_LLMVISION на Github недоступна. В архивной версии от 9 июня говорится, что она была «СКОМПРОМЕТИРОВАНА ГРУППОЙ NULLBULGE».

МТС сообщила о двухчасовой DDoS-атаке на сеть широкополосного доступа в интернет (ШПД) компании.

Сервис оператора зафиксировал DDoS-атаку мощностью 207 гигабит в секунду. На границе сети её мощность могла достигать нескольких терабит. Ключевой особенностью атаки была нацеленность злоумышленников на конкретное сетевое оборудование, а именно маршрутизатор, что в случае успеха привело бы к отключению доступа в интернет для пользователей оператора целого региона.

Атака велась с IP-адресов, относящихся к Польше, Турции, Эквадору, Испании и Китаю. В нападении было задействовано более 20 тысяч устройств, нацеленных более чем на 500 IP-адресов телеком-оператора.

Из-за кибератаки американский город Кливленд в штате Огайо был вынужден отключить ряд важных общественных служб, государственных офисов и учреждений.

Расследование кибератаки проводится при участии сторонних экспертов, предоставление государственных услуг ограничено до самых необходимых. Мэрия и комплекс Erieview закрыты для всех, кроме необходимого персонала, а затронутые системы отключены для их защиты и восстановления.

Пока удалось установить, что злоумышленники не смогли получить доступ к данным налогоплательщиков, хранящимся в городской администрации, а также к пользовательской информации, находящейся в распоряжении коммунальных служб. Также отмечается, что киберинцидент не повлиял на работу экстренных служб (911, полиция, пожарная охрана), коммунальных предприятий, служб здравоохранения (скорая помощь) и аэропортов (Кливленд Хопкинс и Берк-Лейкфронт).

Вьетнамская государственная почтовая служба восстановила работу своих сервисов после нескольких дней простоя, вызванного кибератакой шифровальщика 4 июня.

Атака затронула работу почтовых и курьерских служб. Финансовые, административные и товарораспределительные службы не пострадали от атаки.

Местные СМИ сообщили, что Vietnam Post сотрудничала с государственными органами и местными экспертами по кибербезопасности для локализации инцидента, защиты данных клиентов и восстановления своих систем. Vietnam Post не раскрыла, кого считает виновным в атаке и требовали ли хакеры выкуп.

Niconico, один из крупнейших в Японии видеохостингов, приостановил свои услуги в связи с крупномасштабной кибератакой.

Компания расследует инцидент, чтобы оценить масштабы ущерба. В понедельник 10 июня атака всё ещё продолжалась. Инцидент официальный сайт и сайт электронной коммерции. По предварительным данным, причиной стал «несанкционированный внешний доступ» к серверам.

В настоящее время услуги Niconico остаются недоступными. На сайте компании указано, что проводится техническое обслуживание. Параллельно ведутся работы по перестройке всей системы с целью предотвращения подобных кибератак в будущем. Компания пообещала позже проинформировать пользователей о результатах расследования и предоставить ответы на вопросы, касающиеся членских взносов и переноса сроков прямых трансляций.

Исходный код и внутренние данные американского издания The New York Times опубликовали на имиджборде 4chan. Информация была укражена из GitHub-репозиториев компании в январе 2024 года.

В архиве объёмом 270 Гб содержится около 5000 репозиториев, из которых менее 30 дополнительно зашифрованы — всего 3,6 миллиона файлов в несжатом виде. Дополнительно злоумышленники предоставили текстовый файл с полным списком из 6223 папок, украденных из репозитория.

Файл «readme» в архиве утверждает, что злоумышленники использовали открытый GitHub-токен для доступа к репозиториям компании и кражи данных.

Обзор новостей информационной безопасности с 31 мая по 6 июня 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Лаборатория Касперского предупреждает о мошеннической схеме «скам продавцов», или scam 2.0, в которой скамеры под видом покупателей обманывают продавцов товаров на площадках объявлений.

Как действуют мошенники

1. Скамеры пишут продавцам с предложением купить товар.

2. В предложении есть нюанс: сделку нужно провести «безопасным платежом» через «защищенный» сайт, выступающий в качестве гаранта.

3. Скамер-покупатель, якобы, уже внес свои средства в систему, а продавцу-жертве остается перейти по ссылке, ввести данные своей банковской карты и нажать кнопку «Получить деньги».

4. Если продавец соглашается и указывает данные карты, они отправляются мошенникам, которые списывают с неё все деньги.

Обнаружена киберкампания по распространению троянов BitRAT и Lumma под видом обновлений для браузеров.

Схема кампании

1. Пользователь заходит на сайт-приманку, который сообщает ему о том, что его версия браузера устарела и предлагает загрузить обновление.

2. Если жертва соглашается, её перенаправляют на страницу обновления, расположенную по адресу chatgpt-app[.]cloud.

3. На этой странице есть ссылка на загрузку ZIP-архива Update.zip, размещённый в Discord.

4. При распаковке Update.zip выдает файл Update.js, запускающий выполнение скриптов PowerShell.

5. Скрипты PowerShell скачивают с удалённого сервера киберпреступников дополнительные пейлоады BitRAT и Lumma Stealer в формате PNG-файла.

Инциденты

Злоумышленники взломали облачную платформу и получили доступ к личной информации участников пенсионной программы бывших и нынешних сотрудников Британской вещательной корпорации («Би-би-си»).

В результате оказались скомпрометированы данные около 25 тысяч сотрудников «Би-би-си»: хакеры получили доступ к их именам, полу, дате рождения, домашним адресам и номерам национального страхования (NIN).

В компании заявили, что портал пенсионной программы работает в штатном режиме, и пользователям ничего не угрожает. Сотрудники, чья личная информация подверглась атаке, получат уведомление по электронной или обычной почте. В «Би-би-си» извинились за инцидент и заверили, что нет доказательств того, что скомпрометированные данные были каким-то образом использованы.

Хакеры ShinyHunters заявили о взломе Santander Bank. В результате атаки были похищены личные данные более 30 млн клиентов.

ShinyHunters предлагают на продажу за 2 млн долларов США массив данных, включающий:

• 30 миллионов записей клиентов;
• 28 миллионов полных номеров кредитных карт с данными проверки и сроками действия (без CVV);
• 6 миллионов номеров счетов и балансов;
• списки сотрудников HR;
• другие чувствительные данные.

Santander Bank уже предпринял меры по устранению последствий утечки. Клиентам рекомендуется внимательно следить за своими счетами на предмет подозрительной активности, использовать двухфакторную аутентификацию и регулярно обновлять пароли, чтобы снизить риск дальнейшего использования данных киберпреступниками.

Некоммерческая организация «Архив интернета» (Internet Archive) с трудом сохраняет работоспособность из-за непрекращающихся DDoS-атак.

Представители организации сообщают, что все коллекции и веб-архивы находятся в полной безопасности, однако с восстановлением работы в штатном режиме пока наблюдаются проблемы.

По словам Криса Фриланда (Chris Freeland), директора по библиотечным сервисам Internet Archive, злоумышленники направляют на организацию «десятки тысяч запросов с фальшивой информации в секунду».

Ответственность за атаки взяла на себя некая хак-группа SN_Blackmeta, которая выступает против интересов США и Израиля и пишет на английском, русском и арабском языках.

Масштабная кибератака вывела из строя сотни тысяч интернет-роутеров на территории центральных штатов США в конце 2023 года.

Инцидент получил название «Pumpkin Eclipse» (тыквенное затмение) и привёл к отключению свыше 600 тысяч интернет-роутеров. Независимые эксперты считают эту кибератаку одной из самых серьёзных, когда-либо затрагивавших американский телекоммуникационный сектор, с учётом количества отключённых устройств и числа пострадавших пользователей.

Злоумышленников в основном интересовали роутеры T3200 и T3260 от ActionTec.
Они выводились из строя вредоносным обновлением прошивки, которое рассылалось клиентам одного провайдера и удаляло части операционного кода устройств после установки. Метод доставки обновления установить не удалось.

Хакер взломал сайт Fanzone компании Cooler Master утечки данных и похитил данные 500 000 участников общим объёмом 103 ГБ.

Сайт Fanzone используется для оформления гарантии на продукты Cooler Master, отправки запросов на возврат товара или денег, обращений в службу поддержки и публикации новостей компании.

Утечку содержит корпоративные данные Cooler Master, сведения о поставщиках, продажах, гарантийных обязательствах, инвентаризации, а также личную информацию более 500 000 участников Fanzone, в том числе имена, адреса, даты рождения, телефоны, электронную почту, незашифрованную информацию о банковских картах (имя владельца, номер, срок действия и код CVV).

Злоумышленник потребовал у компании выкуп, но представители Cooler Master ему не ответили, поэтому он планирует продать данные в даркнете.

Кибератака группировки Qilin на поставщика лабораторных и диагностических услуг компанию Synnovis нарушила работу нескольких крупных больниц Национальной службы здравоохранения (National Health Service, NHS) Лондона. Медучреждения были вынуждены работать в режиме ЧП. Инциденту присвоили статус критического.

Synnovis уже выпустила официальное заявление об инциденте, в котором главный исполнительный директор Synnovis Марк Доллар (Mark Dollar) подтвердил, что организация пострадала «от атаки вымогательского ПО, зашифровавшего компьютеры и серверы компании».

Поклонники видеоигры Club Penguin взломали сервер Confluence компании Disney и украли 2,5 ГБ внутренних корпоративных данных.

Club Penguin — многопользовательская онлайн-игра, официально существовавшая с 2005 по 2017 год, созданная компанией New Horizon Interactive, которую впоследствии приобрела Disney.

Хотя официальное закрытие Club Penguin произошло в 2017 году, а её преемника Club Penguin Island — в 2018 году, игра продолжает жить на частных серверах, управляемых поклонниками и независимыми разработчиками.

Несмотря на значительные усилия Disney по закрытию более известного ремейка «Club Penguin Rewritten» в 2022 году, повлекшие арест нескольких человек по обвинению в нарушении авторских прав, это не помешало игре существовать дальше и активно развиваться.

На этой неделе на популярном западном форуме 4Chan был опубликован анонимный пост со ссылкой на архив с названием «Internal Club Penguin PDFs» и сообщением «Мне это больше не нужно». Ссылка ведёт на архив размером 415 МБ, содержащий 137 PDF-файлов с внутренней информацией о Club Penguin, включая электронные письма, схемы дизайна, документацию и листы персонажей.

Сообщается, что серверы Confluence были взломаны с использованием ранее скомпрометированных учётных данных. Злоумышленники изначально искали данные по Club Penguin, но в итоге скачали 2,5 ГБ информации о корпоративных стратегиях Disney, рекламных планах, Disney+, внутренних инструментах разработчиков, бизнес-проектах и внутренней инфраструктуре компании.

Среди украденных данных есть документация по различным инициативам и проектам, а также информация о внутренних инструментах разработчиков, таких как Helios и Communicore, которые ранее не были публично раскрыты.

Данные клиентов популярных турецких сервисов доставки еды находятся в открытом доступе. Источник утечки — компания Paketle Lojistik Hizmetleri, которая занимается маршрутизацией заказов через платформу на базе Kafka, не обеспечивая должный уровень безопасности.

На платформе без какой-либо аутентификации доступен обширный перечень личных данных клиентов, такие как имена, домашние адреса, номера телефонов, электронная почта, детали заказов, IP-адреса и токены аутентификации.

Исследователям удалось найти заказы, размещённые через следующие турецкие приложения для доставки еды:

• Getir: 4,8 млн посещений сайта в месяц;
• Yemek Sepeti: 4,8 млн посещений сайта в месяц;
• Migros: 184 тыс. посещений сайта в месяц;
• Trendyol: 27 тыс. посещений сайта в месяц.

Эксперты отправили в адрес Paketle Лojistik Hizmetleri восемь писем с описанием проблемы, однако компания так и не приняла мер для устранения уязвимости. Уязвимые Kafka-инстансы продолжают оставаться в открытом доступе.

Неустановленные хакеры взломали правительственные системы Британской Колумбии в Канаде. Взлом затронул 22 почтовых ящика, содержащих конфиденциальную информацию о 19 людях.

Министр общественной безопасности Британской Колумбии Майк Фарнворт отметил, что на данный момент нет признаков того, что информация была скомпрометирована. Фарнворт не уточнил, к какому министерству были прикреплены почтовые ящики, но сказал, что взлом не коснулся кабинета министров.

Высказываются предположения, что атаку провели правительственные хакеры, которые трижды пытались скомпрометировать системы. По словам Фарнворта, хакеры получили доступ к файлам сотрудников. Все пострадавшие уведомлены и получат поддержку — кредитный мониторинг и защиту цифровой личности.

В  сети обнаружено несколько ссылок на Google Таблицы с данными отправлений СДЭК за апрель. Таблицы содержат номера накладных, описание причин задержек, описание посылок (вес, изображения), названия подразделений СДЭК, отправителей (физлица и юрлица).

Некоторые ИБ-специалисты считают, что утечка «явно произошла из-за халатности сотрудников СДЭК, потому что злоумышленники публиковали бы данные на профильных форумах». Они уверены, что данные СДЭК «оказались в открытом доступе просто по ошибке внутренних специалистов, которые не защитили должным образом внутреннюю информацию».

В ответ на это представители СДЭК заверили журналистов, что хранят персональные данные клиентов в собственной защищенной БД, а в открытом доступе допускается появление инструкций для персонала, шаблонов действий по типовым ситуациям и так далее. «У нас нет оснований полагать, что произошла утечка данных», — сообщили в компании.

Школа Billericay в графстве Эссекс, Великобритания, была вынуждена закрыться из-за вымогательской кибератаки.

Родителям сообщили, что школа будет закрыта для всех учеников в понедельник, 3 июня. Директор школы, господин П. Берри, в массовой рассылке родителям и ученикам сообщил, что атака привела к компрометации всех IT-систем школы и их недоступности.

Дополнительных данных о характере атаки или их возможной краже предоставлено не было, однако письмо явно указывает на атаку с использованием программ-вымогателей, которые зашифровали компьютеры, тем самым заблокировав доступ к школьным системам.

Телеграм-канал «Утечки информации» сообщает, что в свободном доступе обнаружен SQL-дамп сайта Московского городского открытого колледжа.

В дампе содержатся имена, адреса эл. почты (450 тыс. уникальных адресов), телефоны (147 тыс. уникальных номеров), хешированные пароли, ссылки на соц. сети, пол.

Судя по информации из дампа, данные в нем актуальны на 26.05.2024.

В свободном доступе обнаружены данные пользователей и их заказов из базы данных магазина электроники «Технолав».

В дампе находятся: имена, телефоны (86 тыс. уникальных номеров), адреса эл. почты (79 тыс. уникальных адресов), хешированные пароли, адреса доставки и т. п.

Информация в дампе актуальна на 25.04.2024

Обзор новостей информационной безопасности с 24 по 30 мая 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Троян AllaKore атакует банки Бразилии, пытаясь похитить учётные данные для доступа к банковским счетам.

Целью вредоноса ужже стали банки Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi.

Схема кампании:

1. Злоумышленники рассылают фишинговые сообщения с вредоносными ссылками.

2. Ссылки содержат LNK-ярлык Windows, замаскированный под PDF-документ, размещенный на сервере WebDAV.

3. Ярлык открывает командную оболочку Windows, отображает подставной PDF-документ и загружает BAT-файл «c.cmd».

4. BAT-файл запускает PowerShell команду, которая скачивает бинарный файл Python с официального сайта (python.org) и выполняет скрипт BPyCode.

5. Скрипт BPyCode загружает и запускает динамическую библиотеку (executor.dll).

6. DLL-библиотека извлекается из одного из доменных имен, созданных с помощью алгоритма генерации домена (DGA). Сгенерированные имена хостов соответствуют тем, которые связаны со службой Microsoft Azure Functions, бессерверной инфраструктурой, которая в данном случае позволяет операторам легко развертывать и управлять промежуточной инфраструктурой.

7. Библиотека выполняется в памяти и внедряет троян AllaSenha в легитимный процесс «mshta.exe».

Помимо кражи учетных данных для онлайн-банкинга из веб-браузеров, AllaSenha может отображать наложенные окна для захвата кодов двухфакторной аутентификации (2FA) и даже обманом заставить жертву отсканировать QR-код для одобрения мошеннической транзакции, инициированной злоумышленниками.

Все образцы AllaSenha используют Access_PC_Client_dll.dll в качестве исходного имени файла. Такое имя можно найти в проекте KL Gorki — банковском вредоносном ПО, которое, по-видимому, сочетает компоненты AllaKore и ServerSocket.

Киберпреступники воспользовались запуском Arc для Windows для проведения вредоносной кампании через Google Ads.

Схема действий преступников

1. По поисковым запросам в Google «arc installer» и «arc browser windows» выводились объявления с официальным адресом сайта браузера Arc.

2. Однако после клика по рекламе пользователи не попадали на официальный сайт, а перенаправлялись на вредоносные домены, визуально напоминающие реальный сайт Arc.

3. После нескольких перенаправлений домен в адресной строке браузера уже не совпадает с официальным, однако, так как интерфейс сайта выглядит вполне легитимно, многие пользователи не обращают внимания на содержимое адресной строки.

4. При нажатии на кнопку «Скачать» загружается троянский установщик с платформы MEGA, который затем загружает дополнительное вредоносное ПО под названием «bootstrap.exe» с внешнего ресурса. При этом легитимный Arc Browser действительно устанавливается на целевую систему, чтобы избежать подозрений со стороны пользователя.

5. Этот троянский установщик использует API MEGA для совершения C2-операций, отправляя и получая операционные инструкции и данные. Вредоносный файл также загружает PNG-файл с вредоносным кодом, который компилируется и сбрасывает конечный вредоносный файл «JRWeb.exe» на диск жертвы.

6. Эксперты также зафиксировали отдельную цепочку заражения, где установщик использует исполняемый файл Python для внедрения кода в «msbuild.exe», который запрашивает команды с внешнего сайта для выполнения.

7. Проверив вредоносную рекламу через Google Ad Transparency Center, аналитики выяснили, что её создатель — украинская компания САЛОН СОФТ.

Эксперты предполагают, что вредоносное ПО во всех рассмотренных атаках является инфостилером. Поскольку настоящий браузер Arc в итоге устанавливается на компьютер жертвы, а вредоносные файлы работают незаметно в фоновом режиме, пользователи вряд ли поймут, что их устройства заражены.

Компания F.A.C.C.T. обнаружила мошенническую кампанию, нацеленную на желающих незаконно получить водительские права.

Как работают мошенники

1. Аналитики выявили более 200 ресурсов, предлагающих «легальные» водительские права для управления различными транспортными средствами.

2. Аферисты целятся на жителей крупных городов, таких как Москва, Санкт-Петербург, Казань, Ростов-на-Дону, Ярославль и Воронеж.

3. Каждый сайт мошенников создается под конкретный город и позиционируется как местная компания, например, MosPrava в Москве и VolPrava в Волгограде.

4. На этих ресурсах мошенники уверяют, что смогут оформить водительские права без лишних хлопот за 3 дня, решив все проблемы водителей, лишенных прав, с помощью поддельных документов.

5. На сайте жертва сталкивается с социальной инженерией и маркетинговыми приемами. Там размещены статьи с названиями вроде «Почему сдать на права с первого раза получается только у 5%» или «Почему получение прав самостоятельно через автошколу — мучительный процесс».

6. Пользователю рассказывают, как легко и быстро купить права с гарантией. Если человек соглашается, он отправляет свои ФИО, телефон, фото и копию паспорта, но взамен ничего не получает, а его данные используются мошенниками.

7. Особенность кампании с фальшивыми водительскими правами в том, что пострадавшие сами нарушают закон, пытаясь приобрести поддельные документы, поэтому мошенники уверены, что жертвы не будут жаловаться.

8. Предоставленные персональные данные могут быть использованы для взятия кредитов, регистрации на различных платформах и других мошеннических действий.

Мобильная безопасность

Более 90 приложений в Google Play распространяли вредоносное и рекламное ПО, в том числе банковский троян Anatsa.

Anatsa — банковский троян, нацеленный на более 650 приложений финучреждений в Европе, США, Великобритании и Азии. Троян похищает учётные данные онлайн-банков для выполнения мошеннических транзакций.

По данным экспертов, Anatsa распространяется через два приложения-приманки: «PDF Reader & File Manager» и «QR Reader & File Manager». На момент анализа приложения были установлены 70 000 раз.

Anatsa использует многоэтапный механизм доставки полезной нагрузки, включающий четыре этапа:

• получение конфигурации с управляющего сервера;
• загружка и активация DEX-файла с вредоносным дроппером;
• загрузка файла полезной нагрузки Anatsa;
• установка вредоносного ПО (APK) и завершение процесса заражения.

Инциденты

Дерматологическая клиника Affiliated Dermatologists (AD) стала жертвой вымогателей BianLian.

10 апреля 2024 года руководство компании обнаружило вымогательскую записку, из которой следовало, что между 2 и 5 марта 2024 года хакеры получили доступ к системам и скопировали данные из сети клиники.

Среди украденной информации оказались:

• имена пациентов;
• даты рождения;
• адреса;
• номера социального страхования;
• медицинские карты;
• Информация о претензиях по медицинскому страхованию пациентов;
• номера водительских удостоверений и паспортов сотрудников.

Представители клиники подчеркнули, что объём утекшей информации различен для каждого пострадавшего. По данным генпрокурора, инцидент затронул около 373 000 человек.

Из Google произошла утечка 2500 внутренних документов, содержащих информацию о данных, которые она собирает при работе пользователей со своей поисковой системой.

Документы раскрывают подробности по поводу информации, которую Google отслеживает и использует в своём алгоритме ранжирования поиска.

Изучив документы, SEO-эксперты сделали вывод о «лжи Google» по поводу сбора и использования данных для ранжирования страниц по ряду признаков. Например, представители IT-гиганта неоднократно указывали на то, что компания не использует данные поисковика Chrome для ранжирования. Однако в слитых документах Chrome отдельно упоминается в разделах про то, как веб-сайты появляются в поиске.

Тем не менее, представитель Google рекомендует не торопиться с неправильными выводами о работе поискового алгоритма на основе вырванной из контекста, устаревшей или неполной информации.

Сервисы логистической компании СДЭК работают с перебоями с 26 мая.

Руководство сообщает о технических проблемах, а хакерская группировка Head Mare заявила, что взломала СДЭК, зашифровала данные и уничтожила бэкапы.

В компании заверили, что все посылки «будут бережно сохранены и выданы после устранения технических проблем», а срок хранения в ПВЗ при необходимости будет продлен.

В четверг 30 мая СДЭК начал выдачу посылок в пунктах выдачи, однако часть сервисов на сайте пока не работает.