Перезагрузка гаджета из-за YouTube-ролика, атака на Trezor и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Пользователи Trezor стали жертвами массовой фишинговой кампании

Начиная с 27 февраля, злоумышленники атакуют пользователей аппаратного криптокошелька Trezor под видом почтовой и SMS-рассылки о якобы произошедшей утечке данных. На это обратил внимание исследователь безопасности Mich.

???? @Trezor

⚠ /supports-tresor.buzz
⚠ /private-tresor-support.ink
⚠ /supports-tresor.buzz

☣ AS22612 [198.54.115.46]

???? @Namecheap
???? Namecheap@ActorExpose @bunnymaid @CryptoPhishing @CryptoScamDB @JAMESWT_MHT @JCyberSec_ @sniko_ @nullcookies @Spam404#fraud #scam pic.twitter.com/AuoJwvCIWW

— Mich (@dubstard) February 28, 2023

Фишинговые сообщения от имени компании предлагают перейти по указанной ссылке для защиты устройства. 

Поддельный сайт показывает предупреждение о том, что активы пользователей «могут быть в опасности». После нажатия кнопки Start у потенциальной жертвы запрашивают seed-фразу якобы для восстановления доступа к аккаунту. В реальности злоумышленники таким образом получают доступ к средствам на кошельке.

Разработчики Trezor осведомлены о фишинговой кампании и уже призвали пользователей соблюдать осторожность. Они также заявили, что не обнаружили никаких доказательств недавней утечки во внутренних системах.

???? Beware of the active phishing scam!

The attackers contact the victims via phone call, SMS and/or email to say that there’s been a security breach or suspicious activity on their Trezor account.

➡️ Please ignore these messages as they are not from Trezor. ⬅️

More info in???????? pic.twitter.com/nzfSzfwcZ1

— Trezor (@Trezor) February 28, 2023

Почтовые адреса и телефоны клиентов Trezor организаторы атаки предположительно получили через маркетинговый список, украденный при взломе сервиса MailChimp в марте 2022 года.

Похитители данных атаковали облачные сервисы под видом криптомайнера 

Специалисты Sysdig обнаружили масштабную хакерскую кампанию SCARLETEEL, нацеленную на облачные сервисы.

⚔ Sysdig TRT just uncovered a nasty cloud attack. SCARLETEEL began with a compromised container & ended with privilege escalation into an #AWS account to steal proprietary software. Read more on the attack & takeaways to help you stay safe in the cloud: https://t.co/fME8ASYyrt

— Sysdig (@sysdig) February 28, 2023

В скомпрометированных облачных средах злоумышленники развернули криптомайнеры. Однако, по мнению экспертов, атака криптоджекинга всего лишь фикция на фоне реальных целей злоумышленников, направленных на кражу проприетарного ПО.

По данным Sysdig, хакеры использовали уязвимую общедоступную службу в самоуправляемом кластере Kubernetes, размещенном на Amazon Web Services. В нем они устанавливали майнер XMRig и скрипт для извлечения учетных данных.

В дальнейшем полученная информация помогла злоумышленникам создавать бэкдор-пользователей и группы для распространения в облачной среде компании.

Хакеры спрятали майнер Monero в пиратские версии ПО для macOS

Вредоносные версии некоторых программ для macOS, распространяемые в том числе через пиратские торренты, оказались заражены скрытым майнером Monero. Об этом сообщили исследователи Jamf Threat Labs.

Check out our latest blog post authored by @mattbenyo on a family of #malware Jamf Threat Labs has been following that resurfaced and has been operating undetected, despite an earlier iteration being a known quantity to the #security community. https://t.co/PrY6nZfJ6S

— Jamf (@JamfSoftware) February 23, 2023

Они нашли пользователя форума The Pirate Bay под ником wtfisthat34698409672, который с 2019 года публиковал вредоносные приложения, включая Adobe Photoshop, Logic Pro X, Final Cut Pro и другие.

Последняя версия малвари содержит специальный скрипт, завершающий вредоносные процессы при запуске системной утилиты Activity Monitor, что позволяет ей дольше оставаться незамеченной.

В Apple сообщили, что осведомлены о проблеме и работают над обновлениями для эффективной блокировки зловреда.

Ролик на YouTube заставил перезагружаться смартфоны Pixel

Пользователи Reddit обратили внимание, что устройства Pixel, работающие на базе процессоров Google Tensor, перезагружаются при попытке посмотреть отрывок из фильма «Чужой» в качестве 4K HDR.

Участник обсуждения под ником OGPixel5 выявил проблему на смартфонах Google Pixel 6, 6a и Pixel 7. Другие пользователи добавили, что после этого сбоя не работает сотовая связь и для ее активации понадобится перезагрузить устройство еще раз, но уже вручную.

Они предположили, что нечто в формате видео приводит к ошибке в работе смартфонов. Точная причина этого неизвестна. 

По данным издания ArsTechnica, на текущий момент разработчики Google уже исправили баг удаленно, без выпуска какого-либо обновления или «заплатки».

Разработчик Dota 2 поймал более 40 000 читеров на приманку

Компания Valve создала специальный патч-приманку, благодаря которому вычислила и заблокировала более 40 000 читеров в игре Dota 2.

Cheaters Will Never Be Welcome in Dotahttps://t.co/D0keeCjKIF

— DOTA 2 (@DOTA2) February 21, 2023

Разработчики добавили в игровой клиент раздел данных, который не считывался обычными геймерами, однако срабатывал при использовании сторонних читерских инструментов и эксплойтов, нацеленных на поиск внутренних данных.

Эта волна банов стала одной из самых массовых в истории. В Valve добавили, что после проведенной "чистки" они закрыли брешь, которую эксплуатировали читеры. 

Кардеры BidenCash выложили в открытый доступ данные 2,1 млн банковских карт

Операторы кардерского сайта BidenCash бесплатно разместили на хакерском форуме файл, содержащий информацию о 2,1 млн скомпрометированных банковских карт. 

The recent release of 2.1M compromised credit cards by card shop BidenCash underscores the importance of leveraging threat intel to prevent card fraud.

Read more about BidenCash and the evolving state of the illicit credit card marketplace: https://t.co/RMcR6IK8QW

— Flashpoint (@FlashpointIntel) March 2, 2023

По данным специалистов Flashpoint, дамп включает:

• имя и адрес держателя карты;
• полный номер карты;
• срок ее действия;
• номер CVV;
• название банка.

Срок действия около 70% «слитых» карт истекает в 2023 году. 50% карт принадлежат физическим или юридическим лицам из США, еще около 5% украдены у пользователей из Китая и Великобритании.

В основном данные о картах получены из веб-скиммеров — вредоносных скриптов, которые хакеры внедряют на страницы оформления заказов в интернет-магазинах.

BidenCash входит в топ-5 кардерских магазинов по количеству карт.

Несмотря на то, что попавший в открытый доступ бесплатный дамп является одним из крупнейших за последний год, исследователи полагают, что срок действия большинства обнародованных карт, вероятно, скоро истечет, либо финансовые учреждения уже знают о связанном с ними мошенничестве.

Также на ForkLog:

• В TikTok завирусилось видео с «биткоин-мошенником номер один» из Колумбии.
• Злоумышленник разослал фишинговые письма пользователям The Sandbox.
• В Bitzlato предупредили об AML-метках на выводимых с платформы биткоинах.
• Пользователей кошелька MyAlgo попросили вывести средства из-за взлома.
• SEC обвинила бывшего топ-менеджера FTX в обмане инвесторов.
• Токен LaunchZone обесценился на 82% в результате взлома.
• На Бали у российского блогера украли $284 000 в криптовалюте.
• Сеть Solana перезапустили после ошибки в обновлении ПО валидаторов.
• Платформа Oasis конфисковала украденные в рамках взлома Wormhole активы.

Что почитать на выходных?

В образовательном разделе "Крипториум" рассказываем, чем опасны дипфейки и как их распознать.