Обменник для потери биткоинов, закат авторитетного фишинг-игрока и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Злоумышленники создали фишинговую версию легитимной децентрализованной OTC-платформы Whales Market для торговли криптовалютой и продвигают ее в поисковой выдаче Google. На это обратило внимание издание Bleeping Computer.

Реклама в поисковике помечена как «спонсорская», что делает ее более заметной.

Ссылка при наведении отображает правильный URL-адрес https://whales[.]market, однако после нажатия перенаправляет пользователя через ряд сайтов на страницу https://app.whaless[.]market/ с лишней «s» в названии.

Визуально фишинговая версия полностью копирует легитимную платформу, однако любые введенные данные или отправленные через нее активы попадают в руки злоумышленников.

Google не комментировала ситуацию.

Правоохранители из 19 стран взломали инфраструктуру PhaaS-платформы LabHost. В рамках операции арестованы 37 человек, включая разработчика сервиса.

🎣19 countries have joined forces to take down one of the world’s largest phishing-as-a-service platform. #LabHost has been shut down after a year-long investigation led by @metpoliceuk.

Read how Europol supported this investigation ⤵https://t.co/H1s7J0jp9Z

LabHost поддерживала более 170 онлайн-сервисов для фишинга и размещала свыше 40 000 вредоносных доменов. Число зарегистрированных пользователей превышало 10 000 человек.

Подписка на услуги обходилась им от $179 в месяц.

С 2021 года киберпреступники посредством предлагаемых инструментов проводили атаки на банки и другие компании в США. За время работы команда LabHost заработала 1 млн фунтов стерлингов ($1,17 млн), а также выкрала данные минимум 480 000 кредитных карт, 64 000 PIN-кодов и 1 млн паролей для различных онлайн-аккаунтов.

Особенностью платформы была возможность взаимодействовать с жертвами в режиме реального времени, в частности запрашивать коды 2FA/MFA для обхода защиты учетной записи.

Полиция уведомила пользователей LabHost о предстоящих в их отношении расследованиях.

Серверная инфраструктура хакерского форума BreachForums подверглась атаке со стороны группировок R00TK1T и Cyber Army of Russia.

Breached Forum Suspended: Diverse Claims Arise 🚨

As many in the cybersecurity community may already be aware, the infamous Breached Forum has been suspended. Currently, there are no official reports of law enforcement action against the domain or its operators. The forum’s… pic.twitter.com/ovurPaiZ2b

В публичном заявлении они обещают слить данные всех участников форума, включая IP, электронные почты и другую конфиденциальную информацию.

Администратор BreachForums под ником Baphomet подтвердил блокировку домена и начал расследование инцидента, не гарантируя безопасность пользовательских данных.

Предыдущий взлом форума произошел прошлым летом.

Правоохранительные органы США закрыли BreachForums в марте 2023 года. Его создатель и администратор Конор Брайан Фитцпатрик (Pompompurin) приговорен к 20 годам условно-досрочного освобождения под надзором. В конце июня ФБР получило контроль над резервным доменом форума в чистой сети.

Эксперты Microsoft обнаружили пять уязвимостей в платформе OpenMetadata, через эксплуатацию которых неизвестные киберпреступники пытаются получить доступ к кластерам Kubernetes для установки криптомайнеров.

На этапе разведки злоумышленники собирают информацию о конфигурациях сети и оборудования, версиях ОС и активных пользователях. После подтверждения доступа они загружают криптомайнер с удаленного сервера в КНР.

Свои действия хакеры объясняют дороговизной жилья в Китае и желанием купить машину. Также они предлагают очистить систему в обмен на Monero, отправленные на их кошелек.

Атаки продолжаются с начала апреля. Microsoft рекомендует пользователям проверить кластеры с OpenMetadata на предмет подозрительной активности и обновить их до последней версии.

Злоумышленники создали сеть из более чем 300 сайтов с изображениями для кражи аккаунтов в Telegram. Об этом ForkLog сообщили эксперты Solar AURA.

Каждый ресурс посвящен определенной тематике: корейским сериалам, мемам, пицце или порнографическим снимкам. Попасть на эти сайты пользователь может через поисковую выдачу. В этом случае его перенаправляют на фишинговую страницу, имитирующую некий Telegram-канал. Чаще всего используется название «Тебе понравится».

При попытке присоединиться к сообществу жертва попадет на страницу с QR-кодом или формой логина и пароля для входа в Telegram. Через нее злоумышленники получают доступ к аккаунту.

Вредоносная кампания началась в декабре 2023 года. На момент написания все выявленные экспертами фишинговые ресурсы заблокированы.

Компания Apple согласилась удалить из магазина App Store ряд приложений, включая мессенджеры WhatsApp, Telegram, Signal, Line и Threads по запросу властей КНР. Об этом сообщает The Wall Street Journal.

По данным источников издания, причиной этого стал политический контент, включающий «сомнительные» упоминания китайского лидера. Однако представитель Apple опроверг эту информацию.

«Мы обязаны соблюдать законы стран, в которых мы работаем, даже если не согласны с ними», — добавили в компании.

Также на ForkLog:

Разбираемся, есть ли у правды шанс на выживание в эру искусственного интеллекта.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник