Охота на «Мамонта» в Telegram, бой с инфостилерами и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Помогавшие в краже криптовалют инфостилеры RedLine и META остановили работу.
- В Telegram сократилось количество мошеннических групп. Они уходят в Threads.
- Троян FakeCall научился перехватывать звонки в банк.
Помогавшие в краже криптовалют инфостилеры RedLine и META остановили работу
28 октября международная коалиция правоохранителей пресекла деятельность инфостилеров RedLine и META, жертвами которых стали миллионы пользователей по всему миру. Более 1200 серверов работали с вредоносным ПО, похищая различные персональные данные с зараженных устройств. Полученная информация затем продавалась в даркнете и применялась для кражи денег, криптовалют и дальнейших хакерских атак.
🌐 Infostealers #Redline & #META taken down by international coalition.
— Eurojust (@Eurojust) October 29, 2024
🇳🇱 🇺🇸 🇧🇪 🇵🇹 🇬🇧 🇦🇺
⚠️ The malware targeted millions of victims worldwide and was used to steal personal data, including usernames and passwords, addresses, phone numbers and more.
👉 https://t.co/Z0AZLiXGOU pic.twitter.com/4hYKTeCgrA
В Нидерландах отключены три сервера и арестованы два домена, в Бельгии задержаны два человека. США выдвинули обвинения против предполагаемого разработчика и администратора RedLine, россиянина Максима Рудометова. За мошенничество с устройствами доступа, сговор с целью кибератак и отмывание денег ему грозит в совокупности до 35 лет тюрьмы.
Власти также извлекли информацию о клиентах RedLine и META, включая IP-адреса, временные метки активности и указанные при регистрации сведения. Расследование продолжается.
В Telegram сократилось количество мошеннических групп
В конце сентября – начале октября некоторые мошеннические группы стали отказываться от взаимодействия в Telegram, после начала более плотного сотрудничества мессенджера с властями по обмену данными о правонарушителях. На это обратили внимание специалисты компании F.A.C.C.T.
Компания F.A.C.C.T. сообщает о росте активности киберпреступников, работающих по схеме «Мамонт». В Telegram, напротив, сейчас наблюдается спад
— F.A.C.C.T. (@F_A_C_C_T_) November 1, 2024
Детали: https://t.co/SPZXv3c3NH pic.twitter.com/FP8EVcQoo8
Обновление Политики конфиденциальности привело к тому, что работающая по схеме «Мамонт» группа с более чем 10 000 подписчиков объявила о полном переходе на собственную платформу и запуске анонимного onion-сайта.
За четыре недели доходы 70% аналогичных мошеннических групп сократились в среднем на 22% — с 58 млн до 45 млн рублей. Дополнительные сложности у злоумышленников возникли из-за блокировки счетов торговым ботом Crypto Bot, использовавшимся ими для вывода криминальных средств.
Троян FakeCall научился перехватывать звонки в банк
Исследователи Zimperium сообщили об усовершенствованной версии Android-трояна FakeCall, способного перехватывать звонки пользователя в банк и перенаправлять их на номер злоумышленника. Конечной целью является кража конфиденциальной информации и денег со счетов пользователей.
Our #zLabs team uncovered advanced FakeCall malware using voice phishing (vishing) 📞 to hijack calls and steal sensitive data.
— Zimperium (@Zimperium) October 31, 2024
Don’t let vishing compromise your business.
Learn how Zimperium’s MTD protects your enterprise in real-time: https://t.co/CPIBwQ4jiO pic.twitter.com/X1JMurrzdD
Впервые вредонос заметили в апреле 2022 года. В 2023 он научился мимикрировать под более чем 20 финансовых организаций и проводил звонки через сторонние приложения.
Текущая версия устанавливает себя в качестве обработчика вызовов по умолчанию и способна захватывать прямые аудио- и видеопотоки с зараженных устройств. Также она обладает повышенной защитой от обнаружения.
Германия отключила сайт-посредник для DDoS-атак Dstat.cc
Правоохранительные органы Германии захватили инфраструктуру платформы для обзора DDoS-атак Dstat.cc и арестовали двух подозреваемых в возрасте 19 и 28 лет.
Согласно материалам дела, с помощью сайта различные киберпреступные группировки, например российские Killnet и Passion, демонстрировали эффективность своих возможностей. Также на нем размещались обзоры и рекомендации по проведению различных типов атак.
Предполагаемые администраторы Dstat.cc, по версии следствия, также управляли рынком синтетических наркотиков Flight RCS. Им грозит тюремный срок до десяти лет и денежные штрафы.
Торговцы крадеными банковским картами осели в Threads
В соцсети Threads замечен всплеск объявлений о продаже украденных банковских карт и учетных данных пользователей. Об этом сообщает The Register.
Исследователи кибербезопасности нашли не менее 15 аккаунтов, насчитывающих свыше 12 000 подписчиков, где публикуется финансовая и личная информация.
Страницы существуют от одного до двух месяцев, однако должной модерации со стороны Meta не проводится. Наоборот, подобная активность поощряется алгоритмами соцсети и продвигается посредством рекламы, добавили эксперты.
В сообщениях злоумышленников содержатся:
- имена владельцев;
- полные и частичные номера карт с датой истечения срока действия;
- PIN-коды и CVV;
- банковские идентификационные номера;
- названия банков и эмитентов карт;
- номера соцстрахования;
- IP- и физические адреса;
- телефоны и электронные почты;
- даты рождения;
- пароли.
Представители Meta сообщили, что «осведомлены об этом поведении и продолжают принимать меры против аккаунтов и контента, нарушающих правила» площадки.
Также на ForkLog:
- Минюст США обвинил основателя Gotbit в мошенничестве.
- Immunefi: за октябрь криптоиндустрия потеряла $55,1 млн.
- В 1inch прокомментировали взлом приложения и анонсировали возврат средств.
- Виталик Бутерин рассказал о перспективах совершенствования EVM.
- В Circle представили решение для конфиденциальности токенов ERC-20.
- Tether представила ИИ-инструмент для создания ориентированных на конфиденциальность приложений.
- Эксперт обнаружил «вампирскую атаку» на биткоин.
Что почитать на выходных?
Разбираемся в уголовном деле основателя биткоин-биржи Cryptex вместе с аналитиками «ШАРД».