Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Слитую переписку группировки Black Basta "скормили" ChatGPT.
Утечка брокера данных Gravy Analytics привела к деанону пользователей.
Украинские хакеры заявили о взломе CarMoney.
Слитую переписку группировки Black Basta "скормили" ChatGPT
11 февраля неизвестный инсайдер опубликовал в открытом доступе архив внутренних чатов группировки вымогателей Black Basta из приложения Matrix. На это обратили внимание исследователи киберугроз PRODAFT.
Переписка охватывает период с сентября 2023 по сентябрь 2024 года. Она содержит адреса криптокошельков, учетные записи жертв, описание фишинговых схем и тактик взломов.
Кроме того, в ней раскрыты личности некоторых членов группировки: в частности, предположительного лидера банды Олега Нефедова (псевдонимы GG, AA, "Трамп") и двух вероятных администраторов под никами Lapa и YY.
Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:- Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8— 3xp0rt (@3xp0rtblog) February 20, 2025
Компания Hudson Rock передала более миллиона полученных внутренних сообщений чат-боту ChatGPT и запустила открытый BlackBastaGPT для их анализа.
По мнению экспертов, слив мог стать результатом внутренних разборок группировки.
Утечка брокера данных Gravy Analytics привела к деанону пользователей
Январский взлом американской фирмы по отслеживанию местоположения Gravy Analytics привел к крупной утечке данных пользователей по всему миру — от РФ до США. Брокер перепродавал сведения о геолокации, собранные тысячами мобильных приложений.
Утекшая база данных связана с рекламными идентификаторами IDFA для iOS и AAID для Android-устройств, что нередко позволяет отслеживать перемещения людей, а в ряде случаев даже деанонимизировать их.
Исследователь Баптист Роберт в ходе эксперимента изучил траекторию движения одного из пользователей от знаковой площади Колумбус-Серкл на Манхэттене в Нью-Йорке до его дома в Теннесси, а на следующий день до места жительства его родителей. Основываясь исключительно на данных OSINT, исследователь узнал множество информации об этом человеке, включая имя его матери и тот факт, что его покойный отец был ветераном ВВС США.
Example of deanonymization:- Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.- Later: Returned home to a TN town with a registered locksmith business.- Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.Yes, you can be tracked. pic.twitter.com/MtViWTbpgf— Baptiste Robert (@fs0c131y) January 8, 2025
Утечка Gravy Analytics подняла вопрос о серьезных рисках индустрии брокеров данных.
Пользователей Signal атаковали через привязку устройств
В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются скомпрометировать учетные записи Signal посредством злоупотребления функцией привязки устройств. Потенциальных жертв обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с девайсом злоумышленника.
Вредоносный QR-код. Данные: Google Threat Intelligence Group.
Для целенаправленных атак фишинговые ссылки маскируют под приглашения в группу Signal или под инструкции по сопряжению устройств с легитимного сайта.
Новый метод атаки опасен тем, что не требует полного взлома оборудования для отслеживания защищенных разговоров жертвы.
Пользователям Signal рекомендуется обновить приложение до последней версии, которая включает улучшенную защиту от фишинговых атак, обнаруженных Google.
Эксперты нашли новую малварь из КНДР для подмены криптокошельков
Северокорейские хакеры Lazarus использовали ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на блокчейн-разработчиков. Об этом заявили специалисты SecurityScorecard.
🚨 North Korea’s @Lazarus Group is Targeting Developers—Again 🚨The STRIKE team just uncovered Operation Marstech Mayhem—a new malware campaign spreading through @GitHub and NPM packages. Developers are unknowingly pulling infected repositories into their projects, putting… pic.twitter.com/1Cic14u1NP— SecurityScorecard (@security_score) February 13, 2025
Вредонос встраивается в сайты или пакеты npm, связанные с различными криптовалютными проектами. Попав на устройство жертвы, он ищет в каталогах Chromium-браузеров расширения кошельков MetaMask, Exodus и Atomic Wallet, после чего меняет их настройки.
Впервые Marstech1 заметили в 2024 году. Его жертвами уже стали не менее 233 человек из США, стран Европы и Азии.
Исследователи отследили вредонос до публичного репозитория на GitHub, созданного ныне заблокированным профилем SuccessFriend.
Украинские хакеры заявили о взломе CarMoney
Хакеры «Украинского киберальянса» сообщили о взломе инфраструктуры российской микрофинансовой компании CarMoney и получении доступа к данным о большом количестве заемщиков организации. Среди них — подразделения ГРУ, ФСБ и воинские части.
В качестве подтверждения группировка опубликовали в том числе два заявления на заем на имена военнослужащих Дмитрия Соловьева и Максима Вагина.
Telegram-канал «Агентство» изучил утечки и обнаружил информацию о людях с аналогичными ФИО, датами и местами рождения. Однако СМИ не смогло независимо проверить информацию, представленную хакерами.
Пресс-служба CarMoney на странице во «ВКонтакте» сообщила, что взлому подвергся «один из старых сайтов компании», а персональные данные клиентов и инвесторов не пострадали. Тем не менее «для предотвращения последствий» специалисты отключили все системы на время проведения мониторинга.
Основателем сервиса кредитования CarMoney является Эдуард Гуринович, называющий себя эксклюзивным партнером игры Hamster Kombat в РФ. Журналисты со ссылкой на издание «Собеседник» также напомнили, что доля в CarMoney принадлежит бывшей жене президента Владимира Путина Людмиле.
На Новый год россияне подверглись масштабному заражению криптомайнером
Специалисты «Лаборатории Касперского» обнаружили, что 31 декабря 2024 года киберпреступники запустили кампанию массового заражения криптомайнером XMRig посредством троянизированных версий популярных игр на торрент-сайтах. Атака StaryDobry длилась на протяжении месяца.
New Year’s Eve wasn’t the only thing #StaryDobry crashed. 🎮On December 31, our experts discovered that cybercriminals had launched a mass infection campaign, hiding #XMRig cryptominers inside trojanized game torrents. With a multi-stage execution chain and stealthy evasion… pic.twitter.com/ZGdtKWD1Ni— Kaspersky (@kaspersky) February 21, 2025
Вредоносные релизы игр BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy злоумышленники создали заранее и загрузили на торрент-трекеры примерно в сентябре 2024 года. Среди скомпрометированных установщиков были популярные симуляторы и игры-песочницы, требующие минимального дискового пространства.
Криптомайнер после установки проверял количество ядер процессора и не запускался, если их оказывалось меньше восьми. Также злоумышленники разместили сервер майнингового пула в собственной инфраструктуре вместо публичной, что затруднило отслеживание их доходов.
Кампания затронула отдельных лиц и предприятия по всему миру, в том числе в РФ, Бразилии, Германии, Беларуси и Казахстане.
Также на ForkLog:
Биржа Bybit потеряла $1,46 млрд в результате взлома.
Цена токена Pi Network обвалилась на 50% после листинга на CEX.
Grok назвал Илона Маска главным дезинформатором.
CTO SafeMoon признал вину в криптомошенничестве на $200 млн.
В РФ назвали дату подключения банков к сервису для анализа криптотранзакций.
SEC переформатировала подразделение по криптовалютам.
BestChange разблокировали в РФ.
Экс-сотрудница payroll-провайдера Bybit получила срок за кражу $5,7 млн.
zkLend выделит $400 000 в рамках плана компенсации пострадавшим от взлома.
Похищенные у Phemex миллионы ушли на новые адреса.
Фигуранты санкционных списков получили $15,8 млрд через криптовалюты в 2024 году.
Подменяющий биткоин-адреса вредонос для macOS улучшил скрытность.
Российские власти отказались от претензий к Виннику.
Исследователи обнаружили похититель криптоключей в Steam-игре.
Отчет: в январе HTX отправила более 380 000 уведомлений о безопасности.
Пользователи Abstract заявили о краже средств через Cardex, позднее команда назвала сумму ущерба.
Четверых норвежцев обвинили в мошенничестве на $80 млн.
Глава Binance предупредил о «новом» скаме с сид-фразами.
Ethereum-валидаторов призвали обновить клиент Geth «во избежание потерь».
Дэйв Портной купил фейковый LIBRA на $170 000.
В РФ задержали администратора Telegram-канала за вымогательство биткоинов.
Мошенники запустили фейковый мем-коин от лица принца Саудовской Аравии.
Что почитать на выходных?
Разбираемся, кто в действительности стоит за серией «президентских» мем-токенов.
https://forklog.com/exclusive/vsled-za-gotbit-na-rynke-poyavilas-krupnaya-gruppa-skamerov
