Новости информационной безопасности

Хакеры создали около 1000 фейковых веб-страниц, имитирующих популярные платформы Reddit и службу обмена файлами WeTransfer. Эти сайты используются для распространения вредоносного ПО под названием Lumma. На фейковых страницах злоумышленники подделывают интерфейс Reddit, показывая вымышленную ветку обсуждения по определённой теме. В обсуждении автор темы якобы просит помощь в загрузке инструмента, другой пользователь предлагает помочь, разместив файл на WeTransfer и поделившись ссылкой, а третий участник благодарит его. Всё это создаёт иллюзию подлинности. Поддельный сайт Reddit Жертвы, щёлкнувшие по ссылке, перенаправляются на фальшивый сайт WeTransfer, визуально схожий с оригинальным интерфейсом. Кнопка «Скачать» ведёт к загрузке...

Описание Cisco выпустила обновления безопасности для исправления уязвимости в ClamAV, связанной с отказом в обслуживании (DoS), для которой доступен код эксплойта типа Proof-of-Concept (PoC). Уязвимость, отслеживаемая как CVE-2025-20128, вызвана переполнением буфера в куче в процедуре расшифровки Object Linking and Embedding 2 (OLE2), что позволяет неавторизованным удалённым злоумышленникам запускать DoS-атаки на уязвимых устройствах. Если эта уязвимость будет успешно использована, это может привести к сбою процесса антивирусного сканирования ClamAV, что предотвратит или задержит дальнейшие операции сканирования. «Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный файл, содержащий объекты OLE2...

Вашингтон допускает, что Кремль может использовать антивирус компании для кражи информации или вмешательства в работу государственный органов. В США ведётся расследование в отношении российской IT-компании «Лаборатория Касперского», сообщает Reuters. Источники издания отмечают, что компания может обвиняться в краже информации или во вмешательстве в работу госорганов. По данным источника, программные продукты «Лаборатории Касперского» в прошлом году оценивало Министерство торговли США, но работа в этом направлении продвигалась медленно, по данному делу был достигнут лишь «незначительный прогресс». Поэтому в марте администрация Байдена призвала чиновников активизироваться. После этого к оценке рисков национальной безопасности из-за ПО...

Уязвимость в 7-Zip позволяет обходить защиту Windows Mark of the Web Уязвимость в файловом архиваторе 7-Zip позволяет злоумышленникам обходить функцию безопасности Windows Mark of the Web (MotW) и выполнять код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов. Поддержка MotW в 7-Zip Функция поддержки MotW была добавлена в 7-Zip в июне 2022 года, начиная с версии 22.00. С тех пор архиватор автоматически добавляет метки MotW (альтернативные потоки данных Zone.Id) ко всем файлам, извлеченным из загруженных архивов. Метка MotW выполняет следующие функции: Информирует операционную систему, браузеры и приложения о ненадежности источника файла. При открытии помеченных файлов отображает предупреждения о...

Группировка «Silent Crow» заявила о новом громком взломе, на этот раз, по их утверждению, они получили доступ к данным одного из крупнейших российских телекоммуникационных операторов — Ростелекома. Согласно информации, опубликованной хакерами, они смогли выкачать базы данных сайтов company.rt.ru и zakupki.rostelecom.ru. В качестве подтверждения своих слов «Silent Crow» предоставили фрагменты таблиц, содержащих информацию о зарегистрированных пользователях и обращениях через форму на сайте. Эти данные датируются 20 сентября 2024 года. Как утверждается, в дампах содержится 154 тысячи уникальных адресов электронной почты и 101 тысяча уникальных номеров телефонов. Если эта информация подтвердится, утечка может затронуть значительное...

Серьезность: высокая (8.6 по шкале CVSS), так как уязвимость основана на сети, имеет низкую сложность, не требует привилегий или взаимодействия с пользователем. Она изменяет область действия, не затрагивает конфиденциальность или целостность, но значительно влияет на доступность. Сканер ChatGPT может быть запущен для DDoS-атаки на веб-сайт жертвы через HTTP-запрос к несвязанному API ChatGPT. Этот дефект в программном обеспечении OpenAI может привести к DDoS-атаке на веб-сайт жертвы с использованием нескольких диапазонов IP-адресов Microsoft Azure, на которых работает ChatGPT. Подробности API ChatGPT демонстрирует критическую уязвимость при обработке запросов HTTP POST к https://chatgpt.com/backend-api/attributions API ожидает список...

Доступ к сервису Viber ограничен в связи с нарушением требований российского законодательства к организаторам распространения информации, выполнение которых необходимо для предотвращения угроз использования мессенджера в террористических и экстремистских целях, вербовки граждан для их совершения, продажи наркотиков, а также в связи с размещением противоправной информации. Viber — мессенджер для обмена сообщениями, звонков и голосовой связи. Он был создан в 2010 году, изначально его можно было использовать только для iPhone. Приложение для Android было запущено спустя год после создания мессенджера. В 2014 году Viber приобрела японская компания Rakuten. В настоящее время мессенджер доступен на iOS, Android, Windows и macOS. По данным...

В системах Windows обнаружена новая уязвимость нулевого дня, которая позволяет злоумышленникам перехватывать учетные данные NTLM, просто обманывая жертву, заставляя ее просматривать вредоносный файл в Проводнике Windows. Уязвимость была обнаружена командой 0patch, платформой, которая предоставляет неофициальную поддержку для версий Windows с истекшим сроком эксплуатации. Microsoft проинформирована о проблеме, но официальное исправление пока не выпущено. Согласно 0patch, проблема, которая в настоящее время пока не получила идентификатор CVE, затрагивает все версии Windows — от Windows 7 и Windows Server 2008 R2 до последних сборок Windows 11, версия 24H2 и Windows Server 2022. Если вы задаётесь вопросом, почему Windows Server 2025...

Простого отображения вредоносного файла в проводнике уже достаточно для атаки. Исследователи обнаружили новую уязвимость в операционной системе Windows, связанную с темами оформления. Она позволяет злоумышленникам удалённо красть учётные данные NTLM. Проблема остаётся актуальной на всех версиях Windows — от 7 до 11, несмотря на выпущенные ранее обновления безопасности. Эксплуатация NTLM давно используется в Relay-атаках, где хакеры заставляют уязвимые устройства подключаться к подконтрольным серверам, получая доступ к конфиденциальным данным. Microsoft уже объявила о намерении отказаться от NTLM в будущих версиях Windows 11. Исследователь ACROS Security выявил новую уязвимость в процессе разработки микропатча для уже известного бага...

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe. Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки...

Пресс релиз от компании 17 сентября 2024 года Ситуация с атакой на ресурсы "Доктор Веб" успешно разрешена, и мы делимся оперативными новостями и хронологией событий. Атака на наши ресурсы началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем. 16 сентября 2024 года наша компания зафиксировала признаки внешнего неправомерного воздействия на IT-инфраструктуру. Согласно действующим протоколам безопасности мы оперативно отключили серверы и запустили процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший использование сервиса Dr.Web FixIt! для Linux. На основании полученных данных мы успешно локализовали угрозу и...

Группа вымогателей RansomHub использует TDSSKiller — легитимный инструмент от Kaspersky — для отключения систем защиты EDR (средств обнаружения и реагирования на конечных точках) на целевых устройствах. После того как защитные механизмы отключены, RansomHub разворачивает инструмент LaZagne для сбора учетных данных, извлекая логины из различных баз данных приложений, что позволяет злоумышленникам продвигаться по сети. DSSKiller используется в атаках программ-вымогателей Kaspersky разработала TDSSKiller как инструмент для сканирования системы на наличие руткитов и буткитов — типов вредоносного ПО, которые особенно сложно обнаружить и которые могут обходить стандартные средства безопасности. Агенты EDR представляют собой более...

Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя. Microsoft предупредила пользователей о критической уязвимости TCP/IP, которая позволяет удалённое выполнение кода (RCE) на всех системах Windows с включенным по умолчанию протоколом IPv6. Уязвимость CVE-2024-38063 (оценка CVSS: 9.8) связана с целочисленным переполнением (Integer Underflow) и может быть использована злоумышленниками для переполнения буфера и выполнения произвольного кода на уязвимых системах Windows 10, Windows 11 и Windows Server. Ошибка была обнаружена исследователем безопасности из Kunlun Lab, известным под псевдонимом XiaoWei XiaoWei подчеркнул, что из-за серьёзности угрозы он не будет раскрывать дополнительные детали в ближайшее время...

Специалисты Elastic обнаружили новую методику выполнения команд, получившую название GrimResource, которая использует специально подготовленные файлы MSC (Microsoft Saved Console) и неисправленную XSS-уязвимость в Windows для выполнения кода через Microsoft Management Console. Летом 2022 года компания Microsoft отключила по умолчанию макросы в Office, что заставило злоумышленников начать эксперименты с другими типами файлов для своих фишинговых атак. Сначала атакующие переключились на ISO-образы и защищенные паролем архивы ZIP, поскольку для извлеченных из них файлов не отображались предупреждения Mark of the Web (MoTW). После того как Microsoft устранила проблему, связанную с ISO-файлами, в 7-Zip добавили возможность установки...

Известный корейский провайдер КТ подозревается в организованной попытке взлома сотен тысяч персональных компьютеров. Он тайком устанавливал на ПК своих абонентов, любящих скачивать файлы через торренты, вредоносное ПО. От его действий пострадали 600 тыс. человек. «Месть» за торренты Интернет-провайдер Korea Telecom, с недавних пор известный просто как КТ, попался на взломе сотен тысяч компьютеров своих абонентов. Как пишет портал TorrentFreak, он устанавливал на ПК своих клиентов, предпочитающих скачивать файлы через торренты, вредоносное ПО. Этот софт мог блокировать торрент-трафик, ломать торрент-клиенты и следить за пользователями. Расследование показало, что КТ подсаживал опасный софт на ПК абонентов на протяжении нескольких лет...

Методички вашингтонского обкома в отношении генеративного ИИ для ведущих технологических гигантов дошли и до Apple, которая вслед за торпедами Microsoft и Google также озаботилась своим прогрессивным шпионским функционалом – передаёт телеграм-канал SecAtor. Компания на Всемирной конференции разработчиков 2024 (WWDC) представила Apple Intelligence и презентовала свою стратегию генеративного искусственного интеллекта по обеспечению персонализированного опыта на яблочных устройствах. Apple Intelligence - это система персонального интеллекта, которая интегрирует мощные генеративные модели непосредственно в основу iPhone, iPad и Mac на iOS 18, iPadOS 18 и macOS Sequoia для анализа, извлечения и выполнения действий с данными на устройстве...

В западном экс-твиттер бурное негодование по поводу обновления Terms of Use со стороны Adobe - пишет телеграмм канал Russian OSINT. Adobe заблокирует клиентам доступ к фотошопу и другому программному обеспечению в том случае, если они не согласятся с новыми пользовательскими условиями, а это фактически является ШПИОНСКИМ ПО! Adobe требует неограниченный доступ ко ВСЕМ вашему контенту и разрешение на мониторинг ваших файлов. - пишет RadarHits (). 👨‍💻 Adobe General Terms of Use 1️⃣ Мы можем получать доступ, просматривать или прослушивать ваш контент (определенный в разделе 4.1 (Контент), 👁 как автоматизированными, так и ручными методами, но только ограниченными способами и только в соответствии с законом. 2️⃣ "Контент" означает любой...

По информации из статьи на хабре. Портал Windows Latest протестировал ранее анонсированную функцию на базе искусственного интеллекта Recall для Windows 11, отметив высокую производительность инструмента и работу без интернета. Тесты прошли на ноутбуке Surface седьмого поколения. Recall производит скриншоты всего, что пользователи делают на компьютере с периодичностью примерно в пять секунд, когда содержимое снимка немного отличается от предыдущего. На основе этих данных функция позволяет найти нужную информацию. Инструмент может сохранить переписку в мессенджерах, рабочий стол, приложения, слайды в PowerPoint, сайты, вкладки браузера и многое другое. Работу Recall можно приостановить из панели задач Полученные скриншоты Recall...

На этой неделе интернет-сообщество активно обсуждало скандальную атаку, предположительно организованную хакерами из России. Исследователи безопасности из Hold Security сообщили, что киберпреступники, находившиеся на территории России, Казахстана и Монголии, осуществили серию атак на 420 тысяч веб-ресурсов. Хотя точный список жертв неизвестен, сообщается, что среди них есть крупные компании из списка Fortune 500. В ходе атаки злоумышленники получили доступ к более чем 1,2 млрд учетных записей. Хакеры использовали взломанные учетные записи для рассылки спама. Однако есть вероятность, что они могут использовать эти данные для кражи личной информации пользователей и мошенничества с банковскими картами. Особенно уязвимы те пользователи...

Хакер опубликовал полный исходный код первой версии шифровальщика HelloKitty, заявив, что разрабатывает новый, более мощный шифровальщик. Утечку впервые обнаружил исследователь кибербезопасности 3xp0rt, который заметил, что угроза актера с именем ‘kapuchin0’ выпустила “первую ветку” шифровальщика HelloKitty. Исходный код был опубликован кем-то под именем “kapuchin0”, но 3xp0rt рассказал BleepingComputer, что злоумышленник также использует псевдоним “Gookee”. Gookee ранее был связан с вредоносными программами и хакерской деятельностью, пытаясь продать доступ к Sony Network Japan в 2020 году, связанный с операцией Ransomware-as-a-Service под названием “Gookee Ransomware” и пытаясь продать исходный код вредоносных программ на хакерском...