29.02.2024

ШПЗ DirtyMoe заразило понад 2 000 українських комп'ютерів
Команда реагування на комп'ютерні надзвичайні події України (CERT-UA) повідомляє, що понад 2 000 комп'ютерів у країні були заражені штамом шкідливого програмного забезпечення під назвою DirtyMoe.

DirtyMoe, активний щонайменше з 2016 року, здатний здійснювати криптоджекінг і розподілені атаки на відмову в обслуговуванні (DDoS).

Відомо, що DDoS-ботнет доставляється за допомогою іншого шкідливого програмного забезпечення під назвою Purple Fox або через фальшиві інсталяційні пакети MSI для популярних програм, таких як Telegram. Purple Fox також оснащений руткітом, який дозволяє зловмисникам приховати шкідливе програмне забезпечення на комп'ютері та ускладнити його виявлення і видалення.

Джерело: https://thehackernews.com/2024/02/dirtymoe-malware-infects-2000-ukrainian.html

Методи обходу MFA для компрометації облікових записів
В зв'язку з останніми подіями, під час аналізу масових фішингових атак було виявлено, що багато поштових скриньок, з яких надходили зловмисні листи, є скомпроментованими. Тому ми підготували для вас коротку довідку щодо методів обходу MFA, які використовують зловмисники в цілях компрометацій облікових записів для подальших атак.
● Атака Adversary-in-the-middle (AITM)● MFA prompt bombing● Атаки на службу підтримки● Заміна SIM-карти
Не можна покладатися виключно на MFA — надійний пароль залишається надзвичайно важливою частиною безпеки ваших облікових записів. Цей список методів обходу MFA не є вичерпним, є багато інших, включаючи компрометацію кінцевих точок, експорт згенерованих токенів, використання SSO та виявлення невиправлених технічних вразливостей. 
Джерело: 4 Ways Hackers use Social Engineering to Bypass MFA (thehackernews.com)

Користувачам iOS приготуватися: троян GoldPickaxe краде біометричні дані та перехоплює SMS
Група кіберзлочинців, відома як GoldFactory, розробила новий троян під назвою GoldPickaxe, який атакує користувачів iOS та Android. Він краде біометричні дані, документи, перехоплює SMS та використовує їх для доступу до банківських рахунків жертв.

GoldPickaxe маскується під додатки державних служб та змушує користувачів створювати профіль із розпізнавання обличчя та фотографувати свої посвідчення особи. Він також збирає номери телефонів для пошуку інформації про банківські рахунки.

GoldPickaxe є першим відомим їм трояном для iOS, який поєднує збір біометричних даних, документів, перехоплення SMS та прокси-трафік через пристрої жертв.

Джерело: https://www.helpnetsecurity.com/2024/02/15/goldpickaxe-ios-trojan/

Нова вразливість обходу автентифікації Wi-Fi ставить під загрозу корпоративні та домашні мережі
Дослідники безпеки Маті Ванхуф та Елоїза Гольє нещодавно виявили кілька критичних вразливостей в протоколах аутентифікації Wi-Fi, що використовуються в сучасних мережах WPA2/3.

Виявлені недоліки становлять значний ризик для безпеки, оскільки потенційно дають змогу отримати несанкціонований доступ до конфіденційних даних, що передаються через бездротові мережі, і поставити під загрозу безпеку всіх підключених до них пристроїв.

Вразливості присутні у двох широко використовуваних реалізаціях Wi-Fi з відкритим вихідним кодом - wpa_supplicant та Intel iNet Wireless Daemon (IWD).

Джерело: https://cybersecuritynews.com/new-wi-fi-authentication-bypass-flaw/

Уряд США знешкодив пов’язаний з росією ботнет, який займався кібершпигунством
Уряд США недавно заявив, що знешкодив роботу пов’язаного з російським ГРУ ботнета, який налічував сотні маршрутизаторів для малих та домашніх офісів. Активність ботів полягала в проведенні масових фішингових атак і подібних кампаній зі збору облікових даних проти об’єктів, які представляють інтерес для російської влади, таких як уряд США та інших країн, військові організації, організації безпеки та корпоративні організації. Учасники групи APT28 знаходили вразливі та загальнодоступні маршрутизатори Ubiquiti та отримували до них постійний віддалений доступ, проводячи публічне сканування Інтернету за певним номером версії OpenSSH як параметром пошуку, а потім використовуючи MooBot, ботнет на базі Mirai, для доступу до цих маршрутизаторів. Мережа інфікованих пристроїв була необхідна зловмисникам, щоби такі маршрутизатори працювали як проксі-сервери, передаючи шкідливий трафік і при цьому приховуючи свої справжні IP-адреси. Джерело: https://thehackernews.com/2024/02/us-government-disrupts-russian-linked.html