Звонок на −$1 млн, РФ недовольна WhatsApp и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю. "Zoom-конференция" залезла в криптокошелек. ФБР назвало виновников взлома биржи DMM Bitcoin на $308 млн. Аналитики узнали о случаях добровольной компрометации биометрии. В ООН приняли первую Конвенцию по киберпреступности. "Zoom-конференция" залезла в криптокошелек  Несколько пользователей стали жертвами фишингового ПО, замаскированного под приложение Zoom. Злоумышленники уже заработали на этом более $1 млн в различных криптовалютах. Аналитики SlowMist разобрали атаку. ⚠️Beware of phishing attacks disguised as Zoom meeting links!🎣 Hackers collect user data and decrypt it to steal sensitive info like mnemonic phrases and private keys. These attacks often combine social engineering and trojan techniques. Read our full analysis⬇️… pic.twitter.com/kDExVZNUbv— SlowMist (@SlowMist_Team) December 27, 2024 Пострадавшие получали ссылки на видеоконференцию и открывавшаяся страница в точности имитировала интерфейс Zoom. На самом деле она запускала скачивание вредоносного ПО, способного похищать системную информацию, cookie файлы браузера, данные Telegram-аккаунта, сид-фразы и ключи от криптовалютных кошельков. Изученный экспертами адрес хакера получил более $1 млн в USD0++, MORPHO и ETH. Небольшие суммы он перевел на 8800 связанных кошельков, которые предположительно используются для уплаты комиссий. Большая часть украденных средств — 296,45 ETH — поступила на новый адрес. Его баланс на момент написания составлял 32,81 ETH. Данные: SlowMist.  В SlowMist установили, что средства с последнего кошелька поступали на Binance, MEXC, FixedFloat и другие биржи. IP-адрес сервера хакера находится в Нидерландах и в настоящее время помечен платформами анализа угроз как вредоносный. ФБР назвало виновников взлома биржи DMM Bitcoin на $308 млн За майским взломом японской криптовалютной биржи DMM Bitcoin стоят прогосударственные северокорейские хакеры TraderTraitor, также известные как Jade Sleet, UNC4899 и Slow Pisces. Об этом сообщило ФБР. По данным бюро, атака началась еще в марте, когда один из злоумышленников выдал себя за рекрутера на LinkedIn и связался с сотрудником Ginco, японского разработчика ПО для корпоративных криптокошельков. Последний обладал доступом к системе управления активами работодателя.  Хакер отправил ему предложение о работе, включающее предварительный тест на GitHub. Сотрудник скопировал предоставленный вредоносный код Python, чем скомпрометировал рабочий компьютер. В дальнейшем TraderTraitor запросили транзакцию от его имени, что привело к потере 4502,9 BTC ($308 млн на момент атаки). https://forklog.com/news/severokorejskie-hakery-pohitili-v-2024-godu-kriptoaktivy-na-1-34-mlrd Аналитики узнали о случаях добровольной компрометации биометрии Хакеры используют для обхода KYС-проверок подлинные биометрические данные, купленные у пользователей. Им уже удалось собрать «значительную коллекцию документов, удостоверяющих личность, и соответствующих изображений лиц», о чем сообщили аналитики iProov.  📢 EXPOSED: Criminal networks aren't stealing identities anymore. They're buying them. Legally. With cash. And because these are REAL documents freely given, traditional fraud checks are useless. Watch how this works 📷 [VIDEO] or Read more: https://t.co/0mX1VSf9my pic.twitter.com/X2KR4tJ61t— iProov (@iProov) December 23, 2024 Полученные сведения применяют в мошенничестве с различными финансовыми учреждениями.  Исследователи предупредили, что сочетание легитимных документов и подлинных совпадающих биометрических данных делает «чрезвычайно трудным» обнаружение мошенников с помощью традиционных методов проверки. Дуэт программ-вымогателей атаковал малый и средний бизнес в РФ Русскоязычная хакерская группировка Masque, активная с января 2024 года, провела серию атак шифровальщиков на российские компании с требованием выкупа в криптовалютах. Об этом рассказали специалисты F.A.C.C.T.  Начальным вектором в большинстве случаев являлась реализация уязвимости в публично доступных сервисах, таких как VMware Horizon. Далее на скомпрометированный сервер устанавливались программы-вымогатели LockBit 3 (Black) и Babuk (ESXi). Для общения с жертвами злоумышленники использовали мессенджер Tox. Текстовый файл с требованием выкупа. Данные: F.A.C.C.T. С начала года группировка провела как минимум 10 атак на малый и средний бизнес. Сумма первоначального выкупа составляла 5-10 млн рублей в биткоине или Monero. Вымогатели Cl0p поставили 66 жертв на счетчик Операторы вируса-вымогателя Cl0p потребовали от 66 организаций, пострадавших от кражи данных компании Cleo в октябре, заплатить выкуп в течение 48 часов, чтобы избежать утечки информации. Об этом сообщает Bleeping Computer. Данные: Bleeping Computer. По словам киберпреступников, с каждой из жертв связались напрямую и пригласили в защищенный чат для переговоров. Также хакеры указали почтовые адреса для связи.  Неназванное число других пострадавших фирм уже вышло на контакт с Cl0p.  193 государства-члена ООН приняли историческую Конвенцию по киберпреступности После пяти лет переговоров Генассамблея ООН приняла первую Конвенцию по киберпреступности. Она позволит быстро, скоординировано и более эффективно отвечать на противоправные действия в сети. Конвенция регулирует доступ и обмен электронными доказательствами для облегчения расследований и судебного преследования. Государства-участники также получат доступ к круглосуточной оперативной помощи. Сюда входит содействие в расследованиях, идентификации, заморозке, изъятии и возврате доходов от преступлений, а также экстрадиции. Документ предписывает государствам разработать меры по снижению рисков и угроз киберпреступности. Это включает обучение для государственных и частных секторов, программы реабилитации правонарушителей и помощь жертвам. В РФ назвали условия для блокировки WhatsApp Мессенджеру WhatsApp пригрозили блокировкой в РФ в 2025 году, если его руководство не будет соблюдать местные законы. В частности, вопрос касается хранения информации о пользовательских переписках и предоставления ее по просьбе ФСБ. Об этом РИА Новости заявил сенатор Артем Шейкин. По его словам, на данный момент у сервиса нет «никакого контакта» с российскими правоохранительными органами и власти ждут от него изменений.  Сенатор отметил, что если WhatsApp выполнит требования Роскомнадзора, то для пользователей ничего не изменится. Ранее WhatsApp принудительно внесли в реестр организаторов распространения информации. Вопрос блокировки находится в компетенции РКН и на данный момент не обсуждается, уточнили в Госдуме. Также на ForkLog: Не опять, а снова: ChatGPT зафиксировал глобальный сбой. Animoca Brands стала новой жертвой взломщиков в соцсети X. В РФ начнут отслеживать обмен криптовалют через дропов. Взломщик X-аккаунтов заработал на криптоскаме $500 000. Бум мем-коинов привлек мошенников в сеть Solana — отчет Hacken. СМИ: жителя Черноморска обманули на покупке биткоина за 43 000 гривен. Создателей сети S-Group с ущербом в $100 млн арестовали в РФ. Nokia подала патент на модуль шифрования цифровых активов. Сид-фразы в комментариях на YouTube: аналитики рассказали о новом скаме. Киберугрозы из КНДР вызвали чистый отток $249 млн из Hyperliquid. Для создателей мошеннических NFT из США запросили 60 лет тюрьмы. СМИ выявили факт продажи данных участников биткоин-конференций. Пользователи X заподозрили готовящийся взлом Hyperliquid. Италия оштрафовала OpenAI на €15 млн за нарушение конфиденциальности. Основателя HEX объявили в международный розыск. Разработчики Trust Wallet устранили баг, обнуляющий балансы пользователей. Что почитать на выходных? Разбираемся, способен ли "щит Сатоши" противостоять квантовой угрозе для биткоина. https://forklog.com/exclusive/v-ozhidanii-dnya-q-kakoj-otvet-kvantovym-kompyuteram-gotovyat-razrabotchiki-bitkoina