Неделя киберугроз: от Android-трояна до взлома 4chan и манипуляций в DeFi

Мы подготовили обзор самых значительных новостей из области кибербезопасности за прошедшую неделю.

В последнем обновлении Google Play была добавлена опция автоматической перезагрузки для устройств на Android. Эта функция усложнит получение данных при использовании современных криминалистических инструментов.

Когда телефон включается, он переходит в режим Before First Unlock, в котором большинство пользовательских данных остаются зашифрованными. Однако после первой разблокировки, в состоянии After First Unlock (AFU), эти данные становятся доступными для извлечения.

С новой функцией устройство будет перезагружаться автоматически, если останется бездействующим в течение 72 часов.

Исследователи из Dr.Web сообщили о наличии предустановленных троянизированных приложений в недорогих копиях премиум-версий смартфонов Samsung и Huawei. Среди модифицированных приложений оказались мессенджеры WhatsApp и Telegram, а также QR-сканеры и другие.

Вредоносное ПО Shibai перехватывает обновления приложений, а также ищет в сообщениях адреса криптокошельков Ethereum или Tron, подменяя их на мошеннические. Кроме того, оно сканирует сохраненные изображения на наличие сид-фраз.

Злоумышленники используют около 30 доменных имен для распространения вредоносного ПО и более 60 командных серверов.

За последние два года злоумышленники получили более $1,6 миллиона на свои кошельки.

Аналитики Coinspect выявили критические уязвимости в браузерных кошельках Stellar Freighter, Frontier Wallet и Coin98, которые могут быть использованы для незаметного кражи активов.

Для подключения к dapps браузерные кошельки внедряют код в каждую посещаемую вкладку, создавая канал связи. Это позволяет приложению идентифицировать кошелек и запрашивать доступ к важным функциям, таким как просмотр баланса или инициирование транзакционных одобрений.

Сообщения отправляются в фоновый скрипт, который имеет доступ к закрытым ключам. Заключительное взаимодействие происходит через интерфейс кошелька. В отличие от долгосрочных соединений, которые создают отдельные каналы для разных частей расширения, в данном случае это разделение отсутствует.

Атакующий может преднамеренно вызвать путаницу, отправляя неправомерные сообщения привилегированному API через прослушиватель в фоновом скрипте. Эти вредоносные запросы могут имитировать легитимные и привести к раскрытию сид-фразы для резервного копирования.

Эксперты передали информацию об уязвимости разработчикам всех трех кошельков, и в данный момент все они внесли необходимые исправления.

14 апреля онлайн-форум 4chan оказался жертвой серьезной атаки и приостановил работу. Ответственность за инцидент взяли на себя участники имиджборда Soyjak.party.

В сеть просочились скриншоты администраторских панелей и список электронных писем, предположительно принадлежащих руководителям и модераторам форума.

Как сообщает Bleeping Computer, потенциальный перехват инструментов управления предоставляет хакерам доступ к местоположению и IP-адресам пользователей, а также дает возможность перезапускать доски 4chan и управлять базами данных.

Позже в тот же день исходный код форума был опубликован на Kiwi Farms.

Предполагаемые взломщики не раскрыли метод атаки. Сообщество предполагает, что причиной могло стать использование устаревшей версии языка PHP, датируемой 2016 годом.

Чтобы минимизировать ущерб, администраторы, вероятно, отключили серверы. На момент написания данной статьи сайт недоступен.

Швейцарская кибербезопасностная компания Prodaft объявила о намерении скупать учетные записи с даркнет-форумов. Их интересуют аккаунты на XSS, Exploit, RAMP4U, Verified и BreachForums, зарегистрированные до декабря 2022 года.

Владельцам обещают оплату в криптовалюте, причем сумма будет больше для учеток модераторов или администраторов. При этом аккаунты не должны быть в списке самых разыскиваемых правоохранительными органами. В рамках инициативы пользователи также могут анонимно сообщить о совершенных киберпреступлениях.

Сделка проходит анонимно через защищенные каналы связи. В дальнейшем полученные данные, без указания на продавца, будут переданы правоохранительным органам для использования в HUMINT-операциях и для внедрения в закрытые сообщества киберпреступников.

Американская платформа Reddit в течение второй половины 2024 года получила от госструктур и правоохранительных органов различных стран 122 запроса на удаление содержания. В частности, Россия направила 15 уникальных обращений, из которых соцсеть удовлетворила только четыре (26%).

Согласно отчету, менее трети запрашиваемого контента (27%) действительно нарушало правила платформы. Ни в одном из случаев не применялась геоблокировка.

Больше всего запросов (24) поступило от властей ОАЭ. В общей сложности 27 юридических обращений оказались поддельными, о чем Reddit уведомила правоохранительные органы.

Далее мы исследуем манипуляции в области DeFi и способы их предотвращения.