Кибербезопасность-обсуждение

[ВВ]

Доброго дня.
Останіми днями , почав трішки підвисати Віндовс 11 та 10 .
Найшовши хвилинку, прогнав сьогодні свій ноотбук сканером Dr.Web CureIt
І що очікувалось 11 загроз.
Хтось на форумі уже прописував , що саме краще то це штатний антивірус.
Але , добра людина , порекомендувала, мені ще років 10 тому, дану програмку.
То переодично використовую.
Правда , перше легше можна було завантажити, ніж на даний час.
Якось так,усім гарного та мирного неба, та по менше паразитів у системі.
З повагою ВВ

[skaner2222]

Цитата:

Сообщение от ВВ

Доброго дня.
Останіми днями , почав трішки підвисати Віндовс 11 та 10 .
Найшовши хвилинку, прогнав сьогодні свій ноотбук сканером Dr.Web CureIt

Не советую ни вам ни другим пользователям из Украины пользоваться вражескими антивирусными сервисами, вы одни вирусы удалите а другие установите.

Есть наш украинский бесплатный сканер ZillyaScanner_ua, если не доверяете ему про сканируйте другим но только не вражеским.

[RW011]

Цитата:

Сообщение от skaner2222

Есть наш украинский бесплатный сканер ZillyaScanner_ua, если не доверяете ему про сканируйте другим но только не вражеским.

Да, Этот находит даже очень скрытые угрозы.
Сам иногда "делаю прогон ".
Единственно что плохо-обновления очень редкие.

[skaner2222]

Уязвимости в LibreOffice – срочно обновите офисный пакет
В LibreOffice обнаружены две критические уязвимости (CVE-2023-6186 и CVE-2023-6185), позволяющие злоумышленникам выполнять вредоносные скрипты и плагины.


В популярном бесплатном офисном пакете LibreOffice были обнаружены две критические уязвимости, которые позволяют злоумышленникам выполнять вредоносные скрипты или плагины на компьютере пользователя. Эти уязвимости получили высокий рейтинг серьезности - 8.3 из 10, что делает их значительной угрозой для безопасности пользователей.

Как работают уязвимости
CVE-2023-6186

Эта уязвимость позволяет злоумышленникам выполнять произвольные скрипты при нажатии пользователя на специально подготовленную ссылку в документе. Ссылка может быть замаскирована под безобидную. После нажатия скрипт может эксплуатироваться для кражи конфиденциальной информации, установки вредоносного ПО или других злонамеренных действий.

CVE-2023-6185

Эта уязвимость позволяет злоумышленникам выполнять произвольные плагины для мультимедийного фреймворка Gstreamer на системах Linux. Это может быть достигнуто путем встраивания специально разработанного видео в документ. При открытии видео вредоносный плагин может выполнить код для получения доступа к системе пользователя или выполнения других вредоносных действий. Это особенно актуально для программы презентаций LibreOffice Impress, где пользователи встраивают видео.

Важность обновления
Эти уязвимости особенно серьезны, так как их легко могут использовать злоумышленники. Все, что им нужно сделать, - это создать вредоносный документ и обманом заставить пользователя его открыть. После открытия документа злоумышленник может получить контроль над компьютером пользователя.


К счастью, LibreOffice выпустил обновления, исправляющие эти уязвимости. Пользователям настоятельно рекомендуется обновиться до последней версии LibreOffice как можно скорее. Вот последние версии LibreOffice, в которых исправлены эти уязвимости:

LibreOffice 7.6.4
LibreOffice 7.5.9
Данные исправления уже включены в стабильные релизы Debian, Ubuntu и Fedora.

[sgtr3w6_6845]

skaner2222 На инт сек можешь ключики подогнать,а то давненько никто не вылаживает.

[sgtr3w6_6845]

Спасибо, но все отработаны.

[RW011]

Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения

Группа исследователей из Рурского университета в Бохуме (Германия) представила новую технику MITM-атаки на SSH - Terrapin, эксплуатирующую уязвимость (CVE-2023-48795) в протоколе. Атакующий, способный организовать MITM-атаку, имеет возможность в процессе согласования соединения блокировать отправку сообщения с настройкой расширений протокола для снижения уровня защиты соединения. Прототип инструментария для совершения атаки опубликован на GitHub.

1:

При применении OpenSSH уязвимость позволяет откатить соединение на использование менее защищённых алгоритмов аутентификации или отключить защиту от атак по сторонним каналам, воссоздающим ввод через анализ задержек между нажатиями клавиш на клавиатуре. В Python-библиотеке AsyncSSH в сочетании с уязвимостью (CVE-2023-46446) в реализации внутреннего конечного автомата (internal state machine) атака Terrapin позволяет вклиниться в SSH-сеанс.

Уязвимость затрагивает все реализации SSH, поддерживающие ChaCha20-Poly1305 или шифры в режиме CBC в сочетании с режимом ETM (Encrypt-then-MAC). Например, подобные возможности доступны в OpenSSH уже более 10 лет. Уязвимость блокирована в сегодняшнем выпуске OpenSSH 9.6, а также в обновлениях PuTTY 0.80, libssh 0.10.6/0.9.8 и AsyncSSH 2.14.2. В Dropbear SSH исправление уже добавлено в код, но новый выпуск пока не сформирован.

Уязвимость вызвана тем, что атакующий, контролирующий трафик соединения (например, владелец вредоносной беспроводной точки), может откорректировать порядковые номера пакетов в процессе согласования соединения и добиться незаметного удаления произвольного числа служебных SSH-сообщений, отправленных клиентом или сервером. Среди прочего, атакующий может удалить сообщения SSH_MSG_EXT_INFO, используемые для настройки применяемых расширений протокола. Для того чтобы другая сторона не определила пропадание пакета из-за разрыва в порядковых номерах, атакующий для сдвига порядкового номера инициирует отправку фиктивного пакета с тем же порядковым номером, что и у удалённого пакета. Фиктивный пакет содержит сообщение с флагом SSH_MSG_IGNORE, которое игнорируется при обработке.


Атака не может быть проведена при использовании потоковых шифров и CTR, так как нарушение целостности будет выявлено на уровне приложения. На практике атаке подвержены только шифр ChaCha20-Poly1305 (chacha20-poly1305@openssh.com), при котором состояние отслеживается только по порядковым номерам сообщений, и связка из режима Encrypt-Then-MAC (*-etm@openssh.com) и шифров CBC.

В OpenSSH 9.6 и других реализациях для блокирования атаки реализовано расширение протокола "strict KEX", которое автоматически включается при наличии поддержки на стороне сервера и клиента. Расширение завершает соединение при поступлении любых нештатных или лишних сообщений (например, с флагом SSH_MSG_IGNORE или SSH2_MSG_DEBUG), полученных в процессе согласования соединения, а также сбрасывает счётчик MAC (Message Authentication Code) после завершения каждого обмена ключами.

[Sereqa]

Хакерам вдалось зламати найбільшого виробника криптовалютних гаманців

Цитата:

Стало відомо про атаку на програмний код криптовалютного гаманця Ledger. Пізніше генеральний директор компанії Tether Паоло Ардоіно заявив, що організація заблокувала адресу експлуататора Ledger. Тепер він зможе переміщати кошти в USDT.
За словами підприємця й одного з керівників компанії-емітента стейблкоїна, гаманець 0×65…5c2d практично відразу було внесено до чорного списку Tether. На цей час заблокований криптогаманець зберігає близько $ 44 тис. в USDT. Крім того, на балансах знаходяться токени stETH, стабільна монета USDC та інші активи на загальну суму $ 412 тис.
Журналісти повідомляють, що код сервісу авторизації через криптогаманець Ledger було скомпрометовано. Деякі користувачі втратили свої цифрові активи, однак, розробникам вдалося доволі швидко розібратися з цією проблемою. Представники компанії заявили, що видалили шкідливий баг. А проте, вразливість дала змогу зловмисникам викрасти кошти користувачів із децентралізованих платформ, зокрема Curve, SushiSwap та інших.
Заявлено, що хакери замінили справжню версію програмного забезпечення. Під час авторизації у децентралізованих додатках (dApp) через LedgerConnect запускався процес, який дав можливість викрадати віртуальні активи. Проблема не торкнулася ПЗ самих пристроїв компанії Ledger.
Нагадаємо — Ledger — французька компанія, що спеціалізується на розробці та виробництві фізичних апаратних гаманців для зберігання криптовалют. Основними продуктами компанії є Ledger Nano S і Ledger Nano X — портативне обладнання, яке підключається до комп’ютера або смартфона через USB або Bluetooth. Воно гарантує безпечне зберігання приватних ключів, необхідних для доступу до цифрових активів, і підписує транзакції безпосередньо на пристрої.

[sgtr3w6_6845]

Последнее время сканер что-то вылаживает отыгранные. Или нужно сразу через 5 минут после того как выложил загонять их?

[skaner2222]

Цитата:

Сообщение от sgtr3w6_6845

Последнее время сканер что-то вылаживает отыгранные. Или нужно сразу через 5 минут после того как выложил загонять их?

Сейчас на ключ две активации, раньше было 10-15, так что кто раньше встал того и тапки.

Эти ключи я забрал через полчаса как их выложили.

[finbush]

Соромлюсь спитати, чому саме ЕСЕТ НОД тут тіки?
Бо він сертифікований у нас, легко знайти ключи та гарно працює?
Я вважав, що більшість зараз задоволена безкоштовним вбудованим Windows Defender

[skaner2222]

Цитата:

Сообщение от finbush

Соромлюсь спитати, чому саме ЕСЕТ НОД тут тіки?
Бо він сертифікований у нас, легко знайти ключи та гарно працює?
Я вважав, що більшість зараз задоволена безкоштовним вбудованим Windows Defender

ЕСЕТ единственный который даёт тестовый период, только уже ключи на две активации а это значит если их выложили здесь или где то еще то максимум через час ключами уже ни где ни чего не активируешь.

Так что советую всем не ждать бесплатных ключей а купить лицензионный ключи или пользоваться встроенным в Windows антивирусом, он ни чем не хуже других антивирусов.

[savages]

Цитата:

Сообщение от skaner2222

максимум через час ключами уже ни где ни чего не активируешь.

дуже великий попит. час вимірюється хвилинами ....

[RW011]

На Android нашли 12 приложений-шпионов. Их авторы находят жертв через соцсети

Исследователи кибербезопасности из ESET обнаружили в Google Play на Android сразу 12 вредоносных программ, большинство из которых выдают себя за приложения для общения. Только одно является новостным.
В своих фейковых аккаунтах они используют фото привлекательных людей.

1:

Эксперты выяснили, что их распространяют с помощью социальных сетей. Злоумышленники создали себе фейковые аккаунты с фотографиями привлекательных людей и знакомятся через них с разными людьми. После непродолжительной беседы они предлагают жертвам перенести флирт в один из своих мессенджеров.

Вот названия вредоносных приложений: Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat и Wave Chat.

Все они действительно выполняют свои функции, но также шпионят за пользователями в фоновом режиме. В них обнаружили код трояна удалённого доступа VajraSpy. Этот вирус был разработан хакерской группировкой Patchwork.

Помимо прочего он может красть списки контактов, файлы, журналы вызовов и даже SMS-сообщения. Некоторые из вариантов могут перехватывать сообщения из мессенджеров WhatsApp и Signal, записывать телефонные звонки и делать снимки с помощью камеры устройства.

Google уже удалила эти приложения из своего маркетплейса, но они по-прежнему доступны для загрузки в сторонних магазинах и на вредоносных веб-сайтах. Эксперты отмечают, что пользователи, которые уже загрузили их, не будут в безопасности, пока не удалят программы и полностью не очистят свои смартфоны

[RW011]

Компания Cisco выпустила антивирусный пакет ClamAV 1.3.0 и устранила опасную уязвимость
08.02.2024 12:17
После шести месяцев разработки компания Cisco опубликовала выпуск свободного антивирусного пакета ClamAV 1.3.0. Проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2. Ветка 1.3.0 отнесена к категории обычных (не LTS), обновления к которым публикуются как минимум в течение 4 месяцев после выхода первого релиза следующей ветки. Возможность загрузки базы сигнатур для не-LTS веток также обеспечивается как минимум ещё 4 месяца после выпуска следующей ветки.

Ключевые улучшения в ClamAV 1.3:

1:

Добавлена поддержка извлечения и проверки вложений, используемых в файлах Microsoft OneNote. Разбор формата OneNote включён по умолчанию, но при желании может быть отключён при помощи настройки "ScanOneNote no" в clamd.conf, указании опции командной строки "--scan-onenote=no" при запуске утилиты clamscan или добавления флага CL_SCAN_PARSE_ONENOTE в параметр options.parse при использовании libclamav.
Налажена сборка ClamAV в BeOS-подобной операционной системе Haiku.
В clamd добавлена проверка существования каталога для временных файлов, указанного в файле clamd.conf через директиву TemporaryDirectory. При отсутствии данного каталога процесс теперь завершается с выводом ошибки.
При настройке сборки статических библиотек в CMake, обеспечена установка статических библиотек libclamav_rust, libclammspack, libclamunrar_iface и libclamunrar, применяемых в libclamav.
Реализовано определение типа файла для скомпилированных Python-сценариев (.pyc). Тип файла передаётся в форме строкового параметра CL_TYPE_PYTHON_COMPILED, поддерживаемого в функциях clcb_pre_cache, clcb_pre_scan и clcb_file_inspection.
Улучшена поддержка расшифровки PDF-документов с пустым паролем.
Одновременно сформированы обновления ClamAV 1.2.2 и 1.0.5, в которых устранены две уязвимости, затрагивающие ветки 0.104, 0.105, 1.0, 1.1 и 1.2:

CVE-2024-20328 - возможность подстановки команд в процессе проверки файлов в clamd из-за ошибки в реализации директивы "VirusEvent", применяемой для запуска произвольной команды в случае обнаружения вируса. Детали эксплуатации уязвимости пока не раскрываются, известно только то, что проблема устранена через отключение поддержки в VirusEvent параметра форматирования строки '%f', который заменялся на имя инфицированного файла.
Cудя по всему, атака сводится к передаче специально оформленного имени заражённого файла, содержащего спецсимволы не экранируемые при запуске команды, указанной в VirusEvent. Примечательно, что похожую уязвимость уже устраняли в 2004 году и также удалением поддержки подстановки '%f', которая затем была возвращена в выпуске ClamAV 0.104 и привела к возрождению старой уязвимости. В старой уязвимости для выполнения своей команды во время проверки на вирусы достаточно было создать файл с именем "; mkdir owned" и записать в него тестовую сигнатуру вируса.

CVE-2024-20290 - переполнение буфера в коде разбора файлов с содержимым в формате OLE2, которое удалённый неаутентифицированный атакующий может использовать для отказа в обслуживании (аварийное завершения процесса сканирования). Проблема вызвана некорректной проверкой конца строки во время сканирования содержимого, приводящей к чтению из области вне границы буфера.

[RW011]

Увага.Шахраї!

Сьогодні зранку отримав "радісне" повідомлення про те, шо Мені треба отримати переказ грошей.З тел.+380443211508.
Спочатку дівчина ласкавим,приємним голосом радісно сповістила Мене про таку новину і що згодом до Мене буде телефонувати топ-менеджер, щоб зв'ясувати питання отримання грошей.
Потім через кожний час телефонували з різних номерів які починалися на +38044321......
Я, "нажаль" не відповідав....
================================================
Набравши відповідний номер у Гуглі ,все стало на свої місця.
З'ясувалося,що починаючи з Січня 2024 багато людей отримали подібні "перекази" та "призи"....

Зв'язався з своїм знайомим з відповідної служби кібербезпеки.
Відповів,що дуже складно їх виявити.
Але майже кожного місяця "накривають" так звані "колл-центри".

Ось відгуки по таким:

https://www.telefonnyjdovidnyk.com.u...0443211508/p/2

https://www.telefonnyjdovidnyk.com.ua/nomer/0443211508

https://callfilter.app/380443211508
================================================
Так що робіть висновки.Просто ТАК ніхто нічого не дасть, а тільки візьме

[stepan71]

Мне на протежений 3 недель звонят с киевского номера (044)
с разных номеров поднимаю трубу молчок тока один номер
ответил ваш номер выиграл приз .Ну понятно что за
приз очередной лохотрон .

[RW011]

В iOS и Android обнаружили вирус, который ворует отпечатки пальцев и сканы лица


Специалисты по безопасности из Group-IB обнаружили в iOS и Android вирус GoldPickaxe, который ворует отпечатки пальцев и сканы лица пользователей. Эксперты отметили, что ранее никогда не сталкивались с таким видом мошенничества.Без ИИ не обошлось..

1:

Пока что троян распространяется только в Юго-Восточной Азии и маскируется под приложения тайских государственных служб. Скачавшим его пользователям предлагается сфотографировать своё удостоверение личности и пройти сканирование лица. После вредоносное ПО передаёт эту информацию злоумышленникам.

Получив необходимые данные, они используют различные модели искусственного интеллекта для создания дипфейков, меняя своё изображение на лица жертв. Это открывает им доступ к чужим банковским счетам.

GoldPickaxe нет в официальных маркетплейсах. Вместо этого злоумышленники обманом заставляют людей установить вредоносное ПО через сторонние сервисы. Они представляются государственными служащими, поэтому многие жертвы выполняют все их просьбы.

Отмечается, что версия для Android мощнее и предоставляет хакерам больше возможностей. В Group-IB пока не знают авторов вируса, но они обнаружили в нём строки отладки на китайском языке.

[RW011]

Кіберполіція застерігає : не стань пособником шахраїв

Шахраї вигадують різні схеми з відмивання та легалізації коштів, отриманих незаконним шляхом. У багатьох з них задіяні так звані дропи. Обіцяючи «легкі гроші», зловмисники «підводять» таких людей під низку статей кримінального кодексу, що загрожує не лише штрафами, а й цілком реальними термінами ув’язнення.

Хто такі дропи?

1:

Дропи (від англ. to drop – кидати), або «грошові мули» – це люди, які за винагороду надають зловмисникам доступ до своїх банківських карток і рахунків. Такі платіжні засоби використовуються як транзитні для проведення переказів на різні суми між іншими рахунками. Це потрібно зловмисникам, аби увести жертв в оману, «заплутати сліди» й ускладнити правоохоронцям роботу під час розслідування злочинів.

Кошти, які проходять через рахунок дропа, можуть бути отримані злочинним шляхом, зокрема - торгівлею наркотиками, людьми, зброєю та ін. Також рахунки дропів часто використовуються для ухилення від сплати податків та переміщення грошей, викрадених з рахунків інших людей.

«Грошових мулів» можуть залучати на постійній основі (коли він сам переказує отримані кошти куди скажуть, залишаючи собі певний відсоток) або «одноразово» (коли дроп за одноразову плату передає оформлені на нього банківські картки, включно з пін-кодами і доступом до веб-банкінгу).

Як зловмисники шукають дропів – не потрапте на гачок

1:

Зазвичай, дропів шукають серед людей, які прагнуть легкого заробітку або перебувають у скрутному фінансовому становищі, тож готові відгукнутися навіть на сумнівні пропозиції.
Найпоширенішим способом пошуку «грошових мулів» є пропозиції роботи, на які найчастіше можна натрапити в соцмережах і месенджерах

.

Ігноруйте пропозиції роботи, якщо:

1:

• в описі вказано необхідність переказувати гроші між рахунками;

• немає інших вимог до кандидата (освіта, робочі обов’язки і т.д.),

• заманюють великими доходами при малих зусиллях, не передбачають особистого контакту з роботодавцем, а лише через онлайн-сервіси.

Також зловмисники можуть маскувати пропозиції роботи під вакансії в реальних і відомих компаніях. Відмовтеся від такої «роботи», якщо інформацію про компанію не змогли знайти в інтернеті, або на її офіційному сайті відсутня інформація про роботу.

Пам’ятайте, головний «тригер» таких вакансій, який має змусити відмовитися від співпраці, - необхідність переказувати кошти, на якому б етапі вам про це не сказав «роботодавець».

Бути дропом – чим це загрожує

1:

Хоча дропам обіцяють легкий і швидкий заробіток, однак це – найнижча ланка злочинної схеми, яку правоохоронці викривають в рамках розслідувань однією з перших.
Людину, яка бере участь у таких схемах, можуть притягнути до кримінальної відповідальності на рівні з іншими учасниками схеми.
У разі розкриття злочину всі фінансові операції «грошових мулів» можуть бути заморожені або конфісковані, тож замість заробітку «легких грошей» - втрата власних.
Навіть якщо правоохоронці ще не дійшли до дропа, його рахунок може заблокувати фінмоніторинг самого банку й запросити дані про джерела походження коштів. Звісно, довести легальність походження коштів такий «грошовий мул» навряд чи зможе, тож рахунок залишиться заблокованим.

Окрім цього, участь у злочинних схемах пов'язана з ризиком для особистої безпеки. Злочинні організації, які використовують дропів, можуть застосовувати погрози або насильство, щоб контролювати своїх учасників.

Що робити, якщо став дропом

1:

Якщо людина на якомусь етапі зрозуміла, що встигла погодитися бути дропом, їй слід звернутися до кіберполіції, залишивши заяву на сайті. Це можна зробити в будь-який час доби.

А якщо ви вже встигли певний час попрацювати «грошовим мулом», рекомендуємо припинити співпрацю з таким «роботодавцем», звернутися до кіберполіції, а також до банку, рахунок в якому був мимоволі використаний для відмивання коштів.

Пам’ятайте, що бути дропом - це дуже ризикована тимчасова діяльність. Людина може бути притягнута до кримінальної відповідальності або постраждати від «роботодавців».

[skaner2222]

Зображення PNG - новий спосіб доставки троянів на комп'ютери організацій
Remcos знайшов метод поширення через потайний завантажувач IDAT Loader.

Згідно з звітом Morphisec, українські організації, що базуються у Фінляндії, стали об'єктами шкідливої кампанії з розповсюдження трояна Remcos RAT. Атаку було приписано угрупованню UAC-0184.

Троян віддаленого доступу Remcos RAT (Remote Access Trojan, RAT) доставляється за допомогою завантажувача IDAT Loader. Фішингова кампанія передбачає використання приманок на військову тематику як відправна точка для запуску ланцюжка зараження, що призводить до розгортання IDAT Loader, який, у свою чергу, використовує вбудований алгоритм стеганографії PNG-зображень, щоб знайти та витягти Remcos RAT. Remcos RAT дозволяє зловмисникові контролювати заражений комп'ютер, викрадати особисту інформацію та спостерігати за діями жертви.



Ланцюжок зараження Remcos RAT

В ході атаки використовувалися фішингові листи, маскуючись під повідомлення від Ізраїльських оборонних сил, і застосовувала складні методи доставки шкідливого ПЗ, включаючи динамічне завантаження функцій Windows API, перевірки підключення до Інтернету та обхід списків блокування процесів.

IDAT Loader, що відрізняється модульною архітектурою та унікальними від інших завантажувачів функціями, у тому числі функцією ін'єкції коду, раніше був використаний для поширення сімейств шкідливих програм DanaBot, SystemBC та RedLine Stealer. У виявленій кампанії модулі IDAT були вбудовані безпосередньо в файл, що виконується, що є відмінною рисою від звичайної практики скачування з віддаленого сервера.

У дослідженні також розглядаються техніки захисту від виявлення з використанням стеганографії та Module Stomping – техніки, що дозволяє шкідливому коду ухилятися від виявлення антивірусними рішеннями за рахунок ін'єкції до легітимних бібліотек.

IDAT Loader перетинається з іншим сімейством завантажувачів під назвою HijackLoader, який був уперше помічений у липні 2023 року та дозволяє доставляти корисні навантаження DanaBot, SystemBC та RedLine Stealer. Незважаючи на відсутність сучасних функцій, завантажувач використовує модульну архітектуру для ін'єкції та виконання коду, що є рідкістю для більшості завантажувачів.