Скамеры спалились на жалобе в MetaMask, арест похитителя личности из 90-х и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Похитители криптовалют выдали себя жалобой на действия MetaMask

Операторы фишинговых сайтов, имитирующих самоуничтожающуюся службу сообщений privnote.com, непреднамеренно раскрыли масштабы своей киберпреступной деятельности по подмене криптовалютных кошельков. Об этом сообщает журналист Брайан Кребс.

В марте они пожаловались разработчикам MetaMask на якобы неправомерную пометку их сайта privnote[.]co как вредоносного. И это несмотря на доказательства, которые привела команда безопасности Ethereum-кошелька.

В ходе общения с командой поддержки MetaMask злоумышленники выдали еще несколько доменов, использовавшихся ими для спуфинга Privnote. 

Их анализ, в свою очередь, вывел ИБ-исследователей на двух граждан — Андрея Сокола из Москвы и Александра Ермакова из Киева. Скорее всего, это псевдонимы.

На них с 2020 года зарегистрировано множество фишинговых сайтов, среди прочего имитирующих MetaMask и крадущих учетные данные пользователей различных даркнет-маркетплейсов.

Только одна из таких платформ с 15 по 19 марта 2024 года принесла злоумышленникам около $18 000 в криптовалютах.

Житель США 33 года выдавал себя за другого человека

Системный администратор Мэтью Кейранс из штата Айова с 1990 года жил под именем своего знакомого, Уильяма Вудса. Об этом сообщает The Register.

Кейранс оформил поддельные документы, включая свидетельство о рождении в Кентукки, номер социального страхования и форму I-9, с помощью которой устроился в IT-команду больницы при Университете Айовы в 2013 году. По новому удостоверению личности он открыл банковский счет в Колорадо и неоднократно брал кредиты.

В 2019 году реальный Вудс, будучи на тот момент бездомным, обнаружил оформленный на свое имя заем на сумму $130 000. Однако, придя в банк, он не смог ответить на контрольные вопросы для доступа к счету. 

Вудс предоставил подлинную карту социального страхования и удостоверение личности штата Калифорния, но в итоге его самого обвинили в краже личности. Под именем "Мэтью Кейранс" мужчина провел почти полтора года в тюрьме и полгода в психлечебнице.

В 2023 году реальный Вудс отыскал больницу, в которой работал злоумышленник. Руководство медучреждения наняло частного детектива, и благодаря ДНК-тесту правда была установлена.

Мэтью Кейранс признал себя виновным. Ему грозит до 32 лет тюрьмы и $1,25 млн штрафа.

Атака на цепочку поставок XZ Utils затронула популярные сборки Linux

Неизвестные злоумышленники в рамках двухлетней атаки на цепочку поставок внедрили серьезный бэкдор в популярный набор утилит XZ Utils. 29 марта 2024 года проблема была случайно обнаружена разработчиком PostgreSQL из Microsoft Андресом Фройндом, который обратил внимание на необычное зависание компьютера.

Библиотека XZ Utils используется для сжатия данных без потерь и работы с форматом .xz. Вредоносный код успел попасть в популярные сборки Linux, правда, в большинстве случаев в их бета-версии.

Наличие бэкдора уже подтвердили разработчики дистрибутивов Fedora, Debian, openSUSE, Kali Linux, Gentoo и Arch Linux. Также оказались затронуты менеджер пакетов Homebrew и встраиваемая ОС OpenWrt. 

Сервис GitHub забанил аккаунты подозреваемых и закрыл доступ к вредоносным репозиториям.

Пользователям рекомендовано откатить версию XZ Utils до 5.4.6 или 5.4.2. Кроме того, компания Binarly выпустила общедоступный сканер для обнаружения имплантата в любом двоичном файле Linux.

250 граждан Индии освободили из киберрабства 

Власти Индии расследуют серию похищений своих граждан в Камбодже для работы на киберпреступников. Об этом сообщают местные СМИ.

Индийцев принуждали заниматься онлайн-мошенничеством. Под видом сотрудников правоохранительных органов или в рамках романтических переписок они вымогали у соотечественников деньги. 

О схеме узнали, когда ее жертвой стал высокопоставленный чиновник из Индии. Полиции уже удалось освободить из рабства 250 человек и арестовать восемь предположительных участников преступного синдиката.

Тем не менее в Камбодже до сих пор нелегально удерживаются минимум 5000 граждан Индии. Согласно предварительным подсчетам, за последние полгода масштабная скам-операция принесла организаторам около $60 млн.

В Snap Store введут ручную проверку криптокошельков

Snap Store, магазин приложений для операционной системы Ubuntu, в течение нескольких месяцев страдает от хакеров, загружающих на его платформу фейковые криптовалютные кошельки. Один из пользователей, скачавший поддельный Exodus Wallet, в феврале потерял 9 BTC (около $490 000 на тот момент).

После ряда жалоб владеющая Snap Store компания Canonical заявила о намерении вручную проверять загружаемые в магазин приложения и создать отдельную политику для публикации криптокошельков на платформе.

В Facebook активизировалась мошенническая реклама ИИ-сервисов

Злоумышленники взламывают Facebook-аккаунты для продвижения вредоносных версий популярных ИИ-сервисов, включая Midjourney, Sora, GPT-5 и DALL-E. На это обратили внимание эксперты Bitdefender. 

Реклама предлагает "ограниченный доступ к новым функциям", однако в реальности загружает на компьютеры пользователей инфостилеры. 

Хакеров интересуют сохраненные в браузере учетные данные, файлы cookie, информация о криптовалютных кошельках и кредитных картах. Впоследствии эти сведения перепродают в даркнете.

Суд в РФ рассмотрит дело похитителей 160 000 кредитных карт

Генпрокуратура РФ обвинила шестерых граждан в незаконном обороте платежных средств и распространении вредоносных программ.

Ведомство утверждает, что с 2017 года фигуранты в составе хакерской группировки похитили данные более 160 000 кредитных карт и другую платежную информацию из иностранных интернет-магазинов, которые затем продали на даркнет-маркетплейсах.

Дело передано в суд.

Lazy Koala атаковала государственные и финансовые компании РФ и Беларуси

Эксперты Positive Technologies обнаружили серию атак на предприятия ряда стран СНГ, за которыми стоит новая кибергруппировка Lazy Koala.

Ее жертвами становятся государственные и финансовые компании, а также медицинские и образовательные учреждения РФ, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана и Армении. Уже скомпрометировано не менее 867 учетных записей.

Похищенные сведения хакеры могут использовать для дальнейших атак на структуры компаний или продать в даркнете.

Пострадавших уведомили об инциденте.

Также на ForkLog:

• Команда StarkNet подтвердила сбой блокчейна.
• Google подала в суд на распространителей мошеннических биткоин-приложений.
• Аирдроп Wormhole привлек внимание мошенников. Токен W упал на 20%.
• Разработчики мем-токена URF совершили rug pull на 2400 SOL.
• FixedFloat потеряла $2,8 млн в результате повторного взлома.
• В «сломанном» смарт-контракте Lido застряли stSOL на $25 млн.
• Пользователи Telegram-ботов BONKbot и Solareum потеряли из-за взломов $520 000.
• PeckShield: из украденных за март $187 млн криптопроекты вернули почти $99 млн.
• Хакер назвал «белым» взлом Prisma на $11 млн. Но средства пока не вернул.

Что почитать на выходных?

Рассказываем, почему KYC не гарантирует безопасность сервисов.