Троян для биткоин-кошельков, взлом Okta и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Владельцы криптокошельков стали жертвами трояна Godfather

Пользователи сотен банковских приложений, криптовалютных кошельков и биткоин-бирж стали мишенью мобильного банковского трояна Godfather для Android. Об этом сообщили специалисты Group-IB.

Group-IB’s #ThreatIntelligence detected more than 400 international financial companies targeted by the #Godfather #Android banking #Trojan between June 2021 and October 2022. Godfather’s predecessor is another #banking Trojan named #Anubis:https://t.co/Kf2IGvrLnk pic.twitter.com/JERnAuNfAC— Group-IB Global (@GroupIB_GIB) December 21, 2022

По их данным, малварь распространяется с июня 2021 года и по состоянию на октябрь 2022 года нацелена на 215 международных банков, 94 криптокошелька и 110 биткоин-бирж. Большинство из них находятся в США, Турции, Испании, Канаде, Германии, Франции и Великобритании.

Godfather является модернизированной версией банковского трояна Anubis. На устройстве жертвы он собирает имена пользователей, пароли, а также коды двухфакторной аутентификации из SMS.

Вредоносная программа распространяется под видом легитимных приложений в Google Play и по модели «вредоносное ПО как услуга».

Эксперты не смогли оценить количество пострадавших, однако согласно отчету Cyble, в Турции Godfather распространяется под видом популярного музыкального приложения. На Google Play его загрузили свыше 10 млн раз.

Okta сообщил о взломе своих GitHub-репозиториев 

Злоумышленники взломали GitHub-репозитории и похитили исходный код ведущего поставщика решений для управления идентификацией Okta.

Согласно внутрикорпоративному уведомлению, в начале декабря GitHub уже предупреждал Okta о подозрительном доступе к репозиториям кода Okta Workforce Identity Cloud. При этом продукт Auth0 Customer Identity Cloud не был затронут.

В Okta заверили, что злоумышленники не получили доступ к корпоративным или клиентским средам. Инцидент не повлиял на обслуживание клиентов.

После получения информации о возможном подозрительном доступе Okta ввела временные ограничения на доступ к репозиториям GitHub, приостановила все интеграции со сторонними приложениями и уведомила об инциденте правоохранительные органы.

В LastPass уточнили ущерб от декабрьской утечки

Разработчики менеджера паролей LastPass завершили расследование взлома произошедшего ранее в декабре. 

Злоумышленникам удалось получить доступ к зашифрованным данным хранилища паролей. Они содержат информацию об учетной записи клиента и связанные метаданные, в том числе наименование компаний, имена конечных пользователей, платежные адреса, электронную почту, номера телефонов и IP-адреса доступа к LastPass.

Разработчики подчеркнули, что конфиденциальные данные хранилища остаются надежно зашифрованными благодаря архитектуре нулевого разглашения.

При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.

LastPass не называет общее число пострадавших, однако уведомила менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.

В LastPass признают, что утечку в дальнейшем могут использовать для фишинга, атак с подстановкой учетных данных или брутфорса аккаунтов, связанных с хранилищем LastPass.

Злоумышленники украли аккаунты в Viber под видом гипермаркетов 

Хакеры притворились известными гипермаркетами в попытке украсть аккаунты пользователей мессенджера Viber. Об этом сообщает Telegram-канал «Беларусь головного мозга».

Только с начала зимы зарегистрировано несколько десятков подобных случаев. 

Мошенники отправляют фишинговую ссылку с «промокодом» от лица известных торговых сайтов, перейдя по которой пользователь теряет доступ к аккаунту.   

После этого кибермошенники звонят жертвам с украденных номеров и под разными предлогами уговаривают оформить кредит на их имя.

Хакеры обошли 2FA при взломе электронной почты Xfinity 

С 19 декабря пользователи электронной почты Xfinity начали получать сообщения об обновлении информации их учетной записи. При этом они утратили доступ к аккаунту, так как пароли были изменены.

После восстановления доступа пользователи увидели, что их взломали, а в профиль неизвестные добавили дополнительную электронную почту с доменом yopmail.com.

Несмотря на установленную для учетных записей двухфакторную аутентификацию, злоумышленникам удалось ее обойти. Для этого они, предположительно, использовали приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2FA.

После этого хакеры сбрасывали пароль и меняли дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж Coinbase и Gemini.

В Xfinity официально не комментировали ситуацию, но, со слов одного из клиентов, корпорация знает о взломе и ведет расследование.

Вымогатели остановили выход газеты The Guardian

Вечером 20 декабря британскую газету The Guardian атаковала неназванная программа-вымогатель. Об этом сообщает Bloomberg.

Инцидент затронул IT-системы и ряд бизнес-служб компании, в связи с чем редакция приказала сотрудникам работать из дома до конца недели.

Издание продолжало публиковать информацию на своем сайте и в приложениях, а к 23 декабря возобновился выход печатной версии.

Технические детали и подробности инцидента отсутствуют, ведется расследование.

В Минцифре Украины подтвердили атаку украинских хакеров на Rutube  

Министр цифровой трансформации Украины Михаил Федоров признал, что кибератаку на российский видеохостинг Rutube 9 мая совершили украинские хакеры. Об этом сообщает Bloomberg.

По словам Федорова, с начала войны IT-армия Украины неоднократно нарушала работу российских сервисов. Он уточнил, что атаку на Rutube хакеры приурочили ко Дню Победы.

«IT-армии даже удалось взломать бейджи сотрудников Rutube, чтобы они не могли попасть внутрь компании», — добавил министр.

9 мая Rutube подвергся мощнейшей за всю историю своего существования хакерской атаке и в течение нескольких дней не мог восстановить работу. Тогда ответственность за инцидент взяли хакеры Anonymous. Они заявили о повреждении более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. 

Российские службы такси предоставят ФСБ доступ к своим базам данных

Госдума РФ в третьем чтении приняла закон, регулирующий работу легковых такси.

Документ обязывает службы такси предоставлять ФСБ доступ к своим информационным системам и базам данных, которые используются для обработки и хранения заказов. 

Технические средства, необходимые для обработки заказов, и базы данных должны размещаться на территории РФ. 

Также на ForkLog:

• Похищенные у российского даркнет-маркетплейса биткоины отправили на помощь Украине.
• Власти Италии и Албании раскрыли мошенническую схему с криптоинвестициями.
• С OpenSea похитили токены Bored Ape стоимостью в миллионы долларов.
• Хакеры потребовали у производителя электрокаров из Китая $2,25 млн в биткоине.
• В Telegram зафиксировали массовые кражи аккаунтов.
• С начала года мошенники запустили почти 120 000 токенов.

Что почитать на выходных?

В конце июня сайдчейн Ronin успешно перезапустили после мартовского масштабного взлома на $625 млн. Предлагаем прочитать материал о проекте и одной из самых крупных хакерских атак за всю историю DeFi.