Охота на «Мамонта» в Telegram, бой с инфостилерами и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Помогавшие в краже криптовалют инфостилеры RedLine и META остановили работу.
  • В Telegram сократилось количество мошеннических групп. Они уходят в Threads.
  • Троян FakeCall научился перехватывать звонки в банк.

Помогавшие в краже криптовалют инфостилеры RedLine и META остановили работу

28 октября международная коалиция правоохранителей пресекла деятельность инфостилеров RedLine и META, жертвами которых стали миллионы пользователей по всему миру. Более 1200 серверов работали с вредоносным ПО, похищая различные персональные данные с зараженных устройств. Полученная информация затем продавалась в даркнете и применялась для кражи денег, криптовалют и дальнейших хакерских атак.

https://twitter.com/Eurojust/status/1851187414540185861?ref_src=twsrc%5Etfw

В Нидерландах отключены три сервера и арестованы два домена, в Бельгии задержаны два человека. США выдвинули обвинения против предполагаемого разработчика и администратора RedLine, россиянина Максима Рудометова. За мошенничество с устройствами доступа, сговор с целью кибератак и отмывание денег ему грозит в совокупности до 35 лет тюрьмы.

Власти также извлекли информацию о клиентах RedLine и META, включая IP-адреса, временные метки активности и указанные при регистрации сведения. Расследование продолжается.

В Telegram сократилось количество мошеннических групп

В конце сентября – начале октября некоторые мошеннические группы стали отказываться от взаимодействия в Telegram, после начала более плотного сотрудничества мессенджера с властями по обмену данными о правонарушителях. На это обратили внимание специалисты компании F.A.C.C.T.

https://twitter.com/F_A_C_C_T_/status/1852284405542211823?ref_src=twsrc%5Etfw

Обновление Политики конфиденциальности привело к тому, что работающая по схеме «Мамонт» группа с более чем 10 000 подписчиков объявила о полном переходе на собственную платформу и запуске анонимного onion-сайта.

Охота на «Мамонта» в Telegram, бой с инфостилерами и другие события кибербезопасности

Сообщение в одной из мошеннических групп об уходе из Telegram. Данные: F.A.C.C.T.

За четыре недели доходы 70% аналогичных мошеннических групп сократились в среднем на 22% — с 58 млн до 45 млн рублей. Дополнительные сложности у злоумышленников возникли из-за блокировки счетов торговым ботом Crypto Bot, использовавшимся ими для вывода криминальных средств.

Троян FakeCall научился перехватывать звонки в банк

Исследователи Zimperium сообщили об усовершенствованной версии Android-трояна FakeCall, способного перехватывать звонки пользователя в банк и перенаправлять их на номер злоумышленника. Конечной целью является кража конфиденциальной информации и денег со счетов пользователей.

https://twitter.com/Zimperium/status/1852046408762663276?ref_src=twsrc%5Etfw

Впервые вредонос заметили в апреле 2022 года. В 2023 он научился мимикрировать под более чем 20 финансовых организаций и проводил звонки через сторонние приложения. 

Текущая версия устанавливает себя в качестве обработчика вызовов по умолчанию и способна захватывать прямые аудио- и видеопотоки с зараженных устройств. Также она обладает повышенной защитой от обнаружения.

Германия отключила сайт-посредник для DDoS-атак Dstat.cc 

Правоохранительные органы Германии захватили инфраструктуру платформы для обзора DDoS-атак Dstat.cc и арестовали двух подозреваемых в возрасте 19 и 28 лет. 

Согласно материалам дела, с помощью сайта различные киберпреступные группировки, например российские Killnet и Passion, демонстрировали эффективность своих возможностей. Также на нем размещались обзоры и рекомендации по проведению различных типов атак.

Предполагаемые администраторы Dstat.cc, по версии следствия, также управляли рынком синтетических наркотиков Flight RCS. Им грозит тюремный срок до десяти лет и денежные штрафы.

Торговцы крадеными банковским картами осели в Threads

В соцсети Threads замечен всплеск объявлений о продаже украденных банковских карт и учетных данных пользователей. Об этом сообщает The Register.

Исследователи кибербезопасности нашли не менее 15 аккаунтов, насчитывающих свыше 12 000 подписчиков, где публикуется финансовая и личная информация.

Страницы существуют от одного до двух месяцев, однако должной модерации со стороны Meta не проводится. Наоборот, подобная активность поощряется алгоритмами соцсети и продвигается посредством рекламы, добавили эксперты.

В сообщениях злоумышленников содержатся: 

  • имена владельцев;
  • полные и частичные номера карт с датой истечения срока действия;
  • PIN-коды и CVV;
  • банковские идентификационные номера;
  • названия банков и эмитентов карт;
  • номера соцстрахования;
  • IP- и физические адреса;
  • телефоны и электронные почты;
  • даты рождения;
  • пароли.

Представители Meta сообщили, что «осведомлены об этом поведении и продолжают принимать меры против аккаунтов и контента, нарушающих правила» площадки.

Также на ForkLog:

  • Минюст США обвинил основателя Gotbit в мошенничестве.
  • Immunefi: за октябрь криптоиндустрия потеряла $55,1 млн.
  • В 1inch прокомментировали взлом приложения и анонсировали возврат средств.
  • Виталик Бутерин рассказал о перспективах совершенствования EVM.
  • В Circle представили решение для конфиденциальности токенов ERC-20.
  • Tether представила ИИ-инструмент для создания ориентированных на конфиденциальность приложений.
  • Эксперт обнаружил «вампирскую атаку» на биткоин.

Что почитать на выходных?

Разбираемся в уголовном деле основателя биткоин-биржи Cryptex вместе с аналитиками «ШАРД».