Анонимный сервис Haystack tool будет полностью удален из сети

Некогда нашумевший в прессе анонимный сервис Haystack tool, разработанный Censorship Research Center, будет полностью удален из сети. С помощью этого сервиса граждане Ирана, могли оставаться незамеченными в Интернет для своего правительства.

Как стало известно, в Haystack tool обнаружены уязвимости, которые могут поставить под угрозу безопасность персональных данных пользователей. Решение о полной ликвидации было принято после того, как было получено сообщение от хакера, взломавшего программу. Хакер назвал Haystack «наихудшей программой, которую он имел неудовольствие взламывать» и предупредил, что те, кто ей пользуются «рискуют жизнью».

Сторонники проекта утверждают, что программа была значительно лучше остальных анонимных сервисов, так как она позволяет скрыть интернет трафик. Поэтому граждане Ирана, пользуясь им, могли беспрепятственно вести активную деятельность в Интернет.

Согласно сообщению, ведущий разработчик проекта ушел в отставку, а оставшиеся разработчики пообещали, что после проведенной независимой экспертизы, код программы будет опубликован в открытых источниках.

Но до сих пор остается не ясным вопрос, а действительно ли с помощью этого сервиса  кому-то удалось замаскировать свою интернет- деятельность от чуткого контроля правительства Ирана?

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru