Сайт медиагиганта NBC взломан

Сайт медиагиганта NBC взломан

Крупнейшая в мире соцсеть Facebook блокировала размещение и переход пользователей по ссылкам на сайт медиакомпании NBC после сообщений о том, что NBC.com подвергся заражению компьютерным вирусом, сообщает агентство Рейтер.

Основной сайт NBC, а также ряд дочерних ресурсов медиакомпании подверглись хакерской атаке и заражению вредоносным кодом RedKit в ночь на пятницу, сообщает ZDNet. По данным издания, жертвами инцидента могли оказаться десятки тысяч посетителей сайта NBC. Как правило, RedKit использует банковский троян под названием Citadel, который способен перехватывать данные банковских карт пользователей, передает digit.ru.

Компания NBC признала факт взлома своего сайта. «Мы идентифицировали проблему и работаем над ее решением. Пользовательские данные в руки злоумышленников не попадали», — заявили в NBC. По данным разработчика решений для инфобезопасности Fox-IT, компания уже очистила страницы сайта от вредоносных ссылок, однако не исключено, что хакеры по-прежнему могут иметь доступ к NBC.com.

Интернет-ресурсы оперативно отреагировали на инцидент — пользователи Facebook, которые пытались поделиться ссылками на сайт NBC.com, получали сообщение об ошибке при обработке запроса, а при попытке перейти по такой ссылке видели предупреждение о возможном заражении сайта. На данный момент ссылки на NBC.com работают на Facebook в нормальном режиме. Поисковик Google также предупреждал пользователей о небезопасности ссылок на NBC, однако сейчас это сообщение убрал.

Взлом NBC.com стал очередным в серии хакерских атак на известные американские медиакомпании — за последний месяц им подверглись издания The Wall Street Journal и The New York Times. По мнению газет, атаки идут из Китая. Кроме того, нападения хакеров на свои ресурсы в феврале фиксировали компания Apple, соцсеть Facebook и сервис микроблогов Twitter. Связаны ли данные атаки между собой, не уточняется.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

  1. Игрок сам копирует вредоносный JAR-файл в папку с модами.
  2. При запуске Minecraft этот файл загружается вместе с остальными модами.
  3. Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

  • токенов Discord, Minecraft, Telegram;
  • логинов и паролей из браузеров;
  • данных криптокошельков;
  • файлов с компьютера;
  • данных из приложений вроде Steam и FileZilla;
  • снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

 

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru