Хакеры похитили данные о 650 000 клиентов букмекерской компании

Хакеры похитили данные о 650 000 клиентов букмекерской компании

Крупная компания Paddy Power, предоставляющая букмекерские услуги, призналась, что стала жертвой массированной компьютерной атаки, в ходе которой было скомпрометировано 649 055 записей клиентов.

Компания сообщила, что в ходе инцидента злоумышленники не получили доступ к финансовой информации и паролям от аккаунтов, однако, хакерам удалось похитить имена, логины, адреса электронной почты, телефонные номера и даты рождения владельцев счетов. 461 154 скомпрометированных записей были зарегистрированы в Великобритании, 120 849 — в Ирландии и 67 052 принадлежали людям из различных стран.

По словам специалистов, похищенной информации будет достаточно для того, чтобы получить за персональные данные деньги, а также рассылать спам и фишинговые сообщения. В настоящее время компания уведомляет всех своих клиентов об инциденте и рассылает письма с просьбой сменить пароли от аккаунта.

Взлом произошел в 2010 году, но был обнаружен только в мае этого года. Компания получила судебное постановление о восстановлении данных.

«Paddy Power» — одна из крупнейших европейских букмекерских контор. У меня этот бренд ассоциируется с громким скандалом, случившимся пару лет назад. Празднуя забитый гол, нападающий сборной Дании по футболу Никлас Бендтнер продемонстрировал трусы с названием букмекерской конторы. Paddy Power выплатила тогда штраф в 80 тыс. фунтов, но медиа-эффект окупил потраченные деньги. Компания вообще отличается нетривиальными и не всегда однозначными рекламными ходами. Поэтому будет интересно проследить, как пиарщики используют этот инцидент ИБ в свою пользу», — комментирует Владимир Ульянов, руководитель аналитического центра Zecurion.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru