Хакер запустил онлайн-сервис по взлому WiFi-сетей

Хакер запустил онлайн-сервис по взлому WiFi-сетей

...

Мокси Марлинспайк запустил онлайн-сервис по взлому WiFi-сетей. За небольшую плату к услугам клиентов предоставляется кластер из 400 процессоров, который автоматически подбирает пароли по многомиллионному словарю. Отмечается, что сервис занимается взломом только WPA-сетей, работающих в режиме PSK (pre-shared key — совместно используемый ключ). Несмотря на то что технология WPA/WPA2 существенно надёжнее устаревшей WEP, упрощенный режим WPA-PSK является уязвимым к брутфорсу. Поэтому его рекомендуется использовать, только если пароль не является обычным словом, что существенно усложняет задачу по его подбору.

Создатель сервиса WPA Cracker уверяет, что современный компьютер с двухъядерным процессором способен перебрать 135 миллионов слов за 5 дней. В то время как WPA Cracker справляется с этой задачей за 20 минут, стоимость данной услуги составляет 34 доллара. Предлагается и экономичный вариант стоимостью 17 долларов с работой кластера вполсилы. В этом случае подбор пароля займет не более 40 минут.

Следует также иметь в виду, что деньги за WPA Cracker придётся заплатить независимо от того, удастся ли сервису взломать пароль или нет. Иными словами речь идет о проверке того, является ли пароль к WPA-PSK-сети одним из 135 миллионов слов, входящих в словарь WPA Cracker.

WPA Cracker поможет администратору сети, забывшему пароль. Также сервис может пригодиться для проверки своей WiFi-сети на устойчивость к взломам.

webplanet.ru

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru