С поддоменов Mail.ru похищены данные 25 млн аккаунтов

С поддоменов Mail.ru похищены данные 25 млн аккаунтов

С поддоменов Mail.ru похищены данные 25 млн аккаунтов

Представители агрегатора утечек LeakedSource опубликовали на сайте новую порцию данных. На этот раз от утечки пострадали в основном пользователи различных игр Mail.ru, а также пользователи ряда ММОРПГ сайтов. Большая часть паролей была защищена только посредством MD5, так что их взлом не представляет проблемы.

Сообщается, что ответственность за атаки на скомпрометированные ресурсы лежит на двух неназванных хакерах, а сами атаки имели место в июле-августе 2016 года. В основном взлому подверглись различные форумы. Согласно данным LeakedSource, злоумышленники эксплуатировали уязвимость к SQL-инъекциям в устаревшей версии платформы vBulletin.

База данных агрегатора утечек пополнилась следующими данными:

  • cfire.mail.ru, пострадали аккаунты 12 881 787 пользователей;
  • parapa.mail.ru (сама игра), пострадали 5 029 530 пользователей;
  • parapa.mail.ru (форумы), пострадали 3 986 234 пользователей;
  • tanks.mail.ru пострадали 3 236 254 пользователей.

В руки хакеров попали имена пользователей, email-адреса, зашифрованные пароли и даты рождения. В некоторых случаях также удалось узнать IP-адреса пользователей и телефонные номера.

Представители LeakedSource сообщают, что расшифровали уже большую часть паролей от утекших аккаунтов Mail.ru (MD5 в наши дни нельзя считать надежной защитой), и соответственная информация была добавлена в базу, пишет xakep.ru.

Представители пресс-службы Mail.ru Group прокомментировали ситуацию следующим образом:

«Пароли, о которых идет речь в сообщении LeakedSource, давно не актуальны. Это старые пароли от форумов игровых проектов, которые компания приобретала в разные годы.  Все форумы и игры Mail.Ru Group уже давно переведены на единую безопасную систему авторизации. К почтовым аккаунтам и другим сервисам компании эти пароли вообще никогда не имели никакого отношения».

Кроме того, представители LeakedSource предупредили об утечках данных с десяти других сайтов, от которых суммарно пострадали еще 2,3 млн пользователей. В основном это сайты различных ММОРПГ (Age of Conan, Anarchy online, The secret world), которые удалось взломать опять же благодаря уязвимостям в устаревшем ПО. Список ресурсов и количество пострадавших пользователей можно увидеть ниже.

  • expertlaw.com – 190 938 пользователей;
  • ageofconan.com – 433 662 пользователя;
  • anarchy-online.com – 75 514 пользователя;
  • freeadvice.com – 487 584 пользователя;
  • gamesforum.com – 109 135 пользователей;
  • longestjourney.com – 11 951 пользователь;
  • ppcgeeks.com – 490 004 пользователя;
  • thesecretworld.com (EN) – 227 956 пользователей;
  • thesecretworld.com (FR) – 143 935 пользователей;
  • thesecretworld.com (DE) – 144 604 пользователя.

Так как взлом паролей из полученных дампов уже близится к завершению, исследователи традиционно представили на сайте рейтинг самых распространенных и слабых паролей для *.mail.ru. Худшую двадцатку можно увидеть ниже.

Место Пароль Частота использования
1 123456789 263 347
2 12345678 201 977
3 123456 89 756
4 1234567890 89 497
5 qwertyuiop 32 584
6 123123123 31 268
7 11111111 30 827
8 1q2w3e4r5t 30 087
9 1q2w3e4r 27 399
10 987654321 23 387
11 qazwsxedc 20 748
12 qweasdzxc 19 039
13 1234qwer 18 434
14 12344321 17 488
15 111111 16 372
16 88888888 14 651
17 1qaz2wsx 14 487
18 1234554321 14 262
19 qwertyui 14 187
20 123123 13 892

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru