В США из-за хакерских взломов расследуют деятельность Yahoo

В США из-за хакерских взломов расследуют деятельность Yahoo

В США из-за хакерских взломов расследуют деятельность Yahoo

Власти США начали расследование против компании Yahoo!. Следователи подозревают, что компания могла предупредить своих инвесторов о двух крупных утечках информации быстрее, чем она это сделала. Об этом сообщает The Wall Street Journal со ссылкой на знакомые с ситуацией источники.

Комиссия по ценным бумагам и биржам США начала расследование и в декабре запросила у компании документы. Комиссия пытается узнать, соблюдалось ли гражданское законодательство во время открытия компанией информации о кибератаках. Комиссия требует от компаний заявлять о кибератаках, как только определяется, что взлом повлиял на инвесторов, отмечает газета.

Расследование направлено на утечку Yahoo! 2014 года, когда были похищены данные 500 млн пользователей, сообщают источники WSJ. Похищенная хакерами база включала в себя имена пользователей, их адреса электронной почты, номера телефонов, логины и пароли, а также другую личную информацию. Yahoo! заявила об этой утечке в сентябре 2016 года, до сих пор не объяснив, почему на открытие информации ушло два года, пишет rbc.ru.

Кроме того, в декабре 2016 года Yahoo! сообщила, что установила новый взлом системы, который произошел в 2013 году, когда были похищены данные более 1 млрд пользователей.

WSJ со ссылкой на источники отмечает, что расследование находится на ранней стадии, поэтому преждевременно говорить о том, приведет ли это к публичным последствиям для компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru