Три крупных VPN-сервиса раскрывают конфиденциальные данные пользователей
Главная » Новости

Три крупных VPN-сервиса раскрывают конфиденциальные данные пользователей

Олег Иванов 16 Марта 2018 - 12:29
...
Три крупных VPN-сервиса раскрывают конфиденциальные данные пользователей

Согласно исследованию, проведенному VPNMentor с помощью нанятой группы специалистов, далеко не все VPN-сервисы способны предоставить пользователям защиту их данных. Большинство протестированных сервисов не до конца скрывают IP-адрес клиентов.

Эксперты подчеркивают, что такие недостатки в VPN-сервисах могут использоваться правительством и организациями для отслеживания конкретных лиц, представляющих интерес.

«Мы протестировали 3 популярных VPN-сервиса: Hotspot Shield, PureVPN и Zenmate. К сожалению, мы обнаружили, что все они способствуют утечке конфиденциальных данных», — пишут в блоге исследователи VPNMentor.

Hotspot Shield оказался единственным сервисом, быстро принявшим меры после официального уведомления VPNMentor о наличие бреши в безопасности. Остальные VPN-сервисы на данный момент не ответили VPNMentor, поэтому проект принял решение опубликовать результаты тестов.

Уязвимости в Hotspot Shield затрагивают соответствующее расширение Chrome, десктопная и мобильная версии приложения безопасны.

Первая уязвимость, получившая идентификатор CVE-2018-7879, позволяет злоумышленнику перехватить трафик пользователя, для этого потребуется заманить его на вредоносный сайт.

Эксперты отметили наличие следующего PAC-скрипта, используемого в расширении Hotspot Shield для Chome:

```
function FindProxyForURL(url, host) {
if(url.indexOf('act=afProxyServerPing') != -1) {let parsed = url.match(/act=afProxyServerPing&server=([^&]+)/);
if(parsed && parsed[1]) return 'https '+parsed[1]+':443; DIRECT;';}
```

Он определяет, имеет ли текущий URL параметр act=afProxyServerPing, если он находит этот параметр, весь трафик перенаправляется на прокси-сервер.

Эта проблема, похоже, связана с внутренним тестовым кодом, который не был удален, поскольку скрипт не может проверить, какой хост делает этот «вызов». Злоумышленник может создать ссылку с этими параметрами, что позволит перенаправить пользователя на контролируемый киберпреступниками сервер.

Утечка IP существует благодаря белому списку, который используется расширением для «прямого соединения».

let whiteList = /localhost|accounts\.google|google\-analytics\.com|chrome\-signin|freegeoip\.net|event\.shelljacket|chrome\.google|box\.anchorfree|googleapis|127\.0\.0\.1|hsselite|firebaseio|amazonaws\.com|shelljacket\.us|coloredsand\.us|ratehike\.us|pixel\.quantserve\.com|googleusercontent\.com|easylist\-downloads\.adblockplus\.org|hotspotshield|get\.betternet\.co|betternet\.co|support\.hotspotshield\.com|geo\.mydati\.com|control\.kochava\.com/;if(isPlainHostName(host) || shExpMatch(host, '*.local') || isInNet(ip, '10.0.0.0', '255.0.0.0') || isInNet(ip, '172.16.0.0', '255.240.0.0') || isInNet(ip, '192.168.0.0', '255.255.0.0') || isInNet(ip, '173.37.0.0', '255.255.0.0') || isInNet(ip, '127.0.0.0', '255.255.255.0') || !url.match(/^https?/) || whiteList.test(host) || url.indexOf('type=a1fproxyspeedtest') != -1) return 'DIRECT';

Тесты показали, что любой домен, который содержит localhost в URL-адресе, обходит прокси-сервер (например, localhost.foo.bar.com). Так же происходит и с type=a1fproxyspeedtest.

Чтобы продемонстрировать наличие утечки, специалисты зашли на сайт с неподдерживаемой версией Hotspot Shield.

Эксперты подтвердили, что в настоящее время уязвимости PureVPN и ZenMate могут использоваться для деанонимизации пользователей этих сервисов.

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Для macOS появился первый зловред, написанный с помощью ИИ
Екатерина Быстрова 10 Января 2026 - 20:29
macOS ТрояныGenAI (генеративный искусственный интеллект) Домашние пользователи
Для macOS появился первый зловред, написанный с помощью ИИ

Специалисты Mosyle обнаружили необычную и довольно тревожную вредоносную кампанию под macOS. И дело тут не только в том, что речь снова идёт о криптомайнере. По данным исследователей, это первый зафиксированный в «дикой природе» macOS-зловред, в коде которого явно прослеживаются следы генеративного ИИ.

На момент обнаружения вредонос не детектировался ни одним крупным антивирусным движком, что само по себе уже неприятно.

И это особенно интересно на фоне предупреждений Moonlock Lab годичной давности — тогда исследователи писали, что на подпольных форумах активно обсуждают использование LLM для написания macOS-зловредов. Теперь это перестало быть теорией.

Кампанию назвали SimpleStealth. Распространяется она через фейковый сайт, маскирующийся под популярное ИИ-приложение Grok. Злоумышленники зарегистрировали домен-двойник и предлагают скачать «официальный» установщик для macOS.

После запуска пользователь действительно видит полноценное приложение, которое выглядит и ведёт себя как настоящий Grok. Это классический приём: фейковая оболочка отвлекает внимание, пока вредонос спокойно работает в фоне и остаётся незамеченным как можно дольше.

При первом запуске SimpleStealth аккуратно обходит защитные функции системы. Приложение просит ввести пароль администратора — якобы для завершения настройки. На самом деле это позволяет снять карантинные ограничения macOS и подготовить запуск основной нагрузки.

С точки зрения пользователя всё выглядит нормально: интерфейс показывает привычный ИИ-контент, ничего подозрительного не происходит.

А внутри — криптомайнер Monero (XMR), который позиционируется как «конфиденциальный и неотслеживаемый». Он работает максимально осторожно:

  • запускается только если macOS-устройство бездействует больше минуты;
  • мгновенно останавливается при движении мыши или вводе с клавиатуры;
  • маскируется под системные процессы вроде kernel_task и launchd.

В итоге пользователь может долго не замечать ни повышенной нагрузки, ни утечки ресурсов.

Самая интересная деталь — код зловреда. По данным Mosyle, он буквально кричит о своём ИИ-происхождении: чрезмерно подробные комментарии, повторяющаяся логика, смесь английского и португальского — всё это типичные признаки генерации с помощью LLM.

Именно этот момент делает историю особенно тревожной. ИИ резко снижает порог входа для киберпреступников. Если раньше создание подобного зловреда требовало серьёзной квалификации, теперь достаточно интернета и правильно сформулированных запросов.

Рекомендация здесь стара как мир, но по-прежнему актуальна: не устанавливайте приложения с сомнительных сайтов. Загружайте софт только из App Store или с официальных страниц разработчиков, которым вы действительно доверяете.

Индикаторы компрометации приводим ниже:

Семейство вредоносов: SimpleStealth

Имя распространяемого файла: Grok.dmg

Целевая система: macOS

Связанный домен: xaillc[.]com

Адрес кошелька:

4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3

Хеши SHA-256:

  • 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
  • e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
  • 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
  • 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
  • 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Атаки через старые уязвимости выросли на 33% за 2025 год
Новость
Атаки через старые уязвимости выросли на 33% за 2025 год
NordVPN опровергла взлом после утечки данных на BreachForums
Новость
NordVPN опровергла взлом после утечки данных на BreachForums
Вышла САКУРА 2.37: интеграция с OpenVPN, подключение к серверу по HTTPS
Новость
Вышла САКУРА 2.37: интеграция с OpenVPN, подключение к серве...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.