Задержан юноша, продававший пароли от аккаунтов Netflix, Spotify, PSN

Задержан юноша, продававший пароли от аккаунтов Netflix, Spotify, PSN

Задержан юноша, продававший пароли от аккаунтов Netflix, Spotify, PSN

Австралийские правоохранители арестовали гражданина, который заработал 300 000 австралийских долларов (211 000 долларов США) на продаже паролей от аккаунтов популярных сервисов: Netflix, Spotify, Hulu, PSN и Origin. Для этих целей злоумышленник запустил собственный сайт, на котором предлагались подобные услуги.

21-летний молодой человек был арестован вчера в Сиднее. Правоохранители вышли на него в ходе расследования, инициированного ФБР и Австралийской федеральной полицией.

Полученные в процессе расследования зацепки вывели полицейских и агентов спецслужбы на ресурс, расположенный по адресу WickedGen.com.

На самом сайте WickedGen утверждалось, что владелец располагает данными миллионов аккаунтов сервисов платной подписки. При этом предлагался целый спектр сервисов:

Учетные данные киберпреступник получал из различных баз скомпрометированных данных, обычно выбирались те аккаунты, владельцы которых не знали об утечке. Согласно заявлению австралийской полиции, правоохранители задержали предполагаемого преступника, а также изъяли его компьютерное оборудование и определенную сумму в криптовалюте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обнаружен новый Linux-руткит LinkPro: активируется по волшебному пакету

Исследователи из компании Synacktiv сообщили о новом опасном вредоносе для Linux — рутките под названием LinkPro. Его нашли в процессе расследования компрометации инфраструктуры, размещённой на Amazon Web Services (AWS). LinkPro умеет скрываться в системе и активироваться только после получения так называемого magic packet.

Magic packet представляет собой особый сетевой пакет, распознаваемый вредоносом.

По данным экспертов, злоумышленники начали атаку с эксплуатации уязвимого Jenkins-сервера (CVE-2024-23897, 9,8 балла по CVSS). Через него они развернули вредоносный образ Docker с названием kvlnt/vv (уже удалён с Docker Hub) на нескольких Kubernetes-кластерах.

Образ содержал три файла:

  • start.sh — запускал SSH-службу и остальные компоненты;
  • link — утилиту VPN-прокси, позволявшую злоумышленникам подключаться к серверу извне;
  • app — загрузчик на Rust, скачивавший зашифрованный payload с Amazon S3 и связывавшийся с командным сервером.

 

Кроме этого, на узлы Kubernetes доставлялись два других вредоноса, включая LinkPro. Руткит написан на Go и может работать в двух режимах — активном и пассивном. В активном режиме он сам связывается с сервером управления, а в пассивном ждёт особый TCP-пакет, чтобы начать принимать команды.

LinkPro использует два eBPF-модуля: один скрывает процессы и сетевую активность, другой — отвечает за активацию при получении «волшебного пакета». Если установка eBPF-модулей невозможна, вредонос внедряет библиотеку libld.so через файл /etc/ld.so.preload — это позволяет перехватывать системные вызовы и скрывать свою деятельность.

Когда руткит получает нужный TCP-пакет с уникальным параметром — window size 54321, — он запоминает IP-адрес источника и открывает для злоумышленников «окно» на один час, во время которого можно отправлять команды.

LinkPro поддерживает запуск шелл-команд, просмотр файлов, загрузку данных, создание прокси-туннелей и даже удалённое открытие терминала.

В Synacktiv отмечают, что такая схема позволяет злоумышленникам обходить межсетевые экраны и заметно усложняет расследование инцидентов. Кто стоит за созданием LinkPro, пока неизвестно, но исследователи считают, что мотив, скорее всего, финансовый — злоумышленники могли использовать руткит для кражи данных и последующей монетизации доступа к инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru