Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking. Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top. Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking. Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top. Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
A leaked Telegram discussion by 50 so-called crypto influencers has exposed the extraordinary steps they take in order to profit on the back off unsuspecting defi investors. According to a leaked screenshot of the chat, an elaborate plan to defraud defi investors using the worthless “$Few” tokens had been hatched. $Few tokens would be airdropped to some of the influencers who in turn promoted these to unsuspecting followers on Twitter.
Spiking bond yields driving sharp losses in tech stocks
A spike in interest rates since the start of the year has accelerated a rotation out of high-growth technology stocks and into value stocks poised to benefit from a reopening of the economy. The Nasdaq has fallen more than 10% over the past month as the Dow has soared to record highs, with a spike in the 10-year US Treasury yield acting as the main catalyst. It recently surged to a cycle high of more than 1.60% after starting the year below 1%. But according to Jim Paulsen, the Leuthold Group's chief investment strategist, rising interest rates do not represent a long-term threat to the stock market. Paulsen expects the 10-year yield to cross 2% by the end of the year.
A spike in interest rates and its impact on the stock market depends on the economic backdrop, according to Paulsen. Rising interest rates amid a strengthening economy "may prove no challenge at all for stocks," Paulsen said.
