На соревновании в Китае хакеры взломали Chrome, Edge и Safari, заработав более 500 000 долларов

В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты.

https://xakep.ru/2019/11/19/tianfu-cup-2019/

Официальный сайт криптовалюты Monero был взломан и распространял малварь

Официальный сайт GetMonero[.]com, предоставляющий бинарники для Linux и Windows, был скомпрометирован и распространял малварь, ворующую средства пользователей.

https://xakep.ru/2019/11/20/monero-hacked/

Шифровальщик Troldesh стал лидером по количеству атак в первой половине 2019 года

Аналитики Group-IB сообщают, что больше половины (54%) всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh.

https://xakep.ru/2019/11/20/troldesh-stats/

В королевстве PWN. Атака ret2bss, криптооракулы и реверс-инжиниринг на виртуалке Smasher с Hack The Box #hack #htb #smasher #подписчикам

В этой статье тебя ждут: низкоуровневая эксплуатация веб-сервера со срывом стека и генерацией шелл-кода на лету с помощью древней магии pwntools; атака Padding Oracle на питоновское приложение для вскрытия шифртекста AES-CBC, а также реверс-инжиниринг исполняемого файла с атрибутом SUID для повышения привилегий в системе до локального суперпользователя.

https://xakep.ru/2019/11/20/hackthebox-smasher/

Банковский троян Mispadu маскируется под рекламу McDonald’s

Специалисты ESET рассказали о банковском трояне Mispadu, который использует фейковую рекламу скидочных купонов McDonald’s для распространения.  

https://xakep.ru/2019/11/20/mispadu/

Google и Samsung исправили баг, позволявший приложениям следить за пользователями через камеру

Цепочка уязвимостей позволяла злоумышленникам перехватывать контроль над камерой устройства, а затем скрыто делать снимки или записывать видео, даже в том случае, если устройство заблокировано или пользователь говорит по телефону.

https://xakep.ru/2019/11/20/google-camera/

Mozilla расширяет bug bounty программу и увеличивает размер вознаграждений

В честь пятнадцатилетия браузера Firefox организация Mozilla решила расширить свою программу вознаграждений за уязвимости, включив в нее целый ряд новых сайтов и сервисов. Кроме того размер вознаграждений для некоторых типов багов был утроен.

https://xakep.ru/2019/11/20/mozillla-bug-bounty/

Разработчики Google исправили уязвимость, связанную с динамическими сообщениями в Gmail

ИБ-специалист заработал 5000 долларов, выявив XSS-уязвимость, связанную с динамическими сообщениями в Gmail.  

https://xakep.ru/2019/11/21/amp-xss/

Американского студента обвиняют в разработке кастомного дистрибутива Gentoo для ИГИЛ

Студенту из Чикаго грозит до 20 лет лишения свободы, так как ФБР утверждает, что он занимался разработкой софта для запрещенной в РФ организации ИГИЛ.

https://xakep.ru/2019/11/21/gentoo-for-isis/

Шах и мат! Как устроен нашумевший эксплоит checkm8 и как им воспользоваться #checkm8 #checkra1n #ios #подписчикам

До недавнего времени джейлбрейка для iOS 13 не существовало. Точнее, до тех пор, пока хакер axi0mX не обнаружил уязвимость checkm8 и не объяснил, как можно заюзать ее на благо прогрессивной общественности. Сегодня мы расскажем об этой находке тебе.

https://xakep.ru/2019/11/21/checkra1n/