Вредоносная кампания атакует пользователей через мошеннический сайт Telegram Premium, распространяя опасный вариант вредоносного ПО Lumma Stealer.

Согласно сообщению Cyfirma, домен telegrampremium[.] app очень похож на официальный бренд Telegram Premium и содержит файл start.exe .

Этот исполняемый файл, написанный на C / C++, автоматически загружается при посещении сайта без какого-либо взаимодействия с пользователем.

Как работает вредоносное ПО

После запуска оно собирает конфиденциальные данные, включая логины из браузера, данные криптовалютных кошельков и информацию о системе, что повышает риски, такие как кража личности.

Фейковый сайт работает как механизм drive-by download , то есть вредоносное ПО доставляется автоматически без явного согласия пользователя.

Высокая энтропия исполняемого файла предполагает использование криптора для обфускации , что затрудняет обнаружение традиционными антивирусами.

Статический анализ показывает, что вредоносное ПО импортирует многочисленные функции Windows API, позволяя манипулировать файлами, изменять реестр, получать доступ к буферу обмена, выполнять дополнительные payload-Ы и избегать обнаружения.

ПО также инициирует DNS-запросы через общедоступный DNS Google , обходя внутренние сетевые элементы управления.

Оно взаимодействует как с легитимными сервисами вроде Telegram и Steam Community для возможного управления, так и с алгоритмически сгенерированными доменами для избежания блокировок.

Эти методы позволяют поддерживать каналы связи, избегать обнаружения брандмауэрами и традиционными системами мониторинга.

Домен вновь создан, его характеристики хостинга указывают на краткосрочную, целенаправленную активность.

Вредоносное ПО оставляет несколько замаскированных файлов в директории % TEMP% , включая зашифрованные payload-ами, маскирующиеся под изображения.

Некоторые из них позже переименовываются и выполняются как обфускированные Скрипты, что позволяет по очищать следы своей деятельности.

Он использует такие функции, как Sleep для задержки выполнения и LoadLibraryExW для незаметной загрузки DLL, что затрудняет аналитикам обнаружение ПО во время первоначальной проверки.

Как оставаться в безопасности

• Организациям следует внедрить решения для обнаружения и реагирования на конечные точки (EDR) , способные распознавать подозрительные паттерны поведения, связанные с Lumma Stealer.

• Запретить доступ ко всем вредоносным доменам.

• Установить строгие правила загрузки файлов, чтобы предотвратить доставку payload-ов.

• Использовать многофакторную аутентификацию , чтобы ограничить последствия компрометации учетных данных.

• Регулярная ротация паролей помогает снизить риск долгосрочного доступа злоумышленников.

• Непрерывный мониторинг подозрительной активности позволяет быстрее выявлять и реагировать на потенциальные нарушения безопасности.

Google работает над несколькими крупными инновациями для Google Translate. Среди них переводы с использованием ИИ, обновленный режим «разговор» и новый режим «Практика», который потенциально может конкурировать с Duolingo. Все эти функции построены вокруг ИИ, и Google еще не завершил изменения. Недавно мы заметили еще больше изменений в интерфейсе Translate, а также новый селектор моделей, позволяющий выбирать ИИ-модель для ваших нужд перевода.

Ранее уже замечали, что Google добавляет кнопку для будущей функции «Практика». В рамках изменений Google уменьшит размер кнопки голосового ввода и переместит ее вправо вместо центрального местоположения. Также тогда был замечен значок закладок для сохраненного контента.

В версии Google Translate v9.15. 114 найден код для еще большего обновления интерфейса. В будущем новая строка значков будет содержать кнопки для микрофона / голосового ввода, рукописного ввода и вставки текста. Это упростит доступ к кнопкам рукописи и вставке одной рукой.

Как видно, обновленный интерфейс станет чище, поскольку значки больше не разбросаны по полю ввода, а расположены в аккуратной строке внизу.

На скриншоте также виден новый селектор моделей под заголовком Google Translate. Этот селектор будет доступен и на странице результатов перевода.

Селектор моделей будет иметь два варианта:

• Быстро (Fast): оптимизирован для скорости и эффективности

• Расширенный (Advanced): специализируется на точности, используя Gemini

Модель Fast обеспечивает быстрый и эффективный перевод, но возможно с некоторой потерей точности. Она подходит для быстрого и повседневного использования. Если требуется большая точность, стоит выбрать модель Advanced, которая использует Gemini для более точных результатов.

Согласно нашим ограниченным тестам, модель Advanced в настоящее время поддерживает только несколько языковых пар: английский с французским и испанским:

• English ? Spanish | Spanish ? English

• English ? French | French ? English

Эти языковые пары совпадают с теми, которые поддерживаются в функции «обучение» Google Translate.

Google еще не анонсировал и не подробно описал эти будущие изменения.

Анализ APK позволяет предсказать функции, которые могут появиться в сервисе в будущем на основе разрабатываемого кода. Однако не все предусмотренные функции обязательно появятся в публичном релизе.

Microsoft выпустила обновление приложения Microsoft Store для Windows 10 и 11, которое убрало возможность навсегда отключить автоматические обновления приложений. Теперь, по данным Deskmodder.de (машинный перевод), можно лишь поставить обновление на паузу от одной до пяти недель. После этого Windows снова автоматически будет проверять наличие обновлений для всех приложений, установленных через Microsoft Store. Это сделано по аналогии с Windows Update, где действует такая же логика: по истечении срока паузы система возобновляет обновление (если пользователь не поставит паузу снова).

Журналисты попытались изменить параметры реестра Microsoft Store, чтобы вернуть возможность полностью отключить обновление, но безрезультатно.

Вероятно, Microsoft ввела принудительные обновления по соображениям безопасности. Хакеры часто используют уязвимости в приложениях для доступа к системам. Хотя разработчики обычно довольно быстро исправляют такие баги, пользователи, которые не обновляют приложения, подвергаются риску.

Впрочем, не всем понравится такой подход. Пользователи могут считать, что компания ограничивает их свободу распоряжаться собственным оборудованием и софтом. Теоретически автоматические обновления-это хорошо, но часть людей считает, что они должны иметь право полностью отказаться от них.

Есть и другая проблема: нестабильные обновления. Даже после тщательного тестирования разработчики не могут предсказать все сценарии использования, и ошибки все равно проскальзывают. Известный пример-июль 2024 года, когда сбойное обновление CrowdStrike привело к глобальному IT-коллапсу и многомиллиардным убыткам.

Чтобы проверить, доступна ли у вас новая опция паузы, откройте Microsoft Store, нажмите на свой профиль и выберите Настройки . В самом верху вы увидите переключатель App updates . Если у вас уже активированы принудительные обновления, при его выключении появится окно с выбором, на сколько времени поставить паузу.

Развертывание этого нововведения происходит постепенно-не все пользователи видят его сейчас. Но в ближайшее время ограничение станет стандартом, так же как Microsoft сделала с Windows 11 24h2, начавшей автоматически загружаться на ПК через несколько месяцев после релиза.

Если вы не хотите иметь дело с принудительными обновлениями, вам придется избегать Microsoft Store и загружать приложения напрямую с сайтов разработчиков. Однако Microsoft постепенно стимулирует переход на свою экосистему распространения приложений, стремясь к большему контролю. Это похоже на подход Apple из App Store или Google из Play Store. Не исключено, что в будущем загружать приложения для Windows можно будет только через Microsoft Store.

Google начала поэтапно внедрять новую функцию Calling Cards в бета-версиях своих приложений Android Contacts и Phone . Еще в июле, анализируя APK, эксперты обнаружили признаки разработки этой функции. Теперь ее можно протестировать, установив бета-версии приложения.

В версии Google Contacts 4.61.28.792249534 функция уже доступна без дополнительных манипуляций. Некоторые пользователи в Telegram также сообщают о ее появлении.

Реализация Google противоположна Apple. На iOS пользователь сам настраивает свое фото и имя, которые будут видеть другие, когда он им звонит. Но на iPhone нельзя изменить фото того, кто вам звонит. В Android-наоборот: собственную карточку вызова создать нельзя, зато можно настроить фото и имя для любого контакта, чтобы они отображались на вашем экране во время звонка.

Основное отличие от Apple заключается в том, что в Google у вас есть полный контроль над внешним видом карточек вызова для других людей, но вы не можете настроить свою собственную.

Как это работает

• Просматривая контакт в Google Contacts, появится предложение добавить ему карточку вызова.

• Добавить карту можно также при создании или редактировании контакта.

• Вы можете выбрать изображения с камеры, галереи или Google Фото.

• Доступны настройки шрифта и цвета имени.

• Есть опция использовать карточку как фото контакта (можно пропустить).

• Карты синхронизируются с учетной записью Google и появляются на других устройствах пользователя.

В бета-версии Google Phone 188.0.793710089-publicbeta-pixel2024 карты также интегрированы: в настройках появился пункт Calling Card , где можно просмотреть, для каких контактов они добавлены.

Функция пока доступна лишь части бета-пользователей, но ожидается, что вскоре она появится и в стабильных версиях. Это простой способ визуально разнообразить звонки.

Если у вас есть доступ к бета-версии, вы увидите подсказку «попробуйте добавить карту вызова»при просмотре контакта . Далее можно выбрать фото этого контакта или сделать новое, настроить шрифт и цвет имени. Во время звонка такая карта будет полностью занимать экран.

Это не совсем новинка в экосистеме Android — у Samsung уже давно есть аналогичная функция Profile Card , доступная в профиле контактов.