-
Похожий контент
-
Автор KL FC Bot
Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
Атака на разработчиков: злоупотребление OAuth
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
View the full article
-
Автор niromerskiy
Добрый день, с недавних пор заметил что компьютер начал себя странно вести. В частности играя мой ФПС в играх не с того не с сего со 120 падал до 30 и не поднимался до перезапуска ПК. Думал на все кроме майнера, дошло время я решил посмотреть журналы Защитника Виндовс, и понял что у меня с ним что-то не то, он вроде как работает, но при этом и не работает. Начал пытаться чинить его, и вдруг резко задумался о том может ли это быть связанно с вирусами, сразу подумал на майнер. Начал писать в яндексе запрос "Как проверить ПК на наличие МАЙНЕРА", браузер закрывался почти мгновенно. Начитался на форумах и вспомнил что не так давно с момента как ПК начал себя плохо вести, я активировал Microsoft Office через КМС, в основном пользовался всегда своим проверенным, но потеряв его я решил найти в интернете, как я полагаю начало было положено именно с него. Помогите избавиться от майнера.
-
Автор sputnikk
Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника" -
Автор KL FC Bot
Недавно в Facebook* запустили новую функцию, которая называется «История ссылок». В этом посте мы расскажем о том, что это такое, зачем в Facebook* ее придумали, почему «Историю ссылок» стоит отключить, а главное — как именно это сделать.
Что такое «История ссылок» в Facebook*
В мобильных приложениях Facebook* есть встроенный браузер. Когда вы кликаете по любым опубликованным в Facebook* внешним ссылкам, они отображаются именно в этом браузере. Недавно в социальной сети решили собирать историю всех ссылок, по которым вы переходили, и использовать эти данные для того, чтобы показывать вам таргетированную рекламу.
Зачем это нужно Facebook*? Потому что это не только крупнейшая социальная сеть в мире, но и одна из мощнейших мировых рекламных площадок, которая по масштабам и возможностям уступает разве что Google. Раньше для сбора данных об интересах пользователей и показа таргетированной рекламы на основе этих данных Facebook* использовал так называемые сторонние куки. Однако уже скоро поддержку сторонних куки должны отключить в самом распространенном в мире браузере — Google Chrome.
В Google придумали собственный механизм слежки за пользователями и таргетирования рекламы — он называется Google Ad Topics. Для сбора данных в этой технологии задействованы, собственно, браузер Google Chrome и операционная система Android. Не так давно мы рассказывали, как отключить эту слежку Google.
Ну а в Facebook* решили использовать для отслеживания пользователей браузер, встроенный в мобильные приложения соцсети. Так и появилась функция «История ссылок». Само собой, никаких дополнительных преимуществ простым пользователям она не дает, хотя сам Facebook* преподносит это как заботу о том, чтобы вы в любой момент могли найти посещенную когда-то ссылку. Но если вам не нравится, что Facebook* за вами следит, логично отключить «Историю ссылок» — тем более что сделать это совсем несложно.
Посмотреть статью полностью
-
Автор N0BuKoB
1. !Обнаружил нагружение ОЗУ под 100% при работе в браузере Mozzilla. Вкладки - Вотсап, телеграм, ютуб, майл.ру, дзен. (Всегда в закрепе ничего нового)
2. Установлен AnVir Task Manager. Ничего лишнего на первый взгляд не обнаружено.
3. Дело забросил, думал времена такие ОЗУ искать начал на побольше.
4. !Вдруг начал срабатывать вентилятор охлаждения. Ни разу до этого не слышал как он шумит. Напрягся.
5. В итоге в AnVir Task Manager. обнаружены в расширенной загрузки wow64, wow64base, xtajit64. При попытке отключить "отказано в доступе"
6. Скачен KVRT. Проведена проверка. Угроз не найдено.
7. Закрыл AnVir Task Manager. Зашел заново. "Левых" файлов стало с десяток. Скрин во вложении
8. Провел проверку KVRT. Угроз не обнаружено.
9. Скачен АвтоЛогер. Во вложении отчет
Пи.Эс.
Смущает "Касперский" как ново установленное приложение.Скрин 2
Пи.Пи.ЭС Пишу все это через защищенный браузер. Через Касперский Plus запустил. В других долго грузит и не открывает оф. сайт., форум.
И похоже в Мозиле при запуске браузер отключается расширение Касперский.
CollectionLog-2024.01.18-11.29.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти