Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Чуть больше года назад в посте Google OAuth и фантомные аккаунты мы уже обсуждали, что использование опции «Вход с аккаунтом Google» в корпоративные сервисы дает возможность сотрудникам создавать фантомные Google-аккаунты, которые не контролируются администратором корпоративного Google Workspace и продолжают работать после оффбординга. Недавно выяснилось, что это не единственная проблема, связанная с OAuth. Из-за недостатков этого механизма аутентификации любой желающий может получить доступ к данным многих прекративших деятельность организаций, перерегистрировав на себя брошенные компаниями домены. Рассказываем подробнее об этой атаке.
Как работает аутентификация при использовании «Вход с аккаунтом Google»
Некоторые могут подумать, что, доверяя опции «Вход с аккаунтом Google», компания получает надежный механизм аутентификации, использующий продвинутые технологии Google и широкие возможности интернет-гиганта по мониторингу пользователей. Однако на деле это не так: при входе с Google OAuth применяется достаточно примитивная проверка. Сводится она, как правило, к тому, что у пользователя есть доступ к почтовому адресу, который привязан к Google Workspace организации.
Причем, как мы уже говорили в предыдущем материале о Google OAuth, это вовсе не обязательно Gmail — ведь привязать Google-аккаунт можно совершенно к любой почте. Получается, что при использовании «Входа с аккаунтом Google» доступ к тому или иному корпоративному сервису защищен ровно настолько надежно, насколько защищен почтовый адрес, к которому привязан Google-аккаунт.
Если говорить несколько более подробно, то при аутентификации пользователя в корпоративном сервисе Google OAuth отправляет этому сервису следующую информацию:
В теории в ID-токене Google OAuth есть уникальный для каждого Google-аккаунта параметр sub, но на практике из-за проблем с его использованием сервисы проверяют лишь домен и адрес электронной почты. Источник
View the full article
-
Автор KL FC Bot
Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
Как выглядит атака при помощи GetShared
Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
Пример мошеннического письма, распространяемого через уведомление GetShared
В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
View the full article
-
Автор KL FC Bot
В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
Как распространяют стилер Arcane
Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
Внутри клиента — куча вариантов читов для Minecraft
View the full article
-
Автор KL FC Bot
Отличная новость для всех пользователей Linux: в нашей линейке продуктов для частных пользователей появилось защитное решение Kaspersky для Linux. Теперь наша защита, завоевавшая больше всех наград в мире, позволяет домашним пользователям максимально обезопасить все свои устройства с самыми популярными операционными системами — Windows, Linux, macOS, Android и iOS — от киберугроз c помощью единой подписки Kaspersky для Linux.
Если вы считали, что киберугрозы обходят Linux стороной, пора пересмотреть взгляды. За последние пять лет количество вредоносов для этой ОС выросло в 20 раз! Среди них — майнеры, шифровальщики и даже зловреды, внедряемые в исходный код популярных программ: так, недавняя атака с бэкдором в утилите архивации XZ, встроенной во многие популярные дистрибутивы Linux, могла стать самой массовой атакой на экосистему Linux за всю историю ее существования.
Помимо вирусов, не менее актуальны для пользователей Linux и другие угрозы, распространенные на всех платформах, — фишинг, вредоносные сайты, кража паролей, банковских и персональных данных.
При этом интерес к устройствам под управлением Linux растет из года в год. И для того чтобы обеспечить наших пользователей стопроцентной защитой на любых операционных системах, мы адаптировали наше защитное решение Kaspersky Endpoint Security для бизнеса, уже много лет используемое по всему миру, под нужды домашних пользователей.
Что умеет Kaspersky для Linux?
Среди ключевых функций Kaspersky для Linux:
проверка системы и устройства, а также отдельных файлов для поиска и удаления вредоносных программ; проверка на наличие угроз съемных носителей, включая USB-накопители и жесткие диски, при их подключении к компьютеру; обнаружение вредоносных программ благодаря анализу поведения на устройстве, обеспечивающее проактивную защиту; защита от вредоносных программ в Интернете; уведомления о попытке перейти по фишинговой ссылке. Надежный антивирус просканирует и заблокирует зараженные файлы, папки и приложения при обнаружении вирусов, троянов-шифровальщиков, программ-вымогателей, стилеров паролей и других зловредов, предотвращая заражение вашего компьютера, других устройств и всей сети.
Анти-фишинг предупреждает о фишинговых ссылках в электронных письмах и на веб-сайтах, защищая ваши пароли, логины и банковские данные от кражи.
Защита онлайн-платежей проверит безопасность сайтов банков и интернет-магазинов перед выполнением денежных операций.
Защита от криптоджекинга предотвратит несанкционированный майнинг криптовалюты на вашем устройстве и снижение скорости его работы.
Проверка съемных носителей — USB-накопителей и внешних жестких дисков — при подключении к компьютеру защитит от распространения вирусов самым старым и традиционным методом.
View the full article
-
Trojan.Arcanum — новый троян, нацеленный на знатоков карт Таро, эзотерики и магии | Блог КасперскогоАвтор KL FC Bot
Представьте, каким был бы мир, если бы с помощью карт Таро можно было точно предсказать абсолютно любые события! Быть может, тогда бы мы пресекли «Операцию Триангуляция» в зародыше, а уязвимостей нулевого дня не возникало бы в принципе — разработчики ПО знали бы о них заранее благодаря предупреждающим раскладам.
Звучит невероятно, но нечто подобное нашим экспертам удалось организовать в этот раз! Читайте этот материал, чтобы узнать, что за новый троян мы обнаружили и как именно это сделали.
Что за троян
Новый троян Trojan.Arcanum распространяется через сайты, посвященные гаданиям и эзотерике, маскируясь под «магическое» приложение для предсказания будущего. На первый взгляд — это безобидная программа, предлагающая пользователю разложить виртуальные карты Таро, рассчитать астрологическую совместимость или даже «зарядить амулет энергией Вселенной», что бы это ни значило. Но на самом деле за кулисами творится нечто по-настоящему мистическое — в худшем смысле этого слова. После внедрения на устройство пользователя Trojan.Arcanum обращается к облачному C2-серверу и устанавливает полезную нагрузку — стилер Autolycus.Hermes, майнер Karma.Miner и шифровальщик Lysander.Scytale.
Собрав данные пользователя (логины, пароли, дату, время и место рождения, банковскую информацию и так далее), стилер также отправляет их в облако, а дальше начинается самое интересное: троян принимается манипулировать своей жертвой в реальной жизни с использованием методов социальной инженерии!
С помощью всплывающих уведомлений Trojan.Arcanum отправляет пользователю псевдоэзотерические советы, побуждая его совершать те или иные действия. Так, получив доступ к банковским приложениям жертвы и обнаружив на счету крупную сумму, злоумышленники отправляют команду, и зловред выдает совет с раскладом о благоприятности крупных инвестиций — после чего жертве может прийти фишинговое письмо с предложением поучаствовать в «перспективном стартапе». А может и не прийти — смотря как лягут карты.
Одновременно с этим встроенный майнер Karma.Miner начинает майнить токены KARMA, а троян активирует платную подписку на сомнительные «эзотерические практики» с ежемесячным списанием средств. Если майнинг кармы обнаруживается и завершается пользователем, шифровальщик перемешивает сегменты пользовательских файлов в случайном порядке без возможности восстановления.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти