Facebook — главное оружие фишера
-
Похожий контент
-
От KL FC Bot
Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
Атака на разработчиков: злоупотребление OAuth
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
View the full article
-
От sputnikk
Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника" -
От KL FC Bot
Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.
Первая приманка
Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.
Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!
View the full article
-
От dubik11
Добрый день, стоит задача сделать иерархию из подчиненного и главного сервера Касперского, главный сервер на версии 13.0.0.11247. Подчиненный сервер будет ставиться на линуксе. Вопрос заключается в совместимости разных версий серверов администрирования. Может ли быть подчиненный сервер версии ниже чем головной или наоборот? Не смог найти данную информацию. В общем вопрос в совместимости.
-
От KL FC Bot
Наши исследователи обнаружили новую версию зловреда из семейства Ducktail, специализирующегося на краже бизнес-аккаунтов Facebook*. Использующие его злоумышленники атакуют сотрудников, либо занимающих достаточно высокие позиции в компании, либо имеющих отношение к кадровой службе, цифровому маркетингу или маркетингу в социальных сетях. И это логично: конечная цель преступников — кража доступа к корпоративному аккаунту в Facebook*, поэтому интерес для них представляют те, у кого с наибольшей вероятностью такой доступ есть. Рассказываем о том, как происходят атаки, чем они необычны и, конечно же, как от них защититься.
Приманка и вредоносная нагрузка
Своим жертвам киберпреступники, стоящие за Ducktail, рассылают архивы с вредоносами. Для усыпления бдительности жертвы в них содержится некоторое количество изображений и видеофайлов, объединенных темой, используемой злоумышленниками в качестве наживки. Например, в ходе последней кампании (активной с марта по начало октября 2023 года) темой была модная одежда: письма приходили якобы от крупнейших игроков индустрии моды, а в архивах содержались фотографии нескольких моделей одежды.
Впрочем, наиболее важная часть этих архивов — исполняемые файлы, в которых иконка имитирует изображение от документа PDF. При этом злоумышленники используют для таких файлов очень длинные названия — чтобы дополнительно отвлечь внимание жертв от расширения EXE. Имена псевдодокументов должны убедить получателя кликнуть на иконку, чтобы ознакомиться с содержимым. В кампании с моделями одежды это были некие «политики и требования к кандидатам», но в принципе там могут быть и другие стандартные уловки — прайс-листы, коммерческие предложения и так далее.
Вредоносный архив Ducktail содержит файл, который выглядит как PDF, но в действительности является EXE
После клика по замаскированному EXE-файлу на устройстве запускается вредоносный скрипт. Первым делом он действительно показывает содержимое некоего PDF-файла (зашитого в код зловреда), чтобы жертва не заподозрила неладное. В то же время он просматривает все ярлыки, содержащиеся на рабочем столе, в меню «Пуск» и на панели быстрого запуска. Зловред ищет ярлыки браузеров, основанных на движке Chromium, то есть Google Chrome, Microsoft Edge, Vivaldi, Brave и других. В них он добавляет команду на установку браузерного расширения, которое также содержится внутри исполняемого файла. Через пять минут после запуска вредоносный скрипт завершает процесс браузера, чтобы пользователь его перезапустил при помощи одного из модифицированных ярлыков.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти