-
Похожий контент
-
От KL FC Bot
Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
Атака на разработчиков: злоупотребление OAuth
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
View the full article
-
-
От tom1
Здравствуйте.
Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
Файл самого шифровальщика обнаружен, готов предоставить.
Addition.txt FRST.txt файлы.zip
-
От Bercolitt
Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера, учетная запись ящика блокируется.
Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
-
От Дмитрий Борисович
Приветствую!
8 декабря, примерно в 20 часов была замечена активность шифровальщика.
Выявлено шифрование файлов на всех активных компьютерах сети.
Зашифрованные файлы с расширением - .loq
В корне диска C:\ найден файл с раширением .txt следующего содержания:
All Your Files Are Locked And Important Data Downloaded !
Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!
Your ID : HFXGT
If You Want To Restore Them Email Us : Evo.team1992@gmail.com
If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
What is the guarantee !
Before Payment You Can Send Some Files For Decryption Test.
If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us
It's Just Business To Get Benefits.
===============================================================================
Attention !
Do Not Rename,Modify Encrypted Files .
Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because
It May Make Decryption Harder Or Destroy Your Files Forever !
===============================================================================
Buy Bitcoin !
https://www.kraken.com/learn/buy-bitcoin-btc
https://www.coinbase.com/how-to-buy/bitcoin
Архив.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти