-
Похожий контент
-
От KL FC Bot
Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
Атака на разработчиков: злоупотребление OAuth
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
View the full article
-
От sputnikk
Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника" -
От KL FC Bot
Наши исследователи обнаружили новую версию зловреда из семейства Ducktail, специализирующегося на краже бизнес-аккаунтов Facebook*. Использующие его злоумышленники атакуют сотрудников, либо занимающих достаточно высокие позиции в компании, либо имеющих отношение к кадровой службе, цифровому маркетингу или маркетингу в социальных сетях. И это логично: конечная цель преступников — кража доступа к корпоративному аккаунту в Facebook*, поэтому интерес для них представляют те, у кого с наибольшей вероятностью такой доступ есть. Рассказываем о том, как происходят атаки, чем они необычны и, конечно же, как от них защититься.
Приманка и вредоносная нагрузка
Своим жертвам киберпреступники, стоящие за Ducktail, рассылают архивы с вредоносами. Для усыпления бдительности жертвы в них содержится некоторое количество изображений и видеофайлов, объединенных темой, используемой злоумышленниками в качестве наживки. Например, в ходе последней кампании (активной с марта по начало октября 2023 года) темой была модная одежда: письма приходили якобы от крупнейших игроков индустрии моды, а в архивах содержались фотографии нескольких моделей одежды.
Впрочем, наиболее важная часть этих архивов — исполняемые файлы, в которых иконка имитирует изображение от документа PDF. При этом злоумышленники используют для таких файлов очень длинные названия — чтобы дополнительно отвлечь внимание жертв от расширения EXE. Имена псевдодокументов должны убедить получателя кликнуть на иконку, чтобы ознакомиться с содержимым. В кампании с моделями одежды это были некие «политики и требования к кандидатам», но в принципе там могут быть и другие стандартные уловки — прайс-листы, коммерческие предложения и так далее.
Вредоносный архив Ducktail содержит файл, который выглядит как PDF, но в действительности является EXE
После клика по замаскированному EXE-файлу на устройстве запускается вредоносный скрипт. Первым делом он действительно показывает содержимое некоего PDF-файла (зашитого в код зловреда), чтобы жертва не заподозрила неладное. В то же время он просматривает все ярлыки, содержащиеся на рабочем столе, в меню «Пуск» и на панели быстрого запуска. Зловред ищет ярлыки браузеров, основанных на движке Chromium, то есть Google Chrome, Microsoft Edge, Vivaldi, Brave и других. В них он добавляет команду на установку браузерного расширения, которое также содержится внутри исполняемого файла. Через пять минут после запуска вредоносный скрипт завершает процесс браузера, чтобы пользователь его перезапустил при помощи одного из модифицированных ярлыков.
Посмотреть статью полностью
-
От KonstantinKon
Зашел на сомнительный сайт - комп мигнул, темный экран и зависание. Сначала подумал, что вирус, но в "вирусной" ветке ничего подозрительного не нашли
Методом проб и ошибок понял, что дело в видеокарте:
Когда подключаю интернет к компьютеру с видеокартой, компьютер виснет и экран становится черным - проверял на двух работающих компьютерах - причем может рухнуть через минуту, может через 5 секунд, приходится выключать вручную
Карта хорошо работает в безопасном режиме с включенным интернетом и в обычном режиме без интернета
Карта AMD Radeon (TM) R7 370 Series. Пробовал ставить и обновлять драйвера - проблема остаётся, по Аиде смотрел на температуру - не увидел, чтоб нагревалась
В чем может быть проблема?
-
От KL FC Bot
Недавно в Facebook* запустили новую функцию, которая называется «История ссылок». В этом посте мы расскажем о том, что это такое, зачем в Facebook* ее придумали, почему «Историю ссылок» стоит отключить, а главное — как именно это сделать.
Что такое «История ссылок» в Facebook*
В мобильных приложениях Facebook* есть встроенный браузер. Когда вы кликаете по любым опубликованным в Facebook* внешним ссылкам, они отображаются именно в этом браузере. Недавно в социальной сети решили собирать историю всех ссылок, по которым вы переходили, и использовать эти данные для того, чтобы показывать вам таргетированную рекламу.
Зачем это нужно Facebook*? Потому что это не только крупнейшая социальная сеть в мире, но и одна из мощнейших мировых рекламных площадок, которая по масштабам и возможностям уступает разве что Google. Раньше для сбора данных об интересах пользователей и показа таргетированной рекламы на основе этих данных Facebook* использовал так называемые сторонние куки. Однако уже скоро поддержку сторонних куки должны отключить в самом распространенном в мире браузере — Google Chrome.
В Google придумали собственный механизм слежки за пользователями и таргетирования рекламы — он называется Google Ad Topics. Для сбора данных в этой технологии задействованы, собственно, браузер Google Chrome и операционная система Android. Не так давно мы рассказывали, как отключить эту слежку Google.
Ну а в Facebook* решили использовать для отслеживания пользователей браузер, встроенный в мобильные приложения соцсети. Так и появилась функция «История ссылок». Само собой, никаких дополнительных преимуществ простым пользователям она не дает, хотя сам Facebook* преподносит это как заботу о том, чтобы вы в любой момент могли найти посещенную когда-то ссылку. Но если вам не нравится, что Facebook* за вами следит, логично отключить «Историю ссылок» — тем более что сделать это совсем несложно.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти