Скрипт-атака руками пользователя

Скрипт-атака руками пользователя

...

Специалисты антивирусной компании Sophos сообщают о новой мошеннической атаке, которая предпринимается против участников сети Facebook. Средства психологического манипулирования, которые применяют злоумышленники, вполне обычны; тем не менее, есть в этом нападении и ряд не совсем стандартных черт.


Приманкой для пользователей служит старая, избитая, но по-прежнему популярная идея - "посмотрите, кто посещал вашу страницу". Фальшивые приложения такого рода появляются в известной соцсети с завидной регулярностью; участники же, мечтающие узнать, кто чаще всех заходит к ним в профиль, столь же регулярно попадаются к мошенникам на крючок. Обычно жертву просят установить ложную Facebook-программу и предоставить ей доступ ко странице; однако попадаются и другие интересные варианты.

Один из таких случаев - "Официальное приложение для просмотра профилей", ссылка на которое находится на странице пользовательской группы Social Tagging Worldwide. Участнику, решившемуся перейти по такой ссылке, будет отображено окно с просьбой "пройти 5-секундную проверку безопасности" - якобы для того, чтобы подтвердить свое членство в социальной сети. В случае согласия появится другое окно примерно следующего вида:


(изображение из первоисточника nakedsecurity.sophos.com)

Как можно заметить, жертву просят расположить в адресной строке обозревателя некий "уникальный идентификатор", после чего нажать клавиши F6 и Enter. На вид в этих инструкциях нет ничего инфернального; однако за процедурой "перетаскивания" или копирования-вставки скрывается далеко не безобидная операция - в адресную строку помещается вовсе не набор цифр, а полноценный код на JavaScript, который после нажатия кнопки ввода исполняется в контексте загруженной в браузер страницы. Он, в свою очередь, вызывает другой скрипт, в результате чего все друзья жертвы автоматически получают спам-приглашения в определенную группу на Facebook.

Формально эта атака напоминает межсайтовое исполнение сценариев, но с одной разницей: нежелательное содержимое не подгружается с постороннего ресурса, а вставляется пользователем, который в этой ситуации фактически сам же и помогает злоумышленнику совершить нападение. Современные системы борьбы с XSS, на какой бы стороне они ни стояли (хоть пользователя, хоть сервера, который он посещает), на подобный вариант не рассчитаны и помочь пока ничем не могут.

Naked Security @ Sophos

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпион на основе Stealerium — находка для бытового шантажиста

В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.

Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.

Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.

Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.

 

Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.

Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru