На сайте Сбербанка обнаружена «дыра», через которую можно похищать данные пользователей

Через «дыру» на сайте Сбербанка, можно похищать данные пользователей

Ресурс XSSPosed, специализирующийся на публикации XSS-уязвимостей на веб-сайтах, опубликовал информацию о найденной им «дыре» на сайте Сбербанка. Согласно сообщению, оставленному в блогах XSSPosed исследователем под ником Tactic4l, найденная им уязвимость несет угрозу пользователям, посетителям и админам сайта sberbank.ru.

XSS-атаками называют разновидность атак, которые основаны на межсайтинговом скриптинге, то есть на внедрении злоумышленниками вредоносного кода на атакованную страницу, передает cnews.ru.

Описанная «дыра» на сайте Сбербанка дает возможность своим авторам похищать файлы cookie посетителей, историю их браузеров, учетные данные (логины и пароли), персональные и платежные данные.

Помимо описания уязвимости, Tactic4l опубликовал код, демонстрирующий ее работоспособность.

На момент публикации Tactic4l информации о «дыре» на сайте XSSPosed, она еще не была закрыта. Исследователь в своем сообщении не уточнил, поставил ли он перед публикацией данных об уязвимости в известность админов сайта sberbank.ru.

В коллекции XSSPosed присутствуют 6133 сообщения об уязвимостях на 5027 сайтах. 743 из описанных уязвимостей помечены как закрытые. В числе описаний отечественных ресурсов в базе XSSPosed помимо Сбербанка можно найти три публикации о незакрытых брешах на страницах сайта газеты «Ведомости», одну о незакрытой «дыре» на сайте «Росатома» и две о закрытых «дырах» на сайте «Лаборатории Касперского».

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru