В менеджере паролей LastPass снова нашли серьезную уязвимость

В менеджере паролей LastPass снова нашли серьезную уязвимость

Хотя LastPass пользуется немалой популярностью, сообщения о его проблемах с безопасностью в последнее время появляются часто. Так, в конце ноября прошлого года в LastPass уже обнаруживали целый ряд багов, а еще раньше, летом 2015, менеджер паролей подвергся атаке хакеров.

Теперь независимый исследователь Шон Кессиди (Sean Cassidy) обнаружил, что LastPass уязвим перед простейшими фишинговыми атаками, из-за которых мастер-пароль пользователя может быть скомпрометирован.

Кессиди заметил, что если сессия LastPass истекает, пока пользователь бродит в интернете, менеджер выводит соответственное предупреждение, встраивая его прямо в контент веб-страницы. Окно ввода логина и пароля, а так же кода двухфакторной аутентификации, если она включена, отображаются аналогичным образом. С точки зрения безопасности, это огромный просчет: подобное решение делает пользователей уязвимыми перед различными веб-инъекциями, — от таких хитрых фишинговых атак часто страдают пользователи онлайн-банков.

 

 

Исследователь создал инструмент, при помощи которого можно автоматизировать простейшую фишинговую атаку и собирать пароли пользователей LastPass (как от самой программы, так и содержащиеся внутри хранилища). Тулзу Кессиди иронично назвал LostPass.

Единственное, что нужно будет сделать атакующему – заманить жертву на легитимный сайт, содержащий XSS-уязвимость. LostPass использует уязвимость сайта, чтобы обнаружить на компьютере жертвы установку LastPass, разлогинит её, применив известный CSRF-баг, а затем отобразит фальшивое уведомление о том, что требуется заново ввести логин и пароль. Учетные данные жертвы попадут в руки злоумышленника, как только доверчивый пользователь повторно введет их в фальшивом окне, пишет xakep.ru.

Казалось бы, двухфакторная аутентификация должна обезопасить пользователей. Однако атакующий может использовать украденные учетные данные против LastPass API, может верифицировать их и даже может запросить у пользователя код двухфакторной аутентификации. Если проделать все в нужном порядке, злоумышленник узнает не только мастер-пароль жертвы, но и получит доступ к хранилищу паролей, вместе со всем его содержимым.

Кессиди пишет, что пока атака работает только против пользователей браузера Chrome. Плюс злоумышленники могут зарегистрировать домен вида chrome-extensions.pw, который похож на настоящий центр управления расширениями в браузере Google. Firefox и прочие браузеры используют другой механизм для вывода всплывающих уведомлений LastPass. Впрочем, исследователь работает над «поддержкой» Firefox для своего инструмента.

Разработчики менеджера паролей уже знают о проблеме. Кессиди связался с ними в ноябре 2015 года. Ознакомившись с его изысканиями, компания сделала вывод, что «это не уязвимость, а фишинговая атака». Тем не менее, разработчики попытались переделать механизм вывода уведомлений об истекшей сессии. Согласно отчету Кессиди, безрезультатно – новая методика по-прежнему базируется на веб-инъекциях, а пользователи уязвимы для атак.

Чтобы не стать жертвой такой атаки, исследователь рекомендует пользователям LastPass никогда не вводить учетные данные для менеджера паролей через браузер, вместо этого используя приложение. Также Кессиди отмечает, что ограничение по IP, доступное в платной версии LastPass, в данном случае надежнее двухфакторной аутентификации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа Unicorn обновила стилер и возобновила атаки на российские компании

Эксперты отдела Threat Intelligence компании F6 рассказали об обновлении программы-стилера, которую использует киберпреступная группа Unicorn. Эта группировка действует с сентября 2024 года и регулярно атакует российские организации из разных отраслей.

Согласно наблюдениям F6, злоумышленники ведут себя предсказуемо: используют одинаковые домены для связи с командным сервером (C2) и почти не меняют свой самописный стилер Unicorn. Однако осенью 2025 года разработчики вредоноса внесли в него несколько заметных изменений.

Новый домен и обновлённый код

11 августа 2025 года группа зарегистрировала новый домен — van-darkholm[.]org, который почти сразу стал использоваться в атаках. С тех пор Unicorn каждую неделю проводит рассылки фишинговых писем, прикладывая архивы с вредоносными скриптами.

Цепочка заражения остаётся прежней:
письмо с архивом → HTA-файл → VBS-скрипт (с POST-запросом на Discord) → подгрузка дополнительных модулей → запуск стилера Unicorn.

В октябре F6 зафиксировала кампанию, нацеленную на финансовый сектор. Исследователи выделили три пары скриптов, отвечающих за разные этапы работы вредоноса:

  • history_log.vbs / permission_set.vbs — эксфильтрация файлов;
  • timer.vbs / shortcut_link.vbs — сбор данных из Telegram и браузеров;
  • access_rights.vbs / music_list.vbs — обновлённый модуль для связи с C2 и управления через реестр.

Последний компонент добавляет новые команды в ветку HKCU\Software\Redboother\Tool, получает инструкции с сервера и выполняет их через executeglobal. Таким образом, атакующие могут загружать и исполнять новые VBS-скрипты прямо из реестра.

Ошибки злоумышленников

Исследователи F6 отметили, что в коде стилера допущены ошибки. Скрипты из каждой пары должны закрепляться в системе разными способами — через планировщик задач и через создание ключа в реестре. Однако в текущей реализации они перезаписывают сами себя, что может нарушить механизм автозапуска. По мнению специалистов, это говорит о том, что разработчики Unicorn ещё дорабатывают инструмент и пытаются сделать его более стабильным.

Цель атак — кража данных

Главная задача стилера — сбор и экспорт конфиденциальных данных с заражённых устройств. Вредонос может извлекать файлы, cookies, сессии браузеров, историю переписок в Telegram и другие сведения, потенциально полезные для последующих атак.

F6 связывает активность Unicorn с типичными целями финансовой киберпреступности — кражей учётных данных, доступов к корпоративным сервисам и возможностью закрепления в сетях компаний.

Индикаторы компрометации

  • Домен: van-darkholm[.]org
  • SHA1-хэши вредоносных файлов и скриптов доступны в отчёте F6
  • Пути размещения заражённых файлов:
    • %LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs
    • %LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs и другие.

Эксперты F6 рекомендуют администраторам корпоративных сетей обратить внимание на обращения к домену van-darkholm[.]org, проверить наличие подозрительных VBS-скриптов и активности в ветке реестра HKCU\Software\Redboother\Tool.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru