Киберпреступники разрабатывают вредоносное кроссбраузерное расширение

Киберпреступники разрабатывают вредоносное кроссбраузерное расширение

Trend Micro сообщает об обнаружении вредоносной программы, устанавливающей в систему RAT-инструмент Revisit, который используется для получения контроля над зараженной системой, а также устанавливающей вредоносное расширение, которое крадет хранящуюся в браузерах информацию.

«Мы обратили внимание на несколько тестовых загрузок на VirusTotal, которые, судя по всему, были сделаны группой разработчиков вредоносных программ из Молдовы. Такой вывод мы сделали на основании имен загруженных файлов», — пишет компания в своем блоге.

«Похоже, что эти киберпреступники работают над новой вредоносной программой, которая распространяется через спам-сообщения, в которых содержится вредоносное вложение. Мы детектируем эту вредоносную программу как JS_DLOADR и W2KM_DLOADR».

Использование RAT-инструмента во вредоносной кампании — далеко не новый способ, стоит вспомнить хотя бы злореда TeamSpy, который устанавливал на зараженный компьютер TeamViewer.

Что касается нового вредоноса, которому Trend Micro присвоила имя DLOADR, то специалисты не без оснований полагают, что он все еще находится в стадии разработки.

«Есть факты, указывающие на то, что вредоносная программа находится в стадии разработки. Одним из таких фактов являются имена файлов: TEST1234.docm, Employment Application(2).dotm, tewst123.dotm, test2.docm, 123.doc, test1111.docm, t1.docm, INVOICE.docm, Invoice_Example.dotm, Doc1.docm, Fake Resume.doc, wwww.doc и zzzzz.dot», — объясняют эксперты.

Программа загружает ZIP-архив, распаковывает его и выполняет его содержимое. Исследвоатели сообщают, что наблюдали два варианта пейлоада — один основан на NodeJS, другой на Java.

Отличительной особенностью данного зловреда является деплоинг (развертывание) на зараженных машинах вредоносных расширений для браузеров Chrome и Edge. Наличие этих браузеров в системе проверяет специальный компонент DLOADR.

Примечательно, что расширение для Chrome также совместимо с Edge, здесь злоумышленникам сыграло на руку принятое Microsoft решение, позволяющее портировать Chrome-расширение в Edge.

Злонамеренное расширение действует как бэкдор — всякий раз, когда жертва открывает веб-страницу, оно отправляет URL-адрес веб-сайта и информацию о HTTP-реферере на сервер C&C. C&C затем возвращает любой вредоносный код, который расширение выполнит на странице.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Slack сбросил пароли пользователей после раскрытия хешированных данных

Разработчики корпоративного мессенджера Slack сбросили учётные данные около 0,5% пользователей после обнаружения уязвимости, из-за которой раскрывались хешированные пароли при создании или отзыве расшаренных ссылок для приглашения в рабочие пространства.

Напомним, ещё в сентябре 2019 года корпоративный мессенджер хвастался более 12 миллионами активных пользователей ежедневно.

«Если условный пользователь создавал или отзывал ссылки для приглашения, Slack передавал его хешированный пароль другим участникам рабочего пространства», — пишут представители Slack.

Отмечается также, что пароли были хешированы с солью, которая добавляет дополнительный слой безопасности, защищающий учётные данные от атак вида брутфорс. Конкретный алгоритм хеширования Slack пока не раскрывает.

Сама уязвимость, судя по всему, затрагивала всех пользователей, которые создавали или отзывали инвайт-ссылки в период между 17 апреля 2017 года и 17 июля 2022-го. О проблеме сообщил неназванный исследователь в области кибербезопасности.

Стоит отметить, что хешированные пароли не были видны клиентам Slack. Разработчики корпоративного мессенджера уточняют:

«Нет никаких оснований полагать, что посторонние лица получили доступ к паролям в виде простого текста. Тем не менее мы сбросили пароли затронутых пользователей из соображений безопасности».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru