Уязвимость LastPass сливала последние использованные учетные данные

Уязвимость LastPass сливала последние использованные учетные данные

В популярном менеджере паролей LastPass нашли уязвимость, которая позволяла выкрасть учётные данные, использованные для входа на последнем веб-сайте.

Задействовать этот баг в атаке можно было в браузерах Google Chrome и Opera. Помимо этого, атакуемого пользователя надо было заставить выполнить несколько шагов.

О проблеме сообщил Тэвис Орманди. По его словам, злоумышленник мог создать определённый сценарий кликджекинга для пользователя LastPass.

Упрощённо схема выглядит так: жертву заставляют произвести вход на определённом ресурсе, а затем ее заманивают на вредоносный или скомпрометированный сайт, на котором загружается специальный iframe.

Орманди направил разработчикам LastPass технические детали уязвимости, используя которую киберпреступники могут собрать последние учётные данные.

Такая атака увенчается успехом в том случае, если все действия совершаются в одной вкладке браузера. В случае внедрения вредоносного iframe запускается цепочка верификации, а затем происходит утечка последних кешированных данных, подставленных в поле «пароль».

«Таким образом, благодаря кликджекингу происходит утечка учётных данных, используемых на предыдущем сайте», — объяснил Орманди в отчёте.

Компания уже выпустила обновлённые версии расширения LastPass.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян T-RAT обновлен, обрел поддержку Telegram-связи

На теневых русскоязычных форумах активно продвигают новую версию троянской программы удаленного доступа T-RAT. Согласно рекламе, основным преимуществом этого Windows-зловреда является управление со смартфона с помощью ботов Telegram. Экспертный анализ образцов T-RAT 2.0 подтвердил такую возможность, как и наличие других заявленных функций.

На настоящий момент угроза невелика: в базах VirusTotal и других веб-анализаторов числится лишь несколько сэмплов, найденных на компьютерах пользователей. Тестирование T-RAT 2.0 выявило около сотни команд, которые оператор может подать резидентному зловреду по Telegram-каналу. Судя по перечню, приведенному в блоге G Data, обновленный троян умеет собирать информацию о файловой системе жертвы, искать и воровать конкретные файлы, сохраненные пароли и куки из браузеров, данные сессий и настроек Telegram, Discord, Steam, Nord, Viber, Skype, Filezilla. Кроме того, он может установить в системе жертвы кейлогер, делать снимки экрана, вести аудио- и видеозапись, используя микрофон и веб-камеру.

Создатели T-RAT 2.0 также добавили в новую версию модуль-клипер, позволяющий анализировать содержимое буфера обмена и подменять адреса кошельков Qiwi, WMR, WMZ, WME, WMX, Яндекс.Деньги, Payeer, CC, BTC, BTCG, Ripple, Dogecoin и Tron.

Чтобы избежать обнаружения, вредонос пытается любым способом обойти контроль учетных записей Windows, отключить Microsoft Defender и его фильтр SmartScreen. Троян умеет также проверять компьютер жертвы на наличие виртуального окружения, изменять некоторые настройки безопасности, отключать Панель задач и Диспетчер задач, останавливать опасные для него процессы и блокировать сайты, ассоциируемые с техподдержкой или антивирусными компаниями.

Основной способ управления T-RAT 2.0 — через Telegram (с помощью Powershell или команд, подаваемых из консоли), однако оператор может также использовать RDP или VNC. Способы распространения зловреда на настоящий момент неизвестны.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru