Мультифакторную аутентификацию в TikTok можно обойти через веб-сайт

Мультифакторную аутентификацию в TikTok можно обойти через веб-сайт

Спустя месяц после того, как разработчики TikTok внедрили мультифакторную аутентификацию (MFA), один из пользователей обнаружил серьезный недостаток. Оказалось, что нововведение включили только для мобильного приложения, забыв про соответствующий веб-сайт.

Изъян в имплементации MFA открывает возможность для обхода этого слоя защиты аккаунта: злоумышленник может зайти в учётную запись пользователя через веб-ресурс.

Комментируя сложившуюся ситуацию, представитель TikTok объяснил, что компания в ближайшем будущем планирует внедрить MFA и на официальном сайте.

Другими словами, в настоящее время активировавшие мультифакторную аутентификацию пользователи должны учитывать, что она не защитит их должным образом. Это значит, что придётся использовать как можно более сложные пароли, не повторяющиеся ни на каких других площадках.

Однако такая форма атаки тоже ограничивается небольшой функциональностью веб-версии TikTok. Например, через сайт злоумышленник не сможет поменять пароль. В итоге у атакующего остаются две опции: загрузить видео для дефейса аккаунта или продвигать мошеннические рекламные объявления.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru