NPM-пакет крал пароли пользователей Chrome с помощью ChromePass

NPM-пакет крал пароли пользователей Chrome с помощью ChromePass

Специалисты зафиксировали ещё одну кампанию киберпреступников, нацеленную на цепочку поставок софта. В этих атаках фигурирует вредонос, крадущий пароли из браузера Chrome в системе Windows.

Чтобы выполнить поставленную задачу, зловред использует вполне легитимный инструмент для восстановления паролей — ChromePass. Вдобавок вредонос располагает дополнительными функциями:

  1. Слушает команды, поступающие от C2-сервера, который находится под контролем злоумышленника.
  2. Загружает дополнительные файлы.
  3. Записывает экран жертвы и видео со встроенной камеры.
  4. Выполняет шелл-команды.

Как отметили эксперты ReversingLabs, вредонос смог попасть в npm-репозиторий с открытым исходным кодом. Это значит, что все приложения, заимствующие код из этого репозитория, автоматически получают дополнительную злонамеренную нагрузку.

Исследователи нашли в репозитории интересный исполняемый файл, предназначенный для работы в системе Windows. Именно он оказался вредоносом, крадущим пароли пользователей. Сейчас зловред детектируется как «Win32.Infostealer.Heuristics».

При анализе софта выяснилось, что оригинальный файл — a.exe — на деле был легитимной утилитой ChromePass, предназначенной для восстановления паролей, хранящихся в браузере Chrome.

Представители ReversingLabs связалась с командой безопасности npm, а та удалила два проблемных пакета после собственного расследования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишинговая схема Darcula атакует iPhone через iMessage, Android — через RCS

«Darcula» — новая киберугроза, которая распространяется по схеме «фишинг как услуга» (phishing-as-a-service, PhaaS) и использует 20 тысяч доменов для подделки брендов и кражи учётных данных пользователей Android-смартфонов и iPhone.

Компании Darcula распространились более чем на 100 стран, атакуются организации из финансовых, государственных, налоговых секторов, а также телекоммуникационные и авиакомпании.

Начинающим и продвинутым кибермошенникам предлагают на выбор более 200 шаблонов сообщений. Отличительная особенность Darcula — использование протокола Rich Communication Services (RCS) для Google Messages (при атаках на Android) и iMessage (для атак на iPhone). Таким образом, в схеме не участвует СМС.

На Darcula первым обратил внимание специалист Netcraft Ошри Калон. Как отмечал исследователь, платформа используется для сложных фишинговых атак. Операторы задействуют JavaScript, React, Docker и Harbor для постоянного обновления, добавляя набору новые функциональные возможности.

Злоумышленники выбирают узнаваемые бренды, после чего маскируют веб-ресурсы под официальные сайты этих корпораций. Посадочные страницы, как правило, выглядят так:

 

Для отправки фишинговых URL киберпреступники отказались от стандартных СМС-сообщений и стали использовать вместо них более продвинутые RCS (Android) и iMessage (iOS).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru