Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах

Вредонос RedLine напомнил всем: нельзя сохранять пароли в браузерах

Вредоносная программа RedLine стала очередным напоминанием пользователям о том, что хранить пароли в браузерах нельзя ни при каких обстоятельствах. Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera.

Авторы RedLine продают своё детище на форумах киберпреступной тематики за 200 долларов. Купившие вредонос «хакеры» могут не вдаваться в детали и не обладать навыками взлома, а просто положиться на сам инфостилер — он сделает всё за них.

Исследователи из AhnLab ASEC опубликовали отчёт, в котором предостерегают пользователей от занесения учётных данных в популярные браузеры. Да, это очень удобно при аутентификации, но может стоить вам потери доступа к аккаунту.

Особенно соблюдение этого правила кибергигиены актуально для сотрудников организаций. В приведённом специалистами AhnLab ASEC примере описывается некий удалённый сотрудник, чьи учётные данные от VPN-аккаунта попали в руки операторов RedLine. Три месяца спустя злоумышленники проникли в сеть компании из-за халатности работника.

Причём на компьютере был установлен антивирус, который, однако, не смог детектировать и удалить RedLine. Интересно, что вредоносная программа ищет файл «Login Data», используемый всеми Chromium-браузерами для хранения логинов и паролей.

 

Тревожно, что RedLine стал очень популярным у киберпреступников, о чём свидетельствует удивительная востребованность одного из дарквеб-рынков — «2easy». Поскольку зловред устанавливается в систему через XLL-файлы, пользователям нужно быть особо бдительными при работе с неизвестными документами Microsoft Excel.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Веб-интерфейс умных ванн Jacuzzi сливал ПДн всех любителей гидромассажа

Независимый исследователь выявил в веб-интерфейсе SmartTub уязвимости, позволяющие просматривать и редактировать данные клиентов Jacuzzi. Автор атаки также потенциально мог подстроить каверзу любому владельцу гидромассажной ванны или спа-бассейна — наполнить их кипятком, изменить цикл фильтрации и т. п.

Система SmartTub, как и другие IoT-сервисы, позволяет управлять умной ванной с помощью Android- или iOS-приложения — дистанционно включать и выключать форсунки, менять подсветку, контролировать температуру воды. В каталоге Google Play за SmartTub числится более 10 тыс. загрузок.

Белый хакер Итон Звир (Eaton Zveare) обнаружил возможность получения доступа к бэкенду SmartTub, когда занялся настройкой своей только что прибывшей умной джакузи. Создав аккаунт с помощью мобильного приложения, он получил подтверждение с сайта smarttub.io; как оказалось, регистрация на нем осуществляется через Auth0.

При попытке входа сайт выдал сообщение об ошибке 401 (Unauthorized — отказ в доступе), но перед этим на экране быстро промелькнули заголовок и таблица. Заинтересовавшись, Звир применил запись экрана и к своему удивлению обнаружил, что это панель администратора, заполненная пользовательскими данными.

 

Как оказалось, консоль реализована как одностраничное приложение на основе JavaScript-библиотеки React, и к ней можно получить полный доступ. Обойти ограничения, выдав себя за админа, исследователю помог Fiddler — инструмент тестирования, позволяющий перехватывать и анализировать трафик между клиентом и сервером.

В итоге ему удалось добраться до информации об установленных по всему миру IoT-устройствах Jacuzzi и их пользователях (в последнем случае список включал только имена и email). Подобная возможность, по словам Звира, позволяет также редактировать аккаунты и лишать владельцев права собственности.

При просмотре APK-файла приложения Android хакер обнаружил ссылку на другую админ-панель. Попытка входа под своими идентификаторами и здесь вернула ошибку, но хакер вновь преодолел преграду путем подмены JavaScript-кода, так как эта консоль тоже использует React.

Кроме тех же пользовательских данных, здесь можно было просмотреть и изменить сроки подписки, производственные логи, списки дилеров и зарегистрированных мобильных устройств (без номеров телефона).

 

О неприятных находках Звир сообщил в Jacuzzi и в ответ получил запрос на более детальное описание проблем. Дальнейшие попытки добиться исправления ситуации результата не дали; разработчик упорно игнорировал письма и DM в Твиттере, поэтому баг-хантер решил заручиться поддержкой Auth0.

Поставщику услуг авторизации далеко не сразу удалось достучаться до Jacuzzi, но в итоге искомый эффект был достигнут — спустя полгода. Одну из админ-панелей SmartTub отключили, а другую по-тихому пофиксили.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru