Search the Community
Showing results for tags 'похищает'.
-
Исследователь безопасности под псевдонимом SerHack обнаружил в расширении MEGA.nz для браузера Google Chrome вредоносный код, позволяющий злоумышленникам похищать пароли от учетных записей Google, Amazon, Microsoft и GitHub, а также приватные ключи кошельков для криптовалюты Monero и Ethereum. Вредоносный функционал был обнаружен в исходном коде расширения MEGA.nz версии 3.39.4. Инженеры Google уже вмешались и удалили расширение из официального интернет-магазина Chrome, а также отключили расширение для существующих пользователей. Согласно анализу источника расширения, вредоносный код запускается на таких сайтах, как Amazon, Google, Microsoft, GitHub, MyEtherWallet и MyMonero, а также платформе для обмена криптовалютами IDEX. Вредоносный код похищает имена пользователей, пароли и другие данные сеанса, необходимые злоумышленнику для авторизации. Расширение отправляет всю собранную информацию на сервер megaopac[.]host, размещенный в Украине. Пользователям Chrome, использовавшим расширение, рекомендуется просмотреть раздел «Расширения» браузера и убедиться, что MEGA.nz отключено, а также сменить пароли и переместить криптовалюту на новые кошельки.
-
- расширение
- mega.nz
-
(and 5 more)
Tagged with:
-
Исследователи кибербезопасности из фирмы Forcepoint обнаружили новое вредоносное ПО для PoS-терминалов, позволяющее похищать данные кредитных карт с помощью DNS-запросов. Ранее специалисты FireEye сообщали о вредоносе Multigrain, использующем аналогичный метод хищения пользовательских данных. Как отметили исследователи из Forcepoint, если Multigrain использовался в реальных атаках, то данный вредонос, получивший название UDPoS, пока еще никак себя не проявил. По словам экспертов Роберта Ньюмана и Люка Сомервилла, UDPoS выглядит менее сложным по сравнению с другими образцами вредоносных программ для PoS-терминалов. Это может говорить о том, что разработчик данного ПО еще не до конца освоил технологию PoS-систем. Как отметили специалисты, стиль написанного кода и функционал вредоносной программы вряд ли можно назвать выдающимися. В коде UDPoS обнаружены ошибки, кроме того, программа использует файлы данных, записанные на диск, вместо того, чтобы работать преимущественно в памяти. Тем не менее, используемый метод полностью выполняет свою задачу. Эксперты называют недостаток опыта злоумышленников основной причиной отсутствия атак с применением UDPoS. В общей сложности было обнаружено две «приманки», содержавшие вредонос. В первом случае вредоносное ПО было скрыто в установщике LogMeIn, а во втором - внутри пакета, рекламирующего службы обновления Intel. Оба случая имели место в октябре 2017 года, и с тех пор UDPoS больше нигде появлялся. Вредоносное ПО, скрывающее данные внутри DNS-запросов, встречается довольно редко. В основном это обусловлено сложностью его разработки. Однако, автор UDPoS обладает достаточными навыками и вполне способен в скором времени представить доработанную версию программы, заключили эксперты.
-
- новый
- pos-вредонос
-
(and 5 more)
Tagged with:
-
На прошлой неделе эксперты по безопасности компании Forcepoint заявили о добавлении в последней версии вредоносного ПО Trickbot функции, позволяющей красть деньги со счетов пользователей ресурса Coinbase. В июне вышло большое обновление Trickbot, в котором была добавлена возможность нацелить троян на счета PayPal и страницы входа нескольких известных CRM. Спустя месяц команда TrickBot добавила самораспространяющийся компонент, позволяющий банковскому трояну заражать соседние компьютеры по протоколу SMB. И вот, в августе, было выпущено еще одно обновление. Исследователи безопасности обнаружили в конфигурационных файлах трояна фунционал, позволяющий выводить в браузере поддельную форму входа при посещении Coinbase.com. Coinbase - одна из самых крупных современных интернет-площадок для хранения криптовалюты. С помощью трояна мошенники могут похищать денежные средства из скомпрометированных учетных записей. Данная версия TrickBot была обнаружена на прошлой неделе в небольшой спам-кампании. Троян маскировался под документы Canadian Imperial Bank of Commerce (CIBC) и был предположительно ориентирован в первую очередь на канадских пользователей. Trickbot - это новое вредоносное ПО, появившееся осенью 2016 года. Эксперты сходятся во мнении, что у Trickbot и банковского трояна Dyre один разработчик.
-
- банковский
- троян
-
(and 5 more)
Tagged with:
-
Специалисты компании Sucuri обнаружили новый вид вредоносного ПО, перехватывающего файлы cookie, в легитимном файле JavaScript, маскирующемся под домен WordPress. Для создания фиктивного домена code.wordprssapi[.]com злоумышленники использовали технику под названием тайпсвоттинг (регистрация доменов, схожих написанием с уже раскрученными сайтами), также известную как перехват URL. Практика часто применяется киберпреступниками с целью привлечь посетителей на свои ресурсы в расчете на то, что пользователи ошибутся при вводе адреса какого-либо популярного сайта. В данном случае фальшивый сайт выглядит как настоящий домен WordPress и не вызывает подозрений.По словам аналитика Sucuri Сезара Анхоса, злоумышленники внедрили вредоносный код в файл JavaScript, предназначенный для перенаправления конфиденциальной информации, такой как файлы cookie, на фальшивый домен. По всей вероятности, для внедрения обфусцированного кода атакующие проэксплуатировали одну из уязвимостей в платформе WordPress. «Современные преступники редко используют одну уязвимость. Обычно они ищут многочисленные известные уязвимости (в основном в темах и плагинах сторонних производителей), а затем эксплуатируют то, что находят», - пояснил старший аналитик Sucuri Денис Синегубко. В ходе анализа кода Анхос обнаружил условный оператор, исключающий cookie-файлы из поля User-Agent поисковых роботов. Данная мера позволяет скрипту отсеять данные cookie и отправлять злоумышленникам только ценную информацию. Похитив файлы cookie пользователя, атакующий под его видом может выполнять различные действия по крайней мере до тех пор, пока разрешения пользователя не будут отозваны. В настоящее время исследователям неизвестно, кто может стоять за вышеописанной атакой.
-
- вредоносное
- для
- (and 4 more)