ТОП-5 ИБ-событий недели по версии Jet CSIRT

от автора

Сегодня в ТОП-5 — группировка Lurking Lizard создает сеть прокси-серверов, RedWing: Мобильное ВПО для захвата личных данных, CSS-инъекция в Opera GX крала данные страниц, злоумышленники используют учетные записи GitHub для сбора данных, O-UNC-066: вишинг и фальшивая регистрация passkey в Microsoft 365.

Группировка Lurking Lizard создает сеть прокси-серверов

Исследователи из Infoblox сообщили о новой группировке Lurking Lizard, которая активна как минимум с 2022 года. Злоумышленники занимаются бизнесом по предоставлению резидентных прокси-серверов, используя инфраструктуру, состоящую из более чем 230 похожих доменов. Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем зараженные устройства продают как часть прокси-сети. Злоумышленники приобретали домены после истечения срока их действия, чтобы унаследовать их накопленную историю и легитимность. Так, домен 7zip[.]com был куплен после того, как его владелец не продлил регистрацию, хотя настоящий сайт находится по адресу 7-zip[.]org. Скачанный архиватор выглядит легитимно и параллельно подключает устройство к прокси-инфраструктуре. Кроме того, Lurking Lizard выдает себя за крупных поставщиков прокси-серверов, включая IPIDEA, SmartProxy, IP Royal и 911Proxy.

RedWing: Мобильное ВПО для захвата личных данных

Команда zLabs обнаружила новый вариант шпионского ПО для Android — RedWing. Он сдается в аренду в Telegram как готовый сервис для банковского мошенничества и позволяет захватить телефон жертвы, украсть ее банковские логины и получить одноразовые коды двухфакторной аутентификации. Заражение начинается с фишинговой ссылки, которая открывает поддельную страницу магазина приложений. Пользователя убеждают установить приложение в обход официального магазина. Далее запрашиваются разрешения, включая доступ к службе специальных возможностей Android, которую вредоносное ПО использует для чтения экрана и управления устройством. Рекомендуется устанавливать приложения только из официальных источников и остерегаться приложений, которые скрывают свой значок после установки.

CSS-инъекция в Opera GX крала данные страниц

Исследователи из zhero_web_security обнаружили уязвимость в Opera GX, игровой версии браузера Opera, которая позволяла незаметно установить модификацию (GX Mod) и использовать ее для проведения XS-Leak-атаки через универсальную CSS-инъекцию. Это давало возможность извлекать данные со страниц, которые посещает жертва. Уязвимость заключается в способе установки: Opera GX автоматически загружает и активирует модификацию без запроса подтверждения — единственным предупреждением служит небольшая панель под адресной строкой. Таким образом, вредоносная страница может установить модификацию незаметно, например, загрузив скрытый iframe, указывающий на файл .crx. После установки мода JavaScript перенаправлял браузер на целевую страницу, и данные извлекались в течение нескольких секунд. В ходе эксперимента удалось восстановить полный адрес Gmail авторизованного пользователя по одному посещению, без единого клика. Opera исправила уязвимость в версии 130.0.5847.89 и заявила, что не обнаружила доказательств ее использования в реальных условиях.

Злоумышленники используют учетные записи GitHub для сбора данных

Команда Datadog Security Research отслеживает несколько кампаний, в рамках которых злоумышленники систематически перебирают репозитории и учетные записи пользователей через API GitHub. Операторы используют автоматизированные инструменты для сбора данных с помощью пользовательских агентов, выдающих себя за легитимные. Большинство запросов нацелены на общедоступные данные и возвращают успешные ответы (HTTP 200), что делает их похожими на обычный трафик API. В некоторых случаях активность выходит за рамки перечисления общедоступной информации, создавая впечатление успешного клонирования частных репозиториев. Эта информация может быть использована злоумышленником для проведения разведки и программного составления карты активности организации, связанной с GitHub, например, ее общедоступных репозиториев, ее участников, тех, на кого эти участники подписаны, и какие проекты они модифицируют. Отслеживать и выявлять подобные действия можно, если обращать внимание на такие поля как пользовательский агент, тип токена, исходный ASN (если доступен) и попытки выполнения действий.

O-UNC-066: вишинг и фальшивая регистрация passkey в Microsoft 365

Исследователи из Okta зафиксировали атаки группы O-UNC-066, направленные на процесс регистрации пароля для клиентов Microsoft 365. Злоумышленник регистрирует домены, содержащие слово «passkey», в рамках схемы фишинга с использованием голосового фишинга («вишинг»). Затем киберпреступники звонят целевым пользователям по телефону, пытаясь убедить их в необходимости регистрации нового ключа доступа (passkey). Пользователей перенаправляют на фишинговый сайт, который точно имитирует процесс регистрации ключа доступа для Microsoft. Фишинговый набор, используемый в этих атаках, представляет собой управляемую оператором панель на PHP, в которой жертву практически в режиме реального времени проводят через процесс регистрации пароля. Пользователь думает, что он создает пароль в Microsoft, однако в это время злоумышленник регистрирует свой собственный пароль в учетной записи целевого пользователя, получая таким образом несанкционированный доступ. Компаниям рекомендуется использовать надежные системы аутентификации и уведомлять сотрудников о возможных методах фишинга.

ссылка на оригинал статьи https://habr.com/ru/articles/1058874/