Спам и фишинг

XSS для начинающих

Все мы (я надеюсь) уже знаем, что нельзя идти на поводу у киберпреступников и вводить свой пароль везде, где его только ни попросят. Теперь мы, пожалуй, перейдем на следующий уровень знаний.

Знаете ли вы, почему мы так настойчиво повторяем «Не ходите по подозрительным ссылкам, не открывайте ссылки в спамерских письмах и тд, и тд, и тд»? Потому что пользователь, наивно полагающий «Ой, тут что-то интерсненькое! Зайду по ссылочке, посмотрю и все. Я же не буду ничего скачивать и вводить свой пароль, если что. Значит я в безопасности» — это идеальная жертва для злоумышленника. Даже на самом на вид «добреньком» сайте могут таиться злые скрипты, которые выполнившись, подгрузят к вам вредоносов и украдут ваши пароли.

Вчера мы получили письмо, следующего содержания:

Получателями этой рассылки значились довольно разнообразные адресаты — начиная от обычных пользователей на mail.ru и заканчивая тех поддержкой одного из крупных московских провайдеров.

Ссылка, данная в письме под многообещающим анонсом «вот он уже готов!» перенаправляла пользователя на совершенно другой сайт.

Этот «совершенно другой сайт» крал IP-адреса и cookies, в результате чего злоумышленник мог получить пароли от любой искомой службы: электронной почты, платежной системы, или аккаунта социальной сети, при условии, что пользователь там залогинен.

Этот прием совершенно не нов и называется он XSS – cross site scripting. Как понятно из названия, а также из выше приведенного примера, метод действует, коротко говоря, следующим образом: на уязвимом добром сайте прописывается скрипт, выполняющийся при загрузке. Этот скрипт делает свое черное дело, благодаря чему пользователь с высокой вероятностью лишается своего пароля.

В данном конкретном примере автор не скрывает своей причастности к атаке. На одном из популярных хакерских форумов выложено руководство по созданию подобных творений, в которое вставлена ссылка на ту самую «снифалку», которая была использована в выше указанном случае. А найти сам злой сайт по whois не составляет труда.

В общем повторение пройденного: не ходите по ссылкам в спамерских письмах. Даже если после посещения вам кажется, что совершенно ничего не произошло — это совершенно не значит что так оно и есть.

XSS для начинающих

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике