Дайджест Jet CSIRT [25-27.06.2022]

25.06.2022

Обнаружены пакеты Python PyPi, являющиеся причиной утечки конфиденциальной информации

Обнаружены вредоносные пакеты Python PyPi, посредством которых собиралась конфиденциальная информация, включая учетные данные AWS. Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils. Пакеты loglib-modules и pygrata-util имели возможность для кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Собранные данные в формате txt отправлялись на PyGrata[.]com.


Программа-вымогатель LockBit распространяется через фишинговые письма о нарушении авторских прав

Злоумышленники отправляют письмо о нарушении авторских прав с требованием удаления соответствующего контента, указанного во вложении. В защищенном паролем архиве находится установщик NSIS, замаскированный под безобидный PDF файл, при нажатии на данный файл загрузится LockBit 2.0 и устройство будет зашифровано. С помощью данной тематики также распространяются загрузчики ВПО BazarLoader и  Bumblebee.


Злоумышленники могут использовать приложение Microsoft Edge WebView2 для кражи cookie

Исследователь кибербезопасности mr.d0x разработал новый метод фишинга, который использует приложения Microsoft Edge WebView2 для кражи файлов cookie аутентификации пользователя. Это позволит злоумышленнику обойти многофакторную аутентификацию. Атака получила название WebView2-Cookie-Stealer и состоит из исполняемого файла WebView2, который при запуске открывает в приложении форму входа на легитимный сайт. Поскольку приложение WebView2 может внедрять JavaScript на страницу, то все вводимые пользователем данные автоматически отправляется на веб-сервер злоумышленника.