
ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — группировка Lurking Lizard создает сеть прокси-серверов, RedWing: Мобильное ВПО для захвата личных данных, CSS-инъекция в Opera GX крала данные страниц, злоумышленники используют учетные записи GitHub для сбора данных, O-UNC-066: вишинг и фальшивая регистрация passkey в Microsoft 365.
Группировка Lurking Lizard создает сеть прокси-серверов
Исследователи из Infoblox сообщили о новой группировке Lurking Lizard, которая активна как минимум с 2022 года. Злоумышленники занимаются бизнесом по предоставлению резидентных прокси-серверов, используя инфраструктуру, состоящую из более чем 230 похожих доменов. Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем зараженные устройства продают как часть прокси-сети. Злоумышленники приобретали домены после истечения срока их действия, чтобы унаследовать их накопленную историю и легитимность. Так, домен 7zip[.]com был куплен после того, как его владелец не продлил регистрацию, хотя настоящий сайт находится по адресу 7-zip[.]org. Скачанный архиватор выглядит легитимно и параллельно подключает устройство к прокси-инфраструктуре. Кроме того, Lurking Lizard выдает себя за крупных поставщиков прокси-серверов, включая IPIDEA, SmartProxy, IP Royal и 911Proxy.
RedWing: Мобильное ВПО для захвата личных данных
Команда zLabs обнаружила новый вариант шпионского ПО для Android — RedWing. Он сдается в аренду в Telegram как готовый сервис для банковского мошенничества и позволяет захватить телефон жертвы, украсть ее банковские логины и получить одноразовые коды двухфакторной аутентификации. Заражение начинается с фишинговой ссылки, которая открывает поддельную страницу магазина приложений. Пользователя
Читать на habr.com
