Поделиться
Вредоносные пакеты сопоставляли почтовые адреса и аккаунты в соцсетях
В PyPI были выявлены инструменты, которые эксплуатировали средства восстановления паролей в некоторых соцсетях с целью извлечения персональных данных.
Если А = Б
Как минимум три пакета в главном репозитории Python — PyPI используются как инструменты для сопоставления почтовых адресов и аккаунтов в Instagram (деятельность признана в России экстремистской и запрещена) и TikTok.
Киберзлоумышленники могут пользоваться этими пакетами для того, чтобы выяснить, соотносится ли тот или иной почтовый адрес (из числа слитых на хакерских площадках, например) с действующим аккаунтом в указанных соцсетях.
Пакеты назывались (в прошедшем времени, поскольку их уже удалили) checker-SaGaF, steinlurks и sinnercore. Количество скачиваний составило приблизительно от 1000 до 3300.
Первый из вредоносов, checker-SaGaF, предназначался для отправки запросов HTTP POST к API, отвечающим за восстановление паролей в TikTok и логинов в Instagram; это позволяло проверить, распознают ли узлы авторизации этих соцсетей содержащиеся в запросе почтовые адреса.
«Получив эту информацию, с использованием одного только почтового адреса, злоумышленники могут начать шантажировать пользователя, угрожая раскрыть его личные данные или забросать спамом, а также развернуть кампанию по отправке жалоб с целью заблокировать этот аккаунт, или просто подтвердить актуальность данных, прежде чем начать атаковать его и другие перебором логинов и паролей», — пишет исследовательница Оливия Браун (Olivia Brown) из компании Socket.
По ее словам, списки проверенных аккаунтов, для которых известны связанные с ними почтовые адреса, бойко продаются в даркнете. «Может показаться, что составление словарей активных почтовых адресов — невинное занятие, но данная информация может служить отправной точкой и фактором ускорения цепочек атак, а использование только проверенных аккаунтов в качестве мишеней снижает вероятность обнаружения», — пишет Браун.
Второй пакет, steinlurks, отправляет поддельные запросы HTTP POST под видом клиента Instagram для Android, адресуя их сразу четырем API-эндпойнтам:
i.instagram[.]com/api/v1/users/lookup/
i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
www.instagram[.]com/api/v1/web/accounts/check_email/
Это позволяет снизит риск обнаружения.
Замах пошире
Sinnercore, в свою очередь, пытается активировать процедуры восстановления паролей для заданного имени пользователя, направляя на API b.i.instagram[.]com/api/v1/accounts/send_password_reset/ поддельный HTTP-запрос с именем потенциальной жертвы.
Как пишет Браун, sinnercore снабжен также функциями атак на другие ресурсы. Например, Telegram: вредонос позволяет извлекать имя и идентификатор заданного пользователя, его «биографию» и премиальный статус и другие атрибуты.
«Некоторые компоненты sinnercore нацелены на крипторесурсы: например, позволяют в режиме реального времени извлекать данные об актуальных ценах Binance или текущих курсах криптовалют. Более того, мишенями могут становиться программисты PyPI: вредонос позволяет извлекать подробности о любом пакете PyPI, вероятнее всего с целью создания поддельных профилей разработчиков и/или их персонификации», — отметила Браун.
«Почтовые адреса — наименее конфиденциальная и наименее защищаемая информация, однако и ею можно воспользоваться для совершения широкого диапазона вредоносных действий», — говорит Александр Зонов, эксперт по информационной безопасности компании SEQ.
Эксперт добавил, что в большинстве случаев злоумышленники рассчитывают на слабые, легко угадываемые и многократно используемые пароли. Использование надежных и уникальных реквизитов, а также многофакторной авторизации подобные риски снижают до минимума.
Короткая ссылка
