Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
Исследователи обнаружили в npm вредоносный пакет fezbox, который ворует у жертв файлы cookie. Чтобы вредоносная активность оставалась незамеченной, для загрузки малвари с сервера злоумышленников используются QR-коды.
По данным специалистов компании , атакующие нашли новое применение QR-кодам — сокрытие вредоносного кода внутри них. Аналитики сообщили, что пакет содержит скрытые инструкции для загрузки JPG-изображения с QR-кодом, которое затем обрабатывается для запуска обфусцированной полезной нагрузки в рамках второго этапа атаки.
На момент обнаружения малвари пакет успели скачать как минимум 327 раз, прежде чем администраторы npm его удалили.
Издание отмечает, что основная вредоносная нагрузка находится в файле dist/fezbox.cjs пакета (на примере версии 1.3.0). Отмечается, что код в файле минифицирован и его становится легче читать после форматирования.
Также малварь проверяет, работает ли приложение в среде разработки, чтобы уклониться от обнаружения.
В отличие от QR-кодов, которые обычно встречаются в жизни, этот необычайно плотный и содержит гораздо больше данных. Как отметили журналисты, его невозможно считать обычной камерой телефона. Злоумышленники специально создали QR-код для передачи обфусцированного кода, который может быть разобран пакетом. Обфусцированная полезная нагрузка считывает cookie через .
По данным специалистов компании , атакующие нашли новое применение QR-кодам — сокрытие вредоносного кода внутри них. Аналитики сообщили, что пакет содержит скрытые инструкции для загрузки JPG-изображения с QR-кодом, которое затем обрабатывается для запуска обфусцированной полезной нагрузки в рамках второго этапа атаки.
На момент обнаружения малвари пакет успели скачать как минимум 327 раз, прежде чем администраторы npm его удалили.
Издание отмечает, что основная вредоносная нагрузка находится в файле dist/fezbox.cjs пакета (на примере версии 1.3.0). Отмечается, что код в файле минифицирован и его становится легче читать после форматирования.
Также малварь проверяет, работает ли приложение в среде разработки, чтобы уклониться от обнаружения.
В итоге при обращении строки получается URL-адрес. По словам специалистов, хранение URL в обратном порядке — техника маскировки, которая используется для обхода инструментов статического анализа, ищущих в коде URL-адреса (начинающиеся с http(s)://).
В отличие от QR-кодов, которые обычно встречаются в жизни, этот необычайно плотный и содержит гораздо больше данных. Как отметили журналисты, его невозможно считать обычной камерой телефона. Злоумышленники специально создали QR-код для передачи обфусцированного кода, который может быть разобран пакетом. Обфусцированная полезная нагрузка считывает cookie через .
Обнаружение этой малвари демонстрирует новый подход к злоупотреблению QR-кодами. Так, зараженная машина может использовать их для связи со своим управляющим сервером, а для прокси-сервера или инструмента сетевой безопасности это будет выглядеть как обычный трафик изображений.