Киберзлоумышленники могут пользоваться этими пакетами для того, чтобы выяснить, соотносится ли тот или иной почтовый адрес (из числа слитых на хакерских площадках, например) с действующим аккаунтом в указанных соцсетях.
Пакеты назывались (в прошедшем времени, поскольку их уже удалили) checker-SaGaF, steinlurks и sinnercore. Количество скачиваний составило приблизительно от 1000 до 3300.
Первый из вредоносов, checker-SaGaF, предназначался для отправки запросов HTTP POST к API, отвечающим за восстановление паролей в TikTok и логинов в Instagram; это позволяло проверить, распознают ли узлы авторизации этих соцсетей содержащиеся в запросе почтовые адреса.
«Получив эту информацию, с использованием одного только почтового адреса, злоумышленники могут начать шантажировать пользователя, угрожая раскрыть его личные данные или забросать спамом, а также развернуть кампанию по отправке жалоб с целью заблокировать этот аккаунт, или просто подтвердить актуальность данных, прежде чем начать атаковать его и другие перебором логинов и паролей», - пишет исследовательница (Olivia Brown) из компании Socket.
По ее словам, списки проверенных аккаунтов, для которых известны связанные с ними почтовые адреса, бойко продаются в даркнете. «Может показаться, что составление словарей активных почтовых адресов - невинное занятие, но данная информация может служить отправной точкой и фактором ускорения цепочек атак, а использование только проверенных аккаунтов в качестве мишеней снижает вероятность обнаружения», - пишет Браун.
Это позволяет снизит риск обнаружения.
Замах пошире
Sinnercore, в свою очередь, пытается активировать процедуры восстановления паролей для заданного имени пользователя, направляя на API b.i.instagram[.]com/api/v1/accounts/send_password_reset/ поддельный HTTP-запрос с именем потенциальной жертвы.
Как пишет Браун, sinnercore снабжен также функциями атак на другие ресурсы. Например, Telegram: вредонос позволяет извлекать имя и идентификатор заданного пользователя, его «биографию» и премиальный статус и другие атрибуты.
«Некоторые компоненты sinnercore нацелены на крипторесурсы: например, позволяют в режиме реального времени извлекать данные об актуальных ценах Binance или текущих курсах криптовалют. Более того, мишенями могут становиться программисты PyPI: вредонос позволяет извлекать подробности о любом пакете PyPI, вероятнее всего с целью создания поддельных профилей разработчиков и/или их персонификации», - отметила Браун.
Сергей Пауков, «Крок» - как реализовывать комплексные проекты, когда рынок штормит?«Почтовые адреса - наименее конфиденциальная и наименее защищаемая информация, однако и ею можно воспользоваться для совершения широкого диапазона вредоносных действий», - говорит , эксперт по информационной безопасности компании SEQ.
Эксперт добавил, что в большинстве случаев злоумышленники рассчитывают на слабые, легко угадываемые и многократно используемые пароли. Использование надежных и уникальных реквизитов, а также многофакторной авторизации подобные риски снижают до минимума.
- Первый в России ИТ-маркетплейс Market.CNews для Вашего бизнеса.