• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Roblox привлекает не только детей, но и киберпреступников

Пригоршня

Шкипер
Журналист
Регистрация
26.10.16
Сообщения
1,123
Онлайн
26д 4ч 52м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи BleepingComputer обнаружили , что расширение браузера Chrome «SearchBlox», установленное более 200 тыс. раз, содержит бэкдор, который может украсть учетные данные Roblox, а также активы на торговой платформе Roblox Rolimons. По словам экспертов, бэкдор внедрен либо самим разработчиком, либо в ходе компрометации.

Есть два результата поиска для «SearchBlox» в Chrome. Согласно описанию, эти расширения позволяют «искать на серверах Roblox нужного игрока мгновенно». Анализ исследователей показал, что они оба содержат бэкдор

Для второго расширения всего с 959 загрузками бэкдор находился в файле «button.js». Вредоносный URL выглядит так: «hxxps://searchblox[.]сайт/image.png/image.txt». Страница содержит HTML-код, который делает вид, что отображает изображение, но вместо этого загружает обфусцированный JavaScript.

При декодировании код эксфильтрует учетные данные Roblox в другой домен: «releasethen.site».

Следует отметить, «searchblox.site» и «releasethen.site» были зарегистрированы в ноябре на одном веб-хостинге Hostinger. Код также предназначен для просмотра профиля игрока на Rolimons.

Что касается того, был ли бэкдор введен в расширение после компрометации злоумышленником или намеренно введен разработчиком, это еще предстоит определить авторитетным образом.

Некоторые игроки Roblox заметили, что инвентарь пользователя «Unstoppablelucent», предположительно разработчика расширения, увеличился за одну ночь, а аккаунт пользователя Rolimons под ником «ccfont» был удален 23 ноября из-за «подозрительных сделок с инвентарем».

BleepingComputer уведомил Google о вредоносных расширениях. Представитель Google подтвердил, что эти расширения были удалены и будут автоматически удалены из компьютеров, на которых они были установлены.
 
Сверху