- Злоумышленники используют настоящие URL -адреса Google для нерекомендовавшего вредоносного ПО на антивирусах после антивируса и в их браузере незамеченным
- Эта вредоносная программа активируется только во время кассового аппарата, что делает его тихой угрозой для онлайн -платежей
- Сценарий открывает соединение веб -сайта для живого управления, которое полностью невидимо для среднего пользователя
Появилась новая кампания по вредоносному ПО в браузере, в которой показано, как злоумышленники теперь используют преимущества заслуживающих доверия доменов, таких как Google.com, чтобы избежать традиционных обвиняемых по антивирусу.
А отчет Этот метод тонко запускается исследователями безопасности на C/стороне и сложно для обнаружения обычного программного обеспечения для безопасности.
Похоже, что он получен из законного URL-адреса, связанного с OAuth, но объясняет вредоносную полезную нагрузку с полным доступом к сеансу браузера пользователя.
Вредоносное ПО, спрятанное в поле зрения
Атака начинается со сценария, который встроен в скомпрометированный веб-сайт электронной коммерции на основе Magento и журналы на явно безобидном URL от Google Oauth: https://accounts.google.com/o/oauth2/revoke.
Тем не менее, этот URL содержит параметр манипулируемого обратного вызова, который декодирует и выполняет завуалированную бремя JavaScript с использованием Eval (AtoB (…)).
Использование домена Google имеет центральное значение для обмана — поскольку сценарий загружается из надежного источника, большинство руководящих принципов безопасности контента (CSP) и DNS -фильтров позволяют это без вопросов.
Этот сценарий активируется только при определенных условиях. Если браузер появляется автоматически, или URL -адрес содержит слово «заказа», он открывает подключение к веб -сайту с злонамеренным сервером. Это означает, что он может адаптировать злонамеренное поведение к действиям пользователя.
Каждая полезная нагрузка, отправленная по этому каналу, состоит из базового 64-кодированного, декодированного и динамически разработанного с функциональным конструктором JavaScript.
При этой настройке злоумышленник может запустить код в браузере в режиме реального времени в режиме реального времени.
Одним из основных факторов, которые влияют на эффективность этой атаки, является способность избегать многих из лучших антивирусных программ на рынке.
Логика сценария сильно завуалирована и активируется только при определенных условиях. В результате это, вероятно, не распознается лучшими антивирусами Android и статическими сканерами вредоносных программ.
Они не будут осматривать, запускать и не блокировать
На основе DNS-фильтра или правил брандмауэра также предлагается ограниченная защита, поскольку настаивает первый запрос на законную область Google.
В корпоративной среде даже некоторые из лучших инструментов защиты конечных точек могут испытывать трудности с распознаванием этого действия, если они в значительной степени полагаются на вызов домена или не осматривают динамические сценарии в браузере.
В то время как продвинутые пользователи и группы по кибербезопасности могут использовать проекты по экзаменам или поведенческому анализу для выявления таких аномалий, средние пользователи по -прежнему подвержены восприимчивому.
Ограничение сторонних сценариев, разделение сеансов браузера для финансовых транзакций и оставшаяся бдительность в отношении неожиданного поведения на местоположении может помочь снизить риск в короткие сроки.
Вы также могли бы понравиться
