Мошенники с помощью QR-кодов с лёгкостью могут обойти защиту популярных браузеров

Специалисты по информационной безопасности из компании Mandiant сообщили о выявлении новой техники обхода технологий изоляции популярных интернет-браузеров. Эта техника предоставляет киберпреступникам возможность организации C2-коммуникаций с использованием обычных QR-кодов.

Эксперты отмечают, что технологии изоляции браузеров применяются для повышения уровня безопасности программного обеспечения. В частности, с их помощью происходит перенаправление всех запросов локального браузера через удалённые браузеры, функционирующие в облачных сервисах или на виртуальных машинах. Это позволяет выполнять любой код на посещаемых ресурсах в удалённом сегменте, в то время как локальное устройство пользователя получает исключительно визуальные изображения веб-страницы.

В компании Mandiant заявили, что такая защита может быть легко обойдена. По словам экспертов, с помощью новой техники можно использовать QR-коды для передачи команд. Это связано с тем, что изображение QR-кода на веб-странице легко проходит через технологии изоляции браузеров. Таким образом, вредоносное программное обеспечение на скомпрометированном устройстве пользователя может считывать и декодировать его содержимое.

Проведённый специалистами Mandiant эксперимент наглядно продемонстрировал, что с использованием описанного метода можно обойти защиту самой последней версии браузера Google Chrome. В рамках тестирования специалисты применили Cobalt Strike — популярный инструмент для проведения тестирования на проникновение (пентест), чтобы выполнить эту кибератаку.

Аналитики отмечают, что обнаруженная ими техника имеет свои ограничения. Прежде всего, это касается размера данных, которые передаются через QR-коды: он ограничен показателем в 2 189 байт. Кроме того, существует значительная задержка между запросами (около 438 байт в секунду), что делает технику обхода защиты довольно медленной. В связи с этим данный способ не пригоден для проведения крупномасштабных кибератак, например, в случае проксирования через SOCKS.

Эксперты компании Mandiant также заявили, что использование этой техники злоумышленниками может быть заблокировано дополнительными мерами защиты. К таким мерам относятся проверка репутации доменов, сканирование URL и предотвращение утечки данных.

Ещё по теме:

• OpenAI выпустила Sora: готов ли впечатлить новый видеогенератор?
• Apple против гонки за «сверхразум»: компания называет идею AGI наивной
• Джони Сруджи из Apple, может стать новым генеральным директором Intel