Nova Malverzijska Kampanja: Kako Napadači Iskorištavaju Pouzdane Domene
U svijetu kibernetičke sigurnosti, nova kampanja malvera koja se pokreće putem web preglednika pokazuje kako napadači zavaravaju korisnike iskorištavanjem pouzdanih domena poput Google.com. Ova taktika, otkrivena od strane istraživača sigurnosti iz tvrtke c/side, predstavlja suptilan, uvjetno aktiviran pristup koji je izazovan za detekciju i kod korisnika i kod konvencionalnog antivirusnog softvera.
Kako Napad Funkcionira?
Napad započinje skriptom umetnutom u kompromitiranu e-commerce stranicu koja koristi Magento platformu. Ova skripta upućuje na naizgled bezopasnu Google OAuth odjavnu URL adresu: https://accounts.google.com/o/oauth2/revoke. Međutim, ova URL adresa sadrži manipulirani povratni parametar koji dekodira i pokreće obfusiranu JavaScript funkciju koristeći eval(atob(…)).
- Dezinformacija putem Googleove domene: Budući da skripta učitava iz pouzdane izvore, većina politika sigurnosti sadržaja (CSP) i DNS filtri propuštaju je bez pitanja.
- Uvjetna aktivacija skripte: Skripta se aktivira samo pod određenim uvjetima, poput automatskog ponašanja preglednika ili prisutnosti riječi “checkout” u URL-u.
- Povezivanje s malicioznim poslužiteljem: Na taj način, skripta tiho otvara WebSocket povezivanje s zlonamjernim poslužiteljem, omogućujući napadaču da prilagodi maliciozno ponašanje korisničkim radnjama.
Kako Napadači Izbjegavaju Detekciju?
Jedan od glavnih faktora koji utječe na učinkovitost ovog napada je njegova sposobnost da izbjegne detekciju mnogih najboljih antivirusnih programa na tržištu. Logika skripte je jako obfusirana i aktivira se samo pod određenim uvjetima, što otežava detekciju čak i najnaprednijim Android antivirusnim aplikacijama. Statistički skeneri malvera također ne provode analize JavaScript sadržaja poslanog kroz legitimne OAuth tokove.
Ograničenja DNS Filtriranja i Zaštite na Uređajima
DNS filtri ili pravila vatrozida također nude ograničenu zaštitu, jer se inicijalni zahtjev šalje na legitimnu Googleovu domenu. U korporativnom okruženju, čak i najbolji alati za zaštitu krajnje točke mogu se suočiti s izazovima u detekciji ovih aktivnosti ako se oslanjaju na reputaciju domena ili ne provode inspekciju dinamičke izvedbe skripti unutar preglednika.
Kako se Zaštititi od Ove Prijetnje?
Dok napredni korisnici i timovi za kibernetičku sigurnost mogu koristiti alate za inspekciju sadržaja ili analizu ponašanja za identifikaciju anomalija poput ovih, prosječni korisnici ostaju ranjivi. Postoje koraci koje možete poduzeti kako biste smanjili rizik:
- Ograničite upotrebu skripti trećih strana.
- Odvojite pregledničke sesije za financijske transakcije.
- Budite oprezni prema neočekivanim ponašanjima stranica.
Zaključak
Nova malverzijska taktika koja iskorištava pouzdane domene predstavlja ozbiljnu prijetnju u području kibernetičke sigurnosti. Proactive pristup, kao što su provale u sigurnost i redovite provjere može pomoći u smanjenju rizika. Budite budni i informirani kako biste se zaštitili od potencijalnih prijetnji koje dolaze putem web preglednika.
