Распространение зловредов средствами HTML5

Александр Панасенко 16 Июля 2015 - 20:33

...

Группа итальянских исследователей предложила три новые техники обфускации, способные обмануть антивирусные сканеры и успешно распространять вредоносные программы методом drive-by. Техники основаны на новых стандартах HTML5, объясняют авторы научной работы.

По их мнению, увеличение количества малвари в Сети объясняется именно внедрением новых веб-технологий.

Для обфускации используются некоторые программные интерфейсы HTML5, хотя принципиальная схема drive-by остается прежней. На предварительном этапе происходит шифрование зловреда и его размещение на сервере. Как только жертва загружает зараженную страницу, то одновременно скачивает вредоносную программу, которая дешифруется и запускается на исполнение, пишет xakep.ru.

Из двух указанных этапов первый остается без изменений. Как и раньше, следует найти подходящий «дырявый» сервер и сделать инъекцию кода.

Второй этап гораздо интереснее. Для доставки зловреда и дешифровки применяются программные интерфейсы HTML5. Именно это позволяет остаться незамеченным для антивирусов, которым пока незнакомы подобные методы.

В научной работе исследователи описывают три инновационных метода обмана антивирусов. Дело в том, что многие антивирусные системы отслеживают стандартные процедуры декодирования или деобфускации. Есть несколько способов избежать обнаружения.

Делегированная подготовка (Delegated Preparation): зловред разбивается на фрагменты в «базе данных», а деобфускация перекладывается на браузер с помощью Web-SQL API или IndexeDB API.
Распределенная подготовка (Distributed Preparation): обычно процедуры деобфускации выглядят безобидно по отдельности, но подозрительно все вместе. Это их свойство используется при распределенной деобфускации, когда зловред разбивается на фрагменты, и они расшифровываются в разных контекстах.
Деобфускация пользователем (User-driven Preparation): разновидность распределенной подготовки, когда расшифровка и исполнение программы размазаны по времени, которое пользователь проводит на зараженной веб-странице. Для внесения элемента случайности действия зловреда инициируются непосредственно действиями пользователя, не подозревающим об этом.

Эксперимент показал, что такая тактика позволяет обмануть большинство систем обнаружения и антивирусных сканеров.

Исследователи призывают разработчиков защитных систем модернизировать свои программы с учетом возможностей HTML5.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 13 Февраля 2026 - 10:44

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Кросс Технолоджис

Злоумышленники перешли к новой схеме для перехвата кодов подтверждения

Злоумышленники всё чаще просят жертв продиктовать коды подтверждения из голосовых сообщений. Привычная схема с кодами из СМС постепенно теряет эффективность — в текстах сообщений многие компании начали размещать явные предупреждения о том, что код нельзя никому сообщать. Поэтому аферисты переключаются на голосовой канал, который нередко доступен для авторизации и восстановления доступа наряду с СМС.

О новой тенденции сообщили РИА Новости со ссылкой на сервис Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК «Кросс технолоджис»):

«Мошенники начали активно использовать звонки вместо СМС для выманивания у жертв одноразовых кодов. Классическая схема через СМС постепенно теряет эффективность. Компании, заботящиеся о репутации, всё чаще добавляют в сообщения явные предупреждения: никому не сообщать код. Это даёт человеку шанс остановиться, обдумать ситуацию и принять рациональное решение».

Для реализации схемы злоумышленники используют IP-телефонию с подменой номера. В результате входящий вызов отображается так, будто поступает от официальной организации, от имени которой действуют аферисты.

Кроме того, преступники могут записывать голос жертвы и затем использовать его в других сценариях или при развитии атаки в многоступенчатых схемах. Например, спустя несколько дней человеку могут позвонить якобы «сотрудники правоохранительных органов» и угрожать записью разговора как «доказательством» причастности к преступлению.

«Зачастую злоумышленникам даже не важно, от какого сервиса поступил звонок с кодом. Главное — чтобы человек продиктовал цифры. После этого к разговору подключаются “сотрудники” силовых структур: фейковые “майоры” начинают давить угрозами, обвинять в переводах средств, передаче геолокации и прочем», — пояснил руководитель сервиса SBA Сергей Трухачёв.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »