Распространение зловредов средствами HTML5

Александр Панасенко 16 Июля 2015 - 20:33

...

Группа итальянских исследователей предложила три новые техники обфускации, способные обмануть антивирусные сканеры и успешно распространять вредоносные программы методом drive-by. Техники основаны на новых стандартах HTML5, объясняют авторы научной работы.

По их мнению, увеличение количества малвари в Сети объясняется именно внедрением новых веб-технологий.

Для обфускации используются некоторые программные интерфейсы HTML5, хотя принципиальная схема drive-by остается прежней. На предварительном этапе происходит шифрование зловреда и его размещение на сервере. Как только жертва загружает зараженную страницу, то одновременно скачивает вредоносную программу, которая дешифруется и запускается на исполнение, пишет xakep.ru.

Из двух указанных этапов первый остается без изменений. Как и раньше, следует найти подходящий «дырявый» сервер и сделать инъекцию кода.

Второй этап гораздо интереснее. Для доставки зловреда и дешифровки применяются программные интерфейсы HTML5. Именно это позволяет остаться незамеченным для антивирусов, которым пока незнакомы подобные методы.

В научной работе исследователи описывают три инновационных метода обмана антивирусов. Дело в том, что многие антивирусные системы отслеживают стандартные процедуры декодирования или деобфускации. Есть несколько способов избежать обнаружения.

Делегированная подготовка (Delegated Preparation): зловред разбивается на фрагменты в «базе данных», а деобфускация перекладывается на браузер с помощью Web-SQL API или IndexeDB API.
Распределенная подготовка (Distributed Preparation): обычно процедуры деобфускации выглядят безобидно по отдельности, но подозрительно все вместе. Это их свойство используется при распределенной деобфускации, когда зловред разбивается на фрагменты, и они расшифровываются в разных контекстах.
Деобфускация пользователем (User-driven Preparation): разновидность распределенной подготовки, когда расшифровка и исполнение программы размазаны по времени, которое пользователь проводит на зараженной веб-странице. Для внесения элемента случайности действия зловреда инициируются непосредственно действиями пользователя, не подозревающим об этом.

Эксперимент показал, что такая тактика позволяет обмануть большинство систем обнаружения и антивирусных сканеров.

Исследователи призывают разработчиков защитных систем модернизировать свои программы с учетом возможностей HTML5.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 14:41

Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Одноразовые СМС-ссылки годами открывают доступ к личным данным

Одноразовые ссылки, которые сервисы рассылают по СМС для входа или подтверждения действий, на практике часто оказываются вовсе не одноразовыми. Новое исследование показало, что такие URL могут годами оставаться активными и открывать доступ к персональным данным пользователей.

Исследователи собрали данные через публичные СМС-шлюзы — сайты, где отображаются сообщения, отправленные на временные номера.

В общей сложности специалисты проанализировали более 33 млн сообщений, связанных с 30 тыс. телефонных номеров, и извлекли около 323 тысячи уникальных ссылок, ведущих на 10,9 тыс. доменов.

Из примерно 147 тыс. доступных URL удалось выявить 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 сервисам. В открытом доступе оказывались имена, номера телефонов, адреса, даты рождения, банковские реквизиты, номера социального страхования и кредитные данные. Во многих случаях одной ссылки хватало для сбора подробного профиля человека.

Особую тревогу вызвал срок жизни таких ссылок. Все 701 URL оставались рабочими на момент проверки. Более половины из них были возрастом от одного до двух лет, ещё 46% — старше двух лет, а некоторые датировались 2019 годом. По словам авторов исследования, чем дольше ссылка остаётся активной, тем выше риск её утечки — через пересылку сообщений, логи, взломанные устройства или повторное использование номеров.

Во всех подтверждённых случаях доступ к данным строился по принципу bearer-link: сама ссылка служила единственным «ключом» и не требовала дополнительной аутентификации. В 15 сервисах по таким URL можно было изменять персональные данные, а в шести случаях — фактически получить доступ к аккаунту пользователя.

Отдельной проблемой стали слабые токены. Около 73% сервисов использовали ссылки с низкой энтропией, которые можно было подобрать. В ряде случаев исследователям удавалось получить доступ к чужим данным менее чем за десять попыток.

Авторы исследования уведомили 150 компаний, чьи сервисы оказались уязвимыми. Ответили лишь 18, а реальные фиксы внедрили только семь. По мнению исследователей, сама модель доверия к СМС-ссылкам как «безопасному» каналу остаётся системной проблемой: пока такие механизмы проектируются ради удобства, а не безопасности, утечки данных будут неизбежны.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »