Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Екатерина Быстрова 12 Августа 2022 - 12:14

...

Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Специалист по кибербезопасности Джеймс Кеттл предупреждает о новом способе использования HTTP-запросов в ходе кибератак на браузеры пользователей. Ранее Кеттл уже демонстрировал метод эксплуатации обработки HTTP-запросов со стороны веб-сайтов.

Эти так называемые атаки десинхронизации используют разногласия в том, как фронтенд и бэкенд сайта с одной стороны и фронтенд сервера — с другой интерпретирует HTTP-запросы. Эксплуатация таких нестыковок может перенаправить запросы компоненту бэкенда.

В результате для атакующего открывается целый спектр вредоносных действий: кража учётных данных, вызов неожиданных ответов от приложения и т. п. Год назад Кеттл описывал этот вектор в одной из своих статей.

Новое исследование специалиста строится на том, как киберпреступник может использовать те же проблемы обработки некорректного HTTP-запроса в ходе атак на посетителей веб-ресурсов. По словам эксперта, с помощью этого метода злоумышленники могут украсть учётные данные, установить бэкдоры и в целом скомпрометировать систему условного пользователя.

Согласно описанию Кеттла, атаки десинхронизации можно провести на Amazon.com и другие сайты, использующие AWS Application Load Balancer, Cisco ASA WebVPN, Akamai, Varnish Cache и Apache HTTP Server 2.4.52 и более старые версии.

Главное отличие атак десинхронизации на стороне сервера и на стороне клиента заключается в том, что в первом случае у злоумышленника под контролем должны быть системы с обратным прокси, а во втором ему потребуется специально сформированные запросы.

Для пользователя эти атаки опасны тем, что происходят непосредственно в его браузере. Кеттл продемонстрировал proof-of-concept, с помощью которого он смог перехватить токены аутентификации случайных пользователей на сайте Amazon.

В двух видеороликах специалист также показал атаку на Pulse Secure VPN и MITM на Apache (обе на стороне клиента):

С подробным техническим разбором этого вектора атаки можно ознакомиться в отчёте Джеймса.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Мая 2026 - 10:15

Android Трояны Домашние пользователи

Банковский Android-троян TrickMo научился прятать команды в TON

Исследователи из ThreatFabric обнаружили новую версию Android-банкера TrickMo, которая получила необычный способ связи с операторами: теперь зловред использует сеть The Open Network (TON) для сокрытия инфраструктуры управления.

TrickMo известен с 2019 года и всё это время активно развивается. Раньше его уже находили в десятках вариантов: например, в 2024 году Zimperium изучила 40 версий банкера, распространявшихся через 16 дропперов и работавших с 22 C2-инфраструктурами.

Новый вариант ThreatFabric отслеживает как Trickmo.C. По данным исследователей, он активен как минимум с января и маскируется под TikTok или приложения для стриминга. Главные цели операторов — банковские приложения и криптокошельки.

Интересная особенность свежей версии — связь с управляющим сервером через TON. На заражённом устройстве запускается локальный TON-прокси, а коммуникации идут через .adnl-адреса. В отличие от обычных доменов, такие адреса не завязаны на публичный DNS, поэтому классические блокировки и изъятия доменов здесь почти не помогают. Для сетевых средств защиты такой трафик выглядит просто как зашифрованный TON-трафик.

Сам TrickMo остаётся модульным зловредом. Сначала на устройство попадает основной APK, который отвечает за загрузку и закрепление, а затем подтягивается дополнительный модуль с основной функциональностью.

Возможности у TrickMo внушительные: фишинговые оверлеи для кражи банковских данных, кейлоггинг, запись и трансляция экрана, перехват СМС, подавление уведомлений с одноразовыми кодами, подмена буфера обмена, фильтрация уведомлений и создание скриншотов.

В новой версии появились и дополнительные команды, включая curl, ping, dnsLookup, telnet, traceroute, SSH-туннелирование, локальный и удалённый проброс портов, а также поддержку SOCKS5-прокси с авторизацией.

Исследователи также заметили в Trickmo.C фреймворк Pine. Ранее его использовали для перехвата сетевых операций и Firebase, но в текущей версии он пока неактивен. Кроме того, зловред запрашивает множество NFC-разрешений, хотя рабочей NFC-функциональности специалисты не нашли.

Пользователям Android традиционно советуют не устанавливать приложения из сторонних источников, держать включённым Play Protect и не раздавать подозрительным приложениям лишние разрешения.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!