Хакеры могут узнать, что вы вводили в адресную строку Internet Explorer

Хакеры могут узнать, что вы вводили в адресную строку Internet Explorer

Хакеры могут узнать, что вы вводили в адресную строку Internet Explorer

В браузере Microsoft Internet Explorer обнаружена серьезная уязвимость, позволяющая злонамеренным сайтам отслеживать, что пользователь вводит в адресную строку.

Эта проблема также затрагивает поисковые запросы, которые IE автоматически обрабатывает с помощью поиска Bing. Брешь была обнаружена исследователем Мануэлем Кабальеро (Manuel Caballero), она представляет собой серьезную угрозу конфиденциальности, так как может использоваться в таргетированных атаках, а также для сбора данных рекламодателями в Сети.

Уязвимость возникает в момент, когда IE загружает страницу с вредоносным HTML-тегом object, либо содержащую метатег compatibility в исходном коде. Оба условия довольно часто встречаются.

Сценарий 1: Хакеры могут скрыть вредоносные HTML-теги object на взломанных сайтах или загрузить их с помощью объявлений, которые позволяют рекламодателям размещать пользовательский код HTML и JavaScript.

Сценарий 2: X-UA-Compatible – метатег, позволяющий веб-разработчикам выбирать режим совместимости с любой версией Internet Explorer. Почти все сайты в интернете имеют метатег совместимости.

По словам эксперта, когда JavaScript-код запускается в теге object, «происходит путаница местоположения объекта, которая приведет к тому, что вернется основное местоположение».

Другими словами, тег object, который может быть загружен и скрыт внутри страницы, будет иметь доступ к информации, ранее доступной для главного окна браузера.

В опубликованном Кабальеро сообщении говорится, что с помощью этого вредоносного тега злоумышленник может узнать, что пользователь вводил в адресную строку.

Кабальеро создал демо-страницу, которая работает только с Internet Explorer, а также видео, демонстрирующее атаку.

Эксперт пока не сообщил Microsoft об этой проблеме.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru