Новый метод позволяет коду JavaScript шпионить за серфингом юзеров

Новый метод позволяет коду JavaScript шпионить за серфингом юзеров

Новый метод позволяет коду JavaScript шпионить за серфингом юзеров

Специалисты в области информационной безопасности открыли новую технику, которая позволяет провести атаку по сторонним каналам. Благодаря этому методу вредоносный код JavaScript, запущенный в одной из вкладок браузера, может перехватывать происходящее в других вкладках. Следовательно, открывается отличный вектор для шпионажа за пользователем.

Используя этот метод, злоумышленник может отследить, какие веб-сайты посещает тот или иной пользователь. Такая информация пришлась бы очень кстати для различных маркетинговых схем и рекламных кампаний.

О методе сообщили специалисты Университета имени Давида Бен-Гуриона в Негеве, Аделаидского университета в Австралии и Принстонского университета в Америке. Сама техника подробно описана в исследовании «Robust Website Fingerprinting Through the Cache Occupancy Channel» (PDF).

Эксперты использовали JavaScript для получения данных и идентификации посетителей сайтов.

«Продемонстрированная нами атака может скомпрометировать личные данные пользователей. Используя информацию о посещенных пользователем сайтах, злоумышленники могут определить сексуальную ориентацию юзера, религиозные предпочтения, политические взгляды, состояние здоровья и тому подобное», — объясняет один из ученых, обнаруживших вектор атаки.

Несмотря на то, что эта атака не настолько опасна, как, например, возможность удаленного выполнения кода, эксперты полагают, что ее можно будет использовать для компрометации ключей шифрования или уязвимых программ, установленных в системе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В R-Vision SIEM появилось более 260 новых правил детектирования угроз

В систему мониторинга событий ИБ R-Vision SIEM добавили крупное обновление экспертизы. Оно включает 263 новых правила детектирования, поддержку дополнительных источников событий и доработку уже существующего контента. Сейчас в системе доступно более 750 правил «из коробки».

Обновления затронули такие системы, как Microsoft Windows, Linux, MySQL, Oracle DB, VMware vCenter и ESXi, OpenVPN. Также расширено покрытие для Microsoft SQL Server и Kubernetes.

По словам команды R-Vision, особое внимание в этот раз уделили Kubernetes — из-за его популярности в облачных и гибридных инфраструктурах. С ростом использования увеличивается и интерес со стороны атакующих. Среди частых техник — попытки обойти ограничения RBAC и получить доступ к критическим namespace, таким как kube-system. Чтобы выявлять такие действия, в SIEM добавили новые правила.

Также появились сигнатуры для продуктов российских производителей, включая Гарда WAF, Infowatch TM, S-Terra Gate и Secret Net Studio.

Кроме общих улучшений, в систему добавили правила для конкретных техник, которые применяются в атаках:

  • Использование LocaltoNet — утилиты для создания туннелей снаружи внутрь инфраструктуры. Её применяли, например, в атаках APT Morlock против подрядчиков в IT-сфере.
  • Эксплуатация CVE-2025-24071 — уязвимости в Windows Explorer, через которую можно инициировать утечку NTLMv2-хэшей при открытии специально оформленного .library-ms файла.
  • Злоупотребление ssh.exe — для скрытого туннелирования трафика, перехвата учётных данных и удалённого выполнения команд. Такие методы использовались группировкой ToddyCat.
  • Внедрение вредоносного кода в браузерные расширения, что может приводить к краже пользовательских данных.

Помимо правил детектирования, обновление включает новые правила нормализации логов для разных источников, чтобы система корректно обрабатывала события. В списке — оборудование и ПО от Huawei, Континент, Garda, ViPNet, Dallas Lock, Kaspersky, Positive Technologies, а также open source-системы вроде Suricata, Lighttpd, NextCloud, pfSense и других.

Добавлены также шаблоны типовых дашбордов — с готовыми структурами, настройками отображения и расположением виджетов. Это может помочь быстрее настроить визуализацию под конкретные задачи.

Обновление доступно всем пользователям с действующей техподдержкой. Для установки требуется версия R-Vision SIEM не ниже 2.3.0. Полный список поддерживаемых источников и версии пакетов опубликованы на портале документации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru