Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Атака SnailLoad вычисляет, какое видео на YouTube вы смотрели

Группа специалистов из Грацского Технического Университета рассказала о новом векторе атаки — SnailLoad. Согласно описанию, она позволяет удалённому злоумышленнику вычислить контент и веб-сайты, которые просматривает пользователь, не имея прямой доступ к его сетевому трафику.

Ранее такого рода атаки предполагали взлом Wi-Fi-соединения в непосредственной близости от целевого пользователя или же реализации принципа «Человек посередине» (MitM).

Однако вектор SnailLoad более эффективен, поскольку не требует выполнения кода в системе жертвы и не нуждается в MitM.

В опубликованном исследователями примере видно, как SnailLoad может использоваться для вычисления просмотренного на YouTube видеоролика и посещаемых веб-сайтов.

Чтобы запустить SnailLoad, условный киберпреступник должен измерить сетевую задержку для ряда видео, размещённых на YouTube, и сайтов, которые может просматривать условная жертва. Измерив эти задержки, атакующий может создать цифровой отпечаток для каждого из них.

После этого злоумышленник должен обманом заставить пользователя загрузить набор данных с вредоносного сервера. Например, можно попросить скачать файл, но атака сработает и с изображениями, рекламными объявлениями, стилями и даже шрифтами.

«Самая опасная часть атаки заключается в том, что TCP-сервер может тайно получать данные о задержке от любых подключаемых клиентов», — объясняет Стефан Гаст, один из исследователей.

 

Посвящённую SnailLoad статью можно найти по этому адресу (PDF). Специалисты также подняли специальный сайт, где лежит демо.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Возвращение PassiveNeuron: группа атаковала серверы госорганизаций

Эксперты Kaspersky GReAT сообщили о волне атак кибергруппы PassiveNeuron, которая продолжалась с декабря 2024 по август 2025 года. Под удар попали правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Главная особенность этой кампании — фокус на Windows Server.

«Лаборатория Касперского» впервые обнаружила PassiveNeuron в июне 2024 года. После полугодового перерыва злоумышленники вновь активизировались в декабре. На этот раз они использовали сразу три инструмента для закрепления в сетях жертв:

  • известный фреймворк Cobalt Strike,
  • а также два новых инструмента — бэкдор Neursite и имплант NeuralExecutor.

Neursite оказался модульным бэкдором, который собирает системную информацию, управляет процессами и может перенаправлять сетевой трафик через заражённые устройства. Это позволяет злоумышленникам незаметно перемещаться по сети.

NeuralExecutor — созданный на .NET имплант, способный получать команды с серверов злоумышленников, загружать дополнительные модули и выполнять их.

Во время анализа специалисты обратили внимание на необычные детали — в некоторых образцах функций встречались строки с кириллическими символами. Исследователи считают, что это, скорее всего, ложный след: злоумышленники могли специально вставить такие элементы, чтобы запутать экспертов по киберразведке.

По словам эксперта Kaspersky GReAT Георгия Кучерина, злоумышленники всё чаще нацеливаются на серверы, доступные из интернета:

«Серверы часто являются основой корпоративных сетей. Один успешный взлом может открыть путь к критически важным системам. Поэтому необходимо регулярно проверять серверные приложения и сокращать поверхность атаки».

Эксперты напоминают: поддержание актуальных обновлений, сегментация сетей и постоянный мониторинг трафика — ключевые меры, которые помогают защитить инфраструктуру от подобных кампаний.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru