Shrnutí:
- Piráti používají skutečné adresy URL pro Google, aby tajně prováděli škodlivé programy prostřednictvím antivirových programů a pro prohlížeč, aniž by byli objeveni.
- Tyto škodlivé programy jsou aktivní pouze během procesu platby, což z něj činí tichou hrozbu pro online platby.
- Textový program otevírá připojení Websock pro přímé ovládání, které je pro průměrného uživatele zcela neviditelné.
Byla vytvořena nová kampaň malwaru založeného na prohlížeči, která ukazuje, jak útočníci nyní těží ze spolehlivých sérií, jako je Google.com, k překonání tradičních antivirových funkcí. Tyto útoky jsou hlavní výzvou pro kybernetickou bezpečnost.
Podle zprávy vydané vědci z boční bezpečnosti je tato metoda neviditelná a je podmíněně provozována a pro uživatele i tradiční bezpečnostní programy je obtížné objevit. Tato metoda závisí na využití důvěry uživatelů v řadě Google.com.
Zdá se, že útok je určen právní URL, ale je to tajný dopravce s úplným příchodem do relace prohlížeče uživatele. To umožňuje hackerům ukrást citlivá data, jako jsou informace o kreditní kartě a hesla, bez znalostí uživatele. Uživatelé musí být velmi opatrní při poskytování oprávnění k aplikacím na třetí straně, i když se podívají na Google.
Škodlivé škodlivé programy
Tento elektronický útok začíná škodlivým injekcí skriptu na webových stránkách elektronického obchodování na základě platformy Magento. Tento skript označuje nevinný odkaz pro registraci z účtu Google OAUT:
Tento odkaz však obsahuje přizpůsobený parametr zpětného volání, demontáž a implementaci vágní daně JavaScript pomocí EVL (ATOB (…)).
Podstata triku spočívá v používání spolehlivé řady Google. Protože je skript načten ze spolehlivého zdroje, může většina zásad zabezpečení obsahu (CSPS) a Filtr domény (DNS) bezpochyby projít. Díky tomu je objev těchto typů útoků hlavní výzvou.
Tento skript je aktivován pouze za určitých okolností. Pokud se prohlížeč objeví automaticky nebo pokud URL obsahuje slovo „pokladna“, tiše otevírá připojení k webu s maligním serverem. To znamená, že skript je schopen přizpůsobit své maligní chování uživatelským postupům, což zvyšuje jeho účinnost.
Každá daň odeslaná prostřednictvím tohoto kanálu je šifrována ve formátu Base64 a poté je rozebírá a dynamicky ji implementuje pomocí funkce JavaScript.
S touto přípravou může útočník provést kód z externího prohlížeče ve skutečné době, což mu poskytne plnou kontrolu nad uživatelským prostředím.
Jedním z nejdůležitějších faktorů, které ovlivňují účinnost tohoto útoku, je schopnost vyhnout se mnoha z nejlepších antivirových programů na trhu.
Logika skriptu je velmi vágní a je aktivována pouze za určitých okolností, takže není ani aktivována nejlepšími aplikacemi Antivir-Rest na Android a pevné výzkumné nástroje pro škodlivé programy.
Tyto nástroje nebudou zkoumat, hlásit ani zakázat poplatky za JavaScript, které jsou dodávány prostřednictvím zdánlivě legitimních toků OAUT.
Filtry DNS nebo pravidla zdi ochrany také nabízejí omezenou ochranu, protože je zaměřena počáteční poptávka po legální řadě Google.
V blízkosti instituce může být i některé z nejlepších AIDS pro ukončení bodů považovat za obtížné objevit tuto činnost, pokud je vysoce závislá na pověsti domény nebo nekontroluje implementaci dynamického skriptu v prohlížečích.
Ačkoli aplikace uživatelů a týmů pro kybernetickou zabezpečení může k určení takových odchylek používat produkty pro výzkum obsahu nebo nástroje pro analýzu chování, obyčejní uživatelé jsou stále ohroženi.
Omezení používání skriptů na třetí straně, oddělení sezení prohlížeče používaných pro finanční transakce a zůstat vzhůru od neočekávaného chování SIT, což může pomoci snížit krátkodobé rizika.
