QR-коды атакуют: исследователи раскрыли брешь в защите веб-браузеров

Эксперты из компании Mandiant обнаружили новый метод обхода технологий изоляции браузеров, позволяющий злоумышленникам организовывать C2-коммуникации с использованием QR-кодов. Это открытие демонстрирует уязвимости в современных системах безопасности браузеров.

Технология изоляции браузера предназначена для повышения безопасности: она направляет все запросы локального браузера через удалённые браузеры, работающие в облаке или виртуальных машинах. Любой код на посещаемых сайтах выполняется на удалённой стороне, а на локальное устройство передаётся только визуальное изображение страницы.

Однако Mandiant нашла способ обойти эту защиту. Новый метод использует QR-коды для передачи команд. Визуальное отображение QR-кода на странице проходит через изоляцию браузера, позволяя вредоносному ПО на заражённом устройстве считывать и декодировать его содержимое.

Эксперимент Mandiant показал успешный обход защиты на актуальной версии Google Chrome. Исследователи использовали Cobalt Strike, популярный инструмент для тестирования на проникновение, чтобы реализовать эту атаку.

Тем не менее, метод имеет свои ограничения. Во-первых, размер данных, передаваемых через QR-коды, ограничен до 2 189 байт, что усложняет передачу больших объёмов информации. Во-вторых, высокая задержка между запросами делает метод медленным — около 438 байт в секунду. Это делает технику непригодной для масштабных атак, таких как проксирование через SOCKS.

Кроме того, Mandiant подчёркивает, что дополнительные меры защиты, такие как проверка репутации доменов, сканирование URL и предотвращение утечки данных, могут блокировать этот метод.

Тем не менее, несмотря на ряд ограничений, угроза остаётся реальной. Администраторам критически важных систем рекомендуется внимательно следить за аномальным трафиком и использовать защитные механизмы для обнаружения автоматизированных браузеров в сети.