Браузер вместо вируса: вымогатели готовятся к атаке нового поколения

Сценарий массовой атаки вымогателей, не требующей заражения устройств, больше не кажется фантастикой. Исследование SquareX предупреждает, что браузер может стать новой ареной для вымогательского ПО, обходящего традиционные средства защиты. Это направление угрожает безопасности облачных сервисов и корпоративных данных, особенно с ростом популярности SaaS-приложений и хранением информации исключительно в облаке.

Ранее атаки с использованием программ-вымогателей требовали непосредственного доступа к устройству — будь то компьютер или смартфон — теперь стандартной защиты может быть недостаточно.

С переходом на облачные хранилища и веб-приложения большая часть деловой активности компаний переместилась в браузер. Хакеры не остались в стороне: появились вредоносные инструменты, работающие исключительно внутри браузера, не затрагивая файловую систему устройства. По словам SquareX, это создаёт крайне выгодные условия для атакующих — высокая эффективность при минимальном риске быть обнаруженными.

Браузерные вымогатели действуют иначе, чем традиционные аналоги. Они не загружают файлы, не запускают процессы на устройстве, и потому не вызывают срабатывания антивирусов и систем защиты. Они атакуют через OAuth-доступ, расширения, фишинг или синхронизацию аккаунтов, что позволяет незаметно захватывать контроль над облачными сервисами жертвы.

В отчёте SquareX подробно рассматриваются три гипотетических сценария.

• В первом случае хакер маскирует вредоносное приложение под легитимное, получает доступ к Google Drive жертвы, копирует и удаляет файлы, после чего требует выкуп за отказ от публикации конфиденциальных данных.
• Во втором варианте используется методика фишинга на основе разрешений — consent phishing. Через доступ к электронной почте злоумышленник выясняет, какие SaaS-сервисы использует жертва, затем с помощью ИИ автоматически сбрасывает пароли, захватывает учётные записи и выкачивает хранящуюся информацию.
• Третий сценарий строится на уязвимости в функции синхронизации браузера. Через вредоносное расширение злоумышленник незаметно авторизует свой профиль, который синхронизируется с аккаунтом атакующего, после чего собираются все сохранённые пароли и доступ ко всем SaaS-приложениям.

В отличие от классических вредоносов, которые можно зафиксировать на уровне файловой системы, браузерные вымогатели действуют за пределами зон видимости EDR , SASE и других привычных средств защиты. К тому же большая часть корпоративных ИБ-систем не следит за OAuth-разрешениями, установкой расширений и действиями внутри браузера. Отсутствие threat intelligence и стандартов по реагированию также усугубляют ситуацию.

Наконец, браузерная модель делает возможным масштабное горизонтальное распространение угрозы: через общий доступ к файлам один скомпрометированный пользователь способен подвергнуть риску весь корпоративный архив. Тогда как в классической модели ущерб часто ограничен одним устройством, в браузере компрометация — это угроза всем подключённым ресурсам.

Специалисты предупреждают: элементы атаки уже существуют и используются в отдельных эпизодах. Вспоминается, например, инцидент с Cyberhaven , когда хакеры распространили вредоносное обновление для расширения браузера Chrome. Пока что ни одна кампания не была развернута в полном масштабе, но исследователи считают, что появление первой такой атаки — вопрос времени.