Современная рабочая среда переместилась из локальных сетей в децентрализованные бизнес-приложения, доступ к которым осуществляется через браузер. Киберпреступники последовали за этой тенденцией, сделав браузер основной точкой входа для атак. Их цель — не скомпрометировать сам браузер, а получить доступ к данным в сторонних SaaS-сервисах, выгрузить их и монетизировать путем вымогательства. Эта тактика уже привела к утечкам у клиентов Snowflake в прошлом году и продолжающимся атакам на пользователей Salesforce.
Фишинг эволюционировал в фундаментальную браузерную атаку, выйдя за рамки электронной почты. Злоумышленники используют многоканальную доставку вредоносных ссылок через мессенджеры, социальные сети, SMS, рекламные объявления и даже прямые уведомления от легитимных SaaS-сервисов, чтобы обойти системы безопасности почты. В основе таких атак лежат гибкие инструментарии AitM (Adversary-in-the-Middle), дополненные техниками уклонения: динамическая обфускация кода, загружающего фишинговую страницу, и внедрение кастомной защиты от ботов, такой как CAPTCHA или Cloudflare Turnstile.
Новая техника, известная как ClickFix или FileFix, обманом заставляет пользователей выполнять вредоносные команды на своих устройствах. Атака маскируется под проверку, например, поддельную CAPTCHA. Пользователю предлагается скопировать текст со страницы и вставить его для выполнения в диалоговое окно Windows Run, Terminal или PowerShell. Вариант FileFix использует для выполнения команд адресную строку проводника Windows, а адаптированная версия для Mac нацелена на терминал macOS. Основная цель таких атак — доставка вредоносного ПО типа infostealer для кражи сессионных cookie и учетных данных.
Атаки через вредоносные OAuth-интеграции, также известные как «фишинг согласия» (consent phishing), позволяют скомпрометировать учетную запись, обходя стандартный процесс входа и даже устойчивую к фишингу многофакторную аутентификацию (MFA), включая passkeys. Примером служат текущие взломы аккаунтов Salesforce, где жертв убеждали авторизовать вредоносное приложение через поток авторизации по коду устройства. Пользователю требовалось ввести 8-значный код вместо пароля, предоставляя приложению злоумышленника полный доступ. Защита от таких атак затруднена из-за сотен приложений, используемых в корпоративной среде, особенно неконтролируемых «теневых» IT-ресурсов. В ответ на инциденты Salesforce анонсировала изменения в процессе авторизации OAuth-приложений.
Вредоносные расширения для браузера используются для перехвата учетных данных в реальном времени, наблюдения за процессом входа в систему или извлечения сессионных cookie из кеша браузера и менеджера паролей. Злоумышленники либо создают новые вредоносные расширения, либо захватывают контроль над существующими легитимными, выпуская вредоносное обновление. В декабре 2024 года было взломано расширение Cyberhaven, что привело к компрометации как минимум 35 других расширений. С тех пор были выявлены сотни вредоносных дополнений с миллионами установок, в то время как большинство организаций не контролируют, какие расширения используют их сотрудники.
Доставка вредоносных файлов теперь происходит через современные браузерные каналы, такие как вредоносная реклама (malvertising) и drive-by атаки. Вместо традиционных исполняемых файлов используются HTML-приложения (HTA), которые при загрузке разворачивают локальные, скрытые фишинговые страницы для сбора учетных данных. Также активно применяются SVG-файлы для создания автономных, отрисовываемых на стороне клиента поддельных порталов входа, которые полностью имитируют легитимные сервисы.
Кража учетных данных через фишинг или infostealer-атаки приводит к эксплуатации аккаунтов, не защищенных многофакторной аутентификацией. Хотя этот метод не является технически сложным, он крайне эффективен, что подтверждают инциденты со взломами учетных записей Snowflake в прошлом году и Jira в начале этого года. Основная уязвимость — это пробелы в покрытии MFA. Даже если приложение подключено к корпоративной системе единого входа (SSO), часто остаются активными локальные страницы входа («призрачные входы»), которые принимают только пароль, обходя требование MFA.
Изображение носит иллюстративный характер
Фишинг эволюционировал в фундаментальную браузерную атаку, выйдя за рамки электронной почты. Злоумышленники используют многоканальную доставку вредоносных ссылок через мессенджеры, социальные сети, SMS, рекламные объявления и даже прямые уведомления от легитимных SaaS-сервисов, чтобы обойти системы безопасности почты. В основе таких атак лежат гибкие инструментарии AitM (Adversary-in-the-Middle), дополненные техниками уклонения: динамическая обфускация кода, загружающего фишинговую страницу, и внедрение кастомной защиты от ботов, такой как CAPTCHA или Cloudflare Turnstile.
Новая техника, известная как ClickFix или FileFix, обманом заставляет пользователей выполнять вредоносные команды на своих устройствах. Атака маскируется под проверку, например, поддельную CAPTCHA. Пользователю предлагается скопировать текст со страницы и вставить его для выполнения в диалоговое окно Windows Run, Terminal или PowerShell. Вариант FileFix использует для выполнения команд адресную строку проводника Windows, а адаптированная версия для Mac нацелена на терминал macOS. Основная цель таких атак — доставка вредоносного ПО типа infostealer для кражи сессионных cookie и учетных данных.
Атаки через вредоносные OAuth-интеграции, также известные как «фишинг согласия» (consent phishing), позволяют скомпрометировать учетную запись, обходя стандартный процесс входа и даже устойчивую к фишингу многофакторную аутентификацию (MFA), включая passkeys. Примером служат текущие взломы аккаунтов Salesforce, где жертв убеждали авторизовать вредоносное приложение через поток авторизации по коду устройства. Пользователю требовалось ввести 8-значный код вместо пароля, предоставляя приложению злоумышленника полный доступ. Защита от таких атак затруднена из-за сотен приложений, используемых в корпоративной среде, особенно неконтролируемых «теневых» IT-ресурсов. В ответ на инциденты Salesforce анонсировала изменения в процессе авторизации OAuth-приложений.
Вредоносные расширения для браузера используются для перехвата учетных данных в реальном времени, наблюдения за процессом входа в систему или извлечения сессионных cookie из кеша браузера и менеджера паролей. Злоумышленники либо создают новые вредоносные расширения, либо захватывают контроль над существующими легитимными, выпуская вредоносное обновление. В декабре 2024 года было взломано расширение Cyberhaven, что привело к компрометации как минимум 35 других расширений. С тех пор были выявлены сотни вредоносных дополнений с миллионами установок, в то время как большинство организаций не контролируют, какие расширения используют их сотрудники.
Доставка вредоносных файлов теперь происходит через современные браузерные каналы, такие как вредоносная реклама (malvertising) и drive-by атаки. Вместо традиционных исполняемых файлов используются HTML-приложения (HTA), которые при загрузке разворачивают локальные, скрытые фишинговые страницы для сбора учетных данных. Также активно применяются SVG-файлы для создания автономных, отрисовываемых на стороне клиента поддельных порталов входа, которые полностью имитируют легитимные сервисы.
Кража учетных данных через фишинг или infostealer-атаки приводит к эксплуатации аккаунтов, не защищенных многофакторной аутентификацией. Хотя этот метод не является технически сложным, он крайне эффективен, что подтверждают инциденты со взломами учетных записей Snowflake в прошлом году и Jira в начале этого года. Основная уязвимость — это пробелы в покрытии MFA. Даже если приложение подключено к корпоративной системе единого входа (SSO), часто остаются активными локальные страницы входа («призрачные входы»), которые принимают только пароль, обходя требование MFA.
