Злоумышленники генерируют полезную нагрузку прямиком в браузере.
https://www.securitylab.ru/upload/ib...1b667ed3d.jpeg
Исследователи безопасности компании Menlo Security https://www.menlosecurity.com/blog/n...ack-alert-duriо новой вредоносной кампании, в ходе которой злоумышленники используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.
В ходе кампании, получившей название Duri, используется метод BLOB-объектов JavaScript, генерирующий вредоносные файлы в браузере, что позволяет избегать обнаружения песочницами и прокси.
"Работа традиционных сетевых решений безопасности наподобие межсетевых экранов, прокси-серверов и песочниц основывается на передаче объектов по проводам. К примеру, песочница может извлекать передаваемые по проводам файловые объекты, такие как .exe, .zip и другие подозрительные объекты, и отправлять на обезвреживание", - пишут исследователи.
Однако в ходе Duri киберпреступники используют технику под названием HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Техника позволяет генерировать полезную нагрузку "на лету" и загружать файлы непосредственно из браузера. Другими словами, вся полезная нагрузка собирается на стороне клиента (браузера), поэтому никакие объекты не отправляются в песочницу для проверки.
Когда пользователь нажимает на предоставленную злоумышленником ссылку, через многочисленные переадресации он оказывается на HTML-странице на duckdns.org. Эта страница запускает JavaScript-код для генерирования BLOB-объекта из закодированной с помощью base64 переменной, содержащейся внутри скрипта.
ZIP-файл генерируется из одного только JavaScript-кода. В конце выполнения скрипт запускает загрузку архива в браузере. В ZIP-архиве содержится полезная нагрузка - MSI-файл.