En ny browserbaseret malware-kampagne er dukket op og viser, hvordan hackere nu udnytter betroede domæner som Google.com til at omgå traditionelle antivirusprogrammer og andre former for forsvar.
Ifølge en rapport fra sikkerhedsforskere hos c/side er metoden diskret, betinget og svær at opdage - både for brugere og almindelig sikkerhedssoftware. Det skriver mediet TechRadar.
Angrebet ser ud til at komme fra en legitim URL relateret til OAuth, men kører i det skjulte en skadelig kode med fuld adgang til brugerens browsersession.
Angrebet starter med et script, der er indlejret på et kompromitteret e-handelswebsite baseret på Magento. Scriptet henviser til en tilsyneladende harmløs Google OAuth logout-URL: https://accounts.google.com/o/oauth2/revoke.
Men denne URL indeholder en manipuleret callback-parameter, som dekoder og kører en onsindet JavaScript-kode via eval(atob(...)).
Brugen af Googles domæne er central for bedraget, da scriptet dermed bliver hentet fra en betroet kilde. Det betyder, at de fleste indholds-sikkerhedspolitikker (CSP'er) og DNS-filtre tillader det uden indsigelser.
Scriptet aktiveres kun under særlige betingelser. Hvis browseren opfører sig som en automatiseret enhed, eller hvis URL'en indeholder ordet 'checkout', åbner det i stilhed en WebSocket-forbindelse til en ondsindet server. Det betyder, at angrebet kan tilpasse sin skadelige adfærd til brugerens handlinger.
Enhver skadelig kode, der sendes gennem denne kanal, er base64-kodet, afkodet og afvikles dynamisk via JavaScripts Function-konstruktør.
Denne opsætning gør det muligt for angriberen at køre kode direkte i brugerens browser - i realtid.
En af de vigtigste grunde til, at angrebet virker, er dets evne til at undgå selv de bedste antivirusprogrammer på markedet.
Scriptets logik er stærkt obfuskret og aktiveres kun under særlige forhold. Det gør det usandsynligt, at det bliver opdaget - selv af avancerede antivirusapps til Android eller statiske malware-scannere.
Disse vil som regel ikke inspicere, advare mod eller blokere JavaScript-kode, som leveres via tilsyneladende legitime OAuth-processer.
DNS-baserede filtre eller firewall-regler giver også begrænset beskyttelse, da den oprindelige forespørgsel går til Googles legitime domæne.
I virksomhedsnetværk kan selv nogle af de bedste værktøjer til beskyttelse af slutbrugere have svært ved at opdage aktiviteten - især hvis de er afhængige af domænets omdømme eller ikke inspicerer dynamisk kodeafvikling i browsere.
Selvom avancerede brugere og cybersikkerhedsteams kan benytte proxyer med indholdsanalyse eller adfærdsbaserede værktøjer til at opdage sådanne unormale mønstre, er almindelige brugere stadig sårbare.
Sådan reducerer du risikoen:
For at mindske risikoen på kort sigt kan man:
Begrænse tredjeparts-scripts
Bruge separate browsersessioner til f.eks. økonomiske transaktioner
Være opmærksom på usædvanlig opførsel på websites
Disse tiltag kan hjælpe med at øge sikkerheden, indtil mere robuste løsninger er på plads.
