Поисковики могут стать точкой входа для вымогательского ПО, обходящего традиционные средства защиты

Это направление угрожает безопасности облачных сервисов и корпоративных данных, особенно с ростом популярности SaaS-приложений и хранением информации исключительно в облаке.

Ранее атаки с использованием программ-вымогателей требовали непосредственного доступа к устройству — будь то компьютер или смартфон — теперь стандартной защиты может быть недостаточно, пишет Securitylab.

С переходом на облачные хранилища и веб-приложения большая часть деловой активности компаний переместилась в окна. Хакеры не остались в стороне: появились вредоносные инструменты, работающие исключительно внутри поисковиков, не затрагивая файловую систему устройства. По словам SquareX, это создаёт крайне выгодные условия для атакующих — высокая эффективность при минимальном риске быть обнаруженными.

Поисковые вымогатели действуют иначе, чем традиционные аналоги. Они не загружают файлы, не запускают процессы на устройстве, и потому не вызывают срабатывания антивирусов и систем защиты. Они атакуют через OAuth-доступ, расширения, фишинг или синхронизацию аккаунтов, что позволяет незаметно захватывать контроль над облачными сервисами жертвы.

В отчёте SquareX подробно рассматриваются три гипотетических сценария.

• В первом случае хакер маскирует вредоносное приложение под легитимное, получает доступ к Google Drive жертвы, копирует и удаляет файлы, после чего требует выкуп за отказ от публикации конфиденциальных данных.
• Во втором варианте используется методика фишинга на основе разрешений — consent phishing. Через доступ к электронной почте злоумышленник выясняет, какие SaaS-сервисы использует жертва, затем с помощью ИИ автоматически сбрасывает пароли, захватывает учётные записи и выкачивает хранящуюся информацию.
• Третий сценарий строится на уязвимости в функции синхронизации браузера. Через вредоносное расширение злоумышленник незаметно авторизует свой профиль, который синхронизируется с аккаунтом атакующего, после чего собираются все сохранённые пароли и доступ ко всем SaaS-приложениям.

В отличие от классических вредоносов, которые можно зафиксировать на уровне файловой системы, браузерные вымогатели действуют за пределами зон видимости EDR , SASE и других привычных средств защиты. К тому же большая часть корпоративных ИБ-систем не следит за OAuth-разрешениями, установкой расширений и действиями внутри браузера. Отсутствие threat intelligence и стандартов по реагированию также усугубляют ситуацию.

Наконец, поисковая модель делает возможным масштабное горизонтальное распространение угрозы: через общий доступ к файлам один скомпрометированный пользователь способен подвергнуть риску весь корпоративный архив. Тогда как в классической модели ущерб часто ограничен одним устройством, в браузере компрометация — это угроза всем подключённым ресурсам.

Специалисты предупреждают: элементы атаки уже существуют и используются в отдельных случаях.