С каждым годом в браузерах появляются все новые инструменты для защиты пользователя. Популярные браузеры сегодня умеют отслеживать и предотвращать MITM-атаки, когда кто-то пытается втиснуться между пользователем и сайтом и перехватывать трафик, умеют обнаруживать фишинговые сайты и, конечно, обладают встроенными песочницами, защищая систему от атак веб-сайтов.

Но один метод сегодня работает так же эффективно, как и 10 лет назад,‒загрузить пользователю файл-приманку и дождаться, когда он сам ее откроет.

Drive-by download – атака, при которой загрузка происходит тайно при открытии жертвой веб-сайта. Однако подобный сайт довольно быстро будет замечен, особенно если он массово начнет загружать пользователям вредоносные файлы. Потому злоумышленники часто применяют вариацию данной атаки, называемую drive-by login. Это все та же тайная загрузка, но происходящая после авторизации на сайте. Такая схема позволяет злоумышленникам долгое время скрываться от обнаружения специалистами в сфере безопасности и попадания в списки вредоносных сайтов.

Но на самом деле это больше теоретическая угроза: сегодня тайно загрузить файл не так просто, а вот без согласия пользователя – элементарно. Этим и пользуются злоумышленники.

Все знают, что компьютер можно заразить при помощи вредоносного программного обеспечения, замаскированного под файлы pdf или word. Так заражают простых пользователей, компании, политиков, публичных деятелей, но для этого нужно как минимум одно условие: файл должен быть открыт на устройстве жертвы. Заставить жертву открыть файл – одна из ключевых задач злоумышленников.

Кстати, это не обязательно должно быть вредоносное программное обеспечение, замаскированное под документ, это может быть и сам документ, если офисный пакет содержит уязвимость. Для этого в арсенале злоумышленников должны быть уязвимости нулевого дня, либо программное обеспечение жертвы должно быть не обновлено и содержать известные уязвимости.

В момент написания этой статьи появилась информация о критической уязвимости в популярном офисном пакете. И это даже не MS Office, где уязвимости находятся регулярно, а LibreOffice – офисный пакет с открытым исходным кодом. Я, как и многие другие, рекомендую его в качестве альтернативы Microsoft Office, но в данном случае в нем была обнаружена критическая уязвимость, которая приводила к компрометации устройства жертвы при простом открытии документа.

Пользователи нередко опасаются, что сайты загрузят им файлы и эти файлы запустятся сами. Уверяю, сегодня это больше теоретическая угроза, куда реальнее эксплуатирование уязвимостей в браузере и выход за пределы песочницы, но это другой вид атаки, для осуществления которой атакующий должен обладать комплексом 0day уязвимостей для браузера и операционной системы, либо браузер и операционная система жертвы должны быть не обновлены и не защищены от известных уязвимостей.