Специалисты научно-исследовательского центра FORTH (Греция) и Университета Стоуни-Брук (США) опубликовали доклад, посвященный разработанной ими атаке под названием MarioNet (читается как «marionette» — «марионетка» в переводе с английского).
В сущности, концепт исследователей может использоваться для создания ботнетов из браузеров пользователей, так как вредоносный код атакующих выполняется даже тогда, когда пользователь давно покинул или закрыл вредоносный сайт. Исследователи заявляют, что такой ботнет может использоваться для майнинга криптовалют через браузеры (криптоджекинг), организации DDoS-атак, размещения и распространения вредоносных файлов, распределенного взлома паролей, создания сети прокси, «скликивания» рекламы, подъема трафика различных ресурсов и так далее.
MarioNet представляет собой более продвинутую версию атаки Puppetnets, описанной еще в далеком 2007 году и так же предлагавшей строить ботнеты из браузеров. При этом, в отличие от своего «прародителя», MarioNet может "выжить" даже в том случае, если пользователь закрыл вкладку или перешел на другой сайт.
Эксперты объясняют, что краеугольным камнем в работе MarioNet являются API Service Worker’ов, поддерживаемых большинством современных браузеров. По сути, атака сводится к регистрации Service worker’а, когда жертва попадает на сайт злоумышленников, а затем эксперты предлагают злоупотребить функциональностью интерфейса Service Worker SyncManager, чтобы поддерживать его работу, когда пользователь покинет сайт.
MarioNet абсолютно «бесшумная» атака, которая не требует какого-либо особенного взаимодействия с пользователем, получения повышенных прав и так далее. Все происходит «под капотом» браузера, и жертва никак не может узнать о появлении Service worker’а .
Хуже того, исследователи подчеркивают, что атаку можно разделить, то есть злоумышленники могут заразить пользователя, посетившего сайт А, а затем контролировать Service worker’ы с сервера Б. Таким образом, атакующим хватит даже недолговременного заражения популярного ресурса вредоносным кодом, а после удаления малвари они сохранят контроль над зараженными браузерами. Также MarioNet может «переживать» перезапуск браузера, злоупотребляя Web Push API, хотя для этого злоумышленникам все же придется запросить разрешение.
Фактически, защищены от таких атак могут быть только IE (десктопная версия), Opera Mini (мобильный браузер) и Blackberry (мобильный браузер), так как они не поддерживают Service worker’ы.
Фото: Depositphotos