В браузере Opera появилась функция Paste Protect, которая не позволит скопировать подозрительные команды в буфер обмена. Новый механизм должен защитить пользователей от ClickFix-атак, в рамках которых жертву обманом заставляют самостоятельно запустить вредоносный код.

Атаки ClickFix построены на социальной инженерии. В классической версии жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.

Как правило, злоумышленники выдают команды за способ решения проблем с отображением контента в браузереимитируют BSODзамедляют работу браузера или требуют, чтобы пользователь решил фальшивую CAPTCHA.

Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, ИБ-специалисты уже давно предупреждают и о кампаниях, направленных на пользователей macOS и Linux.

Широкое распространение ClickFix-атак вынуждает разработчиков внедрять в свои продукты отдельные защитные решения. К примеру, недавно компания Apple представила функцию, которая блокирует вставку и выполнение потенциально опасных команд через терминал.

Разработчики Opera решили останавливать атаки на более раннем этапе, еще до того, как опасная команда вообще попадет в буфер обмена. Новая функция уже включена по умолчанию в актуальной версии браузера.

По сути, функция Paste Protect объединяет сразу два защитных механизма. Первый — Hijack protection, появившийся в браузере еще в 2021 году. Он отслеживает попытки внешних приложений подменить уже скопированные в буфер данные (например, URL или номер банковского счета). Второй компонент получил название Injection protection. Он проверяет содержимое перед копированием и блокирует потенциально опасные скрипты и команды независимо от того, инициировал это действие открытый сайт или сам пользователь.

Для анализа Opera применяет отдельные наборы правил для Windows, macOS и Linux, которые помогают найти в скопированном тексте паттерны, характерные для вредоносных команд и скриптов. При обнаружении угрозы браузер отменяет копирование, показывает пользователю всплывающее предупреждение и отображает красный индикатор в адресной строке.

Пользователь может просмотреть первые 120 символов заблокированного скрипта, и через пять секунд браузер позволит ему подтвердить копирование вручную. Эта задержка призвана помешать человеку машинально закрыть предупреждение и выполнить потенциально опасную команду, не ознакомившись с ее содержимым.

Для разработчиков и опытных пользователей, которые регулярно копируют команды с доверенных ресурсов, предусмотрен белый список. В Opera приводят в качестве примера GitHub, откуда специалисты часто копируют скрипты и команды. Добавить сайт в исключения можно через пункт «Always allow from this site» во всплывающем окне.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии