Istraživači tvrtke za kibernetičku sigurnost Mandiant tvrde kako su otkrili novi način kako zlonamjerni softver može komunicirati s udaljenim web poslužiteljima putem web preglednika, čak i kada je browser.

Izolacija web preglednika razmjerno je nov način zaštite od kibernetičkih napada. Omogućuje komunikaciju žrtvinog preglednika s drugim preglednikom koji se nalazi u oblaku ili virtualnom stroju.

Kakve god naredbe žrtva unese se prosljeđuju udaljenom pregledniku. Sve što dobivaju zauzvrat je vizualni prikaz stranice. Računalni kod, skripte, naredbe i drugo izvršava na se udaljenom uređaju.

U Mandiantu su otkrili kako C2 serveri i dalje mogu razgovarati sa zlonamjernim softverom na zaraženom uređaju, bez obzira na to što ne mogu pokretati kod kroz preglednik, i to putem QR kodova.

Ako je računalo zaraženo, zlonamjerni softver može čitati piksele prikazane na ekranu. Naleti li na QR kodu to je dovoljno za pokretanje raznih radnji na daljinu.

Dokaz koncepta isproban je na najnovijem izdanju Googleovog preglednika Chrome, slanjem zlonamjernog softvera putem značajke External C2 Cobalt Strike.

Metoda funkcionira, ali je daleko od idealne. Kako je tok podataka ograničen na najviše 2189 bajtova, uz latenciju od otprilike pet sekundi, nije ju moguće koristiti za slanje velikih datoteka ili za omogućavanje SOCKS proxyja.

Dodatne sigurnosne mjere kao što je skeniranje URL-ova ili sprječavanje gubitka podataka mogu ovu metodu učiniti potpuno beskorisnom.

Ipak, postoje načini na koje je moguće zlorabiti ju za izvođenje destruktivnih napada, piše Tech Radar.