-
Похожий контент
-
Автор KL FC Bot
Исследователи кибербезопасности рассказали о новом способе атаки на ИИ-браузеры под названием AI Sidebar Spoofing. В этой атаке эксплуатируется формирующаяся у пользователей привычка слепо доверять инструкциям от искусственного интеллекта. Исследователи смогли успешно применить AI Sidebar Spoofing к двум популярным ИИ-браузерам — Comet от компании Perplexity и Atlas от OpenAI.
Изначально для своих экспериментов исследователи использовали Comet, но впоследствии подтвердили работоспособность атаки и в браузере Atlas. В нашем посте мы также будем объяснять механику работы AI Sidebar Spoofing на примере Comet, однако призываем читателя помнить, что все нижесказанное относится и к Atlas.
Как работают ИИ-браузеры
Для начала давайте разберемся с тем, что собой представляют ИИ-браузеры. Идея о замене или, по крайней мере, преобразовании искусственным интеллектом привычного процесса поиска в Интернете начала активно обсуждаться в 2023–2024 годах. Тогда же были сделаны и первые попытки интеграции ИИ в поиск.
Сначала это были дополнительные функции внутри привычных браузеров — например, Microsoft Edge Copilot и Brave Leo — реализованные в виде ИИ-сайдбаров. Они добавляли в интерфейс браузера встроенные помощники для резюмирования страниц, ответов на вопросы и навигации. К 2025 году эволюция этой идеи привела к появлению Comet от Perplexity AI — первого браузера, изначально спроектированного для взаимодействия с ИИ.
В результате искусственный интеллект в Comet стал не дополнением, а центральным элементом интерфейса, объединяющим поиск, анализ и автоматизацию работы воедино. Вскоре после этого, в октябре 2025 года, OpenAI представила собственный ИИ-браузер Atlas, основанный на той же идее.
View the full article
-
Автор KL FC Bot
В сети организации атакующим все реже встречается такая роскошь, как рабочий компьютер без агента EDR, поэтому злоумышленники делают акцент на компрометацию серверов или разнообразных специализированных устройств. Они тоже подключены к сети, имеют достаточно широкие доступы, но при этом не защищенны EDR и часто не снабжены журналированием. О типах уязвимых офисных устройств мы подробно писали ранее. Реальные атаки 2025 года сосредоточены на сетевых устройствах (VPN, файрволы, роутеры), системах видеонаблюдения и собственно серверах. Но не стоит сбрасывать со счетов и принтеры. Об этом напомнил независимый исследователь Петер Гайслер в своем докладе на Security Analyst Summit 2025. Он описал найденную им уязвимость в принтерах и МФУ Canon (CVE-2024-12649, CVSS 9.8), которая позволяет запустить на устройствах вредоносный код. Самое интересное в этой уязвимости — для ее эксплуатации достаточно отправить на печать невинного вида файл.
Вредоносная матрешка: атака через CVE-2024-12649
Атака начинается с того, что злоумышленник отправляет на печать файл в формате XPS. Этот изобретенный Microsoft формат содержит все необходимое для успешной печати документа и является альтернативой PDF. По сути XPS — это архив формата ZIP, содержащий подробное описание документа, все его изображения, а также использованные в оформлении шрифты. Шрифты, как правило, хранятся в широко используемом формате TTF (TrueType Font), изобретенном Apple. Как раз в шрифте, который обычно не воспринимается как нечто опасное, и содержится вредоносный код.
По задумке создателей формата TTF, буквы шрифта должны выглядеть одинаково на любом носителе и в любом размере — от самого маленького символа на экране до самого большого на бумажном плакате. Чтобы достичь этой цели, к каждой букве могут быть написаны инструкции хинтинга (font hinting, font instruction), описывающие нюансы отображения букв в маленьких размерах. По сути, инструкции хинтинга — это команды для компактной виртуальной машины, которая, несмотря на простоту, поддерживает все основные «строительные блоки» программирования: управление памятью, переходы, ветвления. Гайслер с коллегами изучили, как эта виртуальная машина реализована в принтерах Canon и обнаружили, что некоторые инструкции хинтинга TTF выполняются небезопасным образом, например команды виртуальной машины, управляющие стеком, не проверяют его на переполнение.
В результате им удалось создать вредоносный шрифт, который при печати документа с этим шрифтом на некоторых принтерах Canon вызывает переполнение стека, запись данных за пределы буферов виртуальной машины и в итоге — выполнение кода на процессоре принтера. Вся атака проводится через файл TTF, остальное содержимое файла XPS безобидно. Впрочем, даже в файле TTF заметить вредоносный код довольно сложно. Он не очень длинный: первая часть является инструкциями виртуальной машины TTF, а вторая работает на базе экзотической фирменной ОС Canon (DryOS).
Стоит отметить, что Canon в последние годы уделяет внимание защите прошивок принтеров, например использует предусмотренные в процессорах ARM регистры DACR и флаги NX (No-Execute), чтобы ограничить возможности модифицировать системный код или запустить код в тех фрагментах памяти, где должны храниться данные. Несмотря на это, общая архитектура DryOS не позволяет эффективно реализовать характерные для современных «больших» ОС механизмы защиты памяти вроде ASLR или Stack Canary. Поэтому исследователи иногда находят способы обойти эту защиту. Например, в описываемой атаке вредоносный код удалось исполнить, разместив его при помощи трюка с TTF в буфере памяти, предназначенном для другого протокола печати, IPP.
View the full article
-
Автор KL FC Bot
Ограничения для приложений в Android постоянно ужесточаются, чтобы мошенники не могли с помощью вредоносного ПО украсть деньги, пароли и личные секреты пользователей. Но новая уязвимость, названная Pixnapping, обходит все слои защиты и позволяет совершенно незаметно считать с экрана точки изображения — по сути, снять скриншот. Вредоносное приложение, не имеющее вообще никаких разрешений, может «увидеть» пароли, остатки на банковских счетах, одноразовые коды, в общем — все то, что видит сам владелец на экране. К счастью, Pixnapping пока является чисто исследовательским проектом и не используется злоумышленниками. Остается надеяться, что Google качественно устранит уязвимость до того, как код атаки вставят в реальное вредоносное ПО. На сегодня уязвимости Pixnapping (CVE-2025-48561), вероятно, подвержены все современные Android-смартфоны, включая те, что используют свежайший Android.
Чем опасны скриншоты, трансляция или считывание экрана
Как доказал найденный нами OCR-стилер SparkCat, злоумышленники уже освоили обработку картинок: если на смартфоне есть изображение с ценной информацией, его можно обнаружить, распознать текст прямо на смартфоне, а затем отправить извлеченные данные на сервер мошенников. SparkCat примечателен тем, что пробрался в официальные магазины приложений, включая App Store. Для вредоносного приложения, «вооруженного» Pixnapping, повторить этот трюк будет несложно, учитывая, что атака не требует специальных разрешений. Приложение, которое даже будет честно выполнять какую-то полезную функцию, заодно может тихо и незаметно транслировать мошенникам одноразовые коды многофакторной аутентификации, пароли от криптокошельков и любую другую информацию.
Еще она популярная тактика злоумышленников — увидеть нужные данные лично, в реальном времени. Для этого жертве звонят в одном из мессенджеров и под разными предлогами предлагают включить трансляцию экрана.
View the full article
-
Автор KL FC Bot
Не так давно мы рассказывали о технике ClickFix. Теперь злоумышленники начали применять новую разновидность этой атаки, получившую название FileFix. Основной принцип тут тот же — при помощи приемов социальной инженерии заставить жертву самостоятельно запустить вредоносный код на собственном устройстве.
По сути, разница между ClickFix и FileFix сводится к тому, что в случае ClickFix злоумышленники убеждают жертву открыть диалоговое окно «Выполнить» (Run) и вставить в него вредоносную команду, а в случае FileFix — заставляют жертву вставить команду в адресную строку «Проводника Windows». С точки зрения пользователя, это действие не выглядит чем-то необычным — окно «Проводника» знакомо каждому и его использование с меньшей вероятностью будет воспринято как что-то опасное. Поэтому незнакомые с данной уловкой пользователи значительно чаще попадаются на такую приманку.
Как злоумышленники заставляют жертву выполнить код
Как и в случае ClickFix, атака с использованием техники FileFix начинается с того, что пользователю тем или иным способом (чаще всего в электронном письме) подсовывают ссылку на страницу, имитирующую сайт какого-либо легитимного сервиса. На фальшивом сайте отображается сообщение об ошибке, мешающей получить доступ к нормальной функциональности сервиса. Для решения проблемы нужно совершить ряд действий для проверки окружения или какой-либо еще диагностики.
Для этого, якобы, нужно запустить некий файл, который, по словам злоумышленников, либо уже есть на компьютере жертвы, либо вот только что был скачан. Все, что требуется от пользователя, — скопировать путь к локальному файлу и вставить его в «Проводник». И действительно, в поле, из которого предлагается копировать строку, виден путь к требуемому файлу (собственно, именно поэтому атака и получила название FileFix). Пользователя просят открыть «Проводник», нажать [CTRL] + [L], чтобы перейти в адресную строку, вставить «путь к файлу» через [CTRL] + [V] и нажать [ENTER].
Уловка заключается в том, что путь к файлу — это всего лишь последние несколько десятков символов длинной команды. Перед ними находится ряд пробелов, а еще раньше — вредоносная нагрузка, которую на самом деле хотят запустить злоумышленники. Пробелы нужны для того, чтобы пользователь не увидел ничего подозрительного после того, как скопирует команду в «Проводник». Поскольку она гораздо длиннее любого возможного окна, в адресной строке будет виден все тот же безобидный путь к файлу. Что там находится в реальности, можно увидеть, вставив информацию не в окно «Проводника», а в текстовый файл. Например, в публикации BleepingComputer по мотивам исследования коллег из компании Expel, в реальности команда запускала скрипт PowerShell через conhost.exe.
Пользователь считает, что вставляет путь к файлу, но на самом деле в команде находится скрипт PowerShell. Источник
View the full article
-
Автор heathern
К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп) но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
(Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти