Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Вредоносные расширения браузера остаются существенной слепой зоной для ИБ-отделов многих организаций. Они уверенно вошли в арсенал киберпреступников: применяются для кражи сессий и учетных записей, шпионажа, маскировки других преступных активностей, мошенничества с рекламой, похищения криптовалюты. Громкие инциденты с вредоносными расширениями тоже нередки: от компрометации ИБ-расширения Cyberhaven до массовой публикации расширений, выполняющих функции инфостилера.
Злоумышленнику расширения удобны тем, что они получают в браузере разрешения и широкий доступ к информации SaaS-приложений и сайтов, не являясь при этом самостоятельными приложениями, что позволяет им обходить типовые политики и инструменты ИБ-контроля.
Служба ИБ в компании должна бороться с проблемой систематически. Чтобы управлять в организации браузерными расширениями, нужно комбинировать инструменты управления политикой со специализированными сервисами или инструментами анализа расширений. Именно этому был посвящен доклад Афанасиоса Гиатсоса (Athanasios Giatsos) на Security Analyst Summit 2025.
Угрожающие возможности веб-расширений и новшества Manifest V3
Веб-расширение в браузере имеет полный доступ к информации веб-страниц, что позволяет атакующим считывать и изменять любые данные, доступные пользователю через веб-приложение, в том числе финансовые и медицинские. Расширения часто получают доступ и к важным «невидимым» данным: cookie, локальному хранилищу данных (localStorage), настройкам прокси-сервера. Это упрощает похищение сессий. Иногда возможности расширений выходят далеко за пределы веб-страниц: они могут иметь доступ к геолокации, загрузкам браузера, захвату изображения с рабочего стола, содержимому буфера обмена, оповещениям браузера.
В наиболее популярной до недавнего времени архитектуре расширений Manifest V2, работавшей в Chrome, Edge, Opera, Vivaldi, Firefox и Safari, расширения трудноотличимы по возможностям от полноценных приложений. Они могут постоянно выполнять в фоновом режиме скрипты и держать открытыми невидимые веб-страницы, загружать и выполнять скрипты с сайтов в Интернете, обращаться к произвольным сайтам за информацией или отправлять ее. Чтобы сократить возможные злоупотребления (а заодно ограничить блокировщики рекламы), Google перевела Chromium и Chrome на Manifest V3, в котором многие функции были переработаны или заблокированы. Теперь расширения обязаны декларировать все сайты, к которым обращаются, не могут выполнять сторонний код, динамически загружаемый с сайта, а вместо фоновых скриптов должны пользоваться короткоживущими «микросервисами». Хотя некоторые виды атак в новой архитектуре проводить сложнее, злоумышленники вполне могут переписать вредоносный код, сохранив большую часть необходимых функций, но потеряв в скрытности. Потому использование в организации только браузеров и расширений, работающих исключительно с Manifest V3, упрощает мониторинг, но не является панацеей.
Также V3 никак не затрагивает ключевую проблему расширений: они как правило загружаются из официальных магазинов приложений с легитимных доменов Google, Microsoft или Mozilla, их активность выглядит, как инициированная самим браузером, и отличить действия, выполненные расширением, от сделанного пользователем вручную довольно сложно.
View the full article
-
Автор KL FC Bot
«Черная пятница» — это ежегодная охота за скидками, которая часто превращается в хаос импульсивных покупок. Магазины обещают невероятные скидки 50–70%, но действительно ли они таковы? В 2025 году у нас появился новый союзник в борьбе за разумные траты — искусственный интеллект. Рассказываем, как ChatGPT, Claude и другие LLM-модели помогут вам сэкономить и не попасться на уловки недобросовестных продавцов.
Прежде чем обсуждать, как ИИ поможет сэкономить, важно понять, в какую сторону мы воюем. Исследования показывают неутешительную картину: значительная часть «суперскидок» на «черную пятницу» — это маркетинговая иллюзия.
Схема проста и эффективна: в начале октября магазины повышают цены на товары, иногда в полтора-два раза. Затем, когда наступает «черная пятница», они «урезают» цену на те же 50%, и на ценнике красуется впечатляющая скидка. Фактически же вы покупаете товар по обычной цене, а то и дороже.
Европейская директива Omnibus требует от ритейлеров указывать минимальную цену за последние 30 дней, но даже это правило легко обойти. Магазины просто поднимают цену за месяц до распродажи, формально соблюдая закон, но продолжая вводить покупателей в заблуждение.
Как LLM помогает экономить
Искусственный интеллект меняет правила игры. По данным аналитиков, в 2024 году ИИ-инструменты во время «киберпятницы» помогли покупателям провести транзакции на общую сумму $60 миллиардов, и в 2025 году эти цифры только вырастут. Уже каждый третий покупатель в США планирует использовать ИИ для шопинга.
LLM не поддается эмоциям, не реагирует на маркетинговые триггеры вроде «осталось 2 часа!» и «последний товар на складе!» Вместо этого модель анализирует огромные объемы данных, сравнивает цены, отслеживает историю стоимости и помогает принимать рациональные решения.
ИИ может просканировать сотни интернет-магазинов за секунды, найдя не только нужный товар по лучшей цене, но и более дешевые аналоги с похожими характеристиками. Современные LLM-модели могут помочь вам разобраться, действительно ли скидка выгодна или это обман. Например, Amazon добавил в своего ИИ-ассистента Rufus функцию отслеживания изменения цен, хотя пользователи и отмечают, что пока ассистент работает не всегда как следует. С помощью пары промптов ИИ учитывает ваши предпочтения, бюджет и предыдущие покупки, чтобы предложить именно то, что вам нужно, без излишнего информационного шума. Вместо того чтобы часами изучать таблицы характеристик, просто спросите у ассистента: «Чем отличается пылесос А от пылесоса Б?» — и получите ответ, даже если на сайтах продавцов нет функции сравнения. Промпты ниже можно использовать для ChatGPT/Claude/Gemini.
View the full article
-
Автор KL FC Bot
Исследователи кибербезопасности рассказали о новом способе атаки на ИИ-браузеры под названием AI Sidebar Spoofing. В этой атаке эксплуатируется формирующаяся у пользователей привычка слепо доверять инструкциям от искусственного интеллекта. Исследователи смогли успешно применить AI Sidebar Spoofing к двум популярным ИИ-браузерам — Comet от компании Perplexity и Atlas от OpenAI.
Изначально для своих экспериментов исследователи использовали Comet, но впоследствии подтвердили работоспособность атаки и в браузере Atlas. В нашем посте мы также будем объяснять механику работы AI Sidebar Spoofing на примере Comet, однако призываем читателя помнить, что все нижесказанное относится и к Atlas.
Как работают ИИ-браузеры
Для начала давайте разберемся с тем, что собой представляют ИИ-браузеры. Идея о замене или, по крайней мере, преобразовании искусственным интеллектом привычного процесса поиска в Интернете начала активно обсуждаться в 2023–2024 годах. Тогда же были сделаны и первые попытки интеграции ИИ в поиск.
Сначала это были дополнительные функции внутри привычных браузеров — например, Microsoft Edge Copilot и Brave Leo — реализованные в виде ИИ-сайдбаров. Они добавляли в интерфейс браузера встроенные помощники для резюмирования страниц, ответов на вопросы и навигации. К 2025 году эволюция этой идеи привела к появлению Comet от Perplexity AI — первого браузера, изначально спроектированного для взаимодействия с ИИ.
В результате искусственный интеллект в Comet стал не дополнением, а центральным элементом интерфейса, объединяющим поиск, анализ и автоматизацию работы воедино. Вскоре после этого, в октябре 2025 года, OpenAI представила собственный ИИ-браузер Atlas, основанный на той же идее.
View the full article
-
Автор KL FC Bot
В сети организации атакующим все реже встречается такая роскошь, как рабочий компьютер без агента EDR, поэтому злоумышленники делают акцент на компрометацию серверов или разнообразных специализированных устройств. Они тоже подключены к сети, имеют достаточно широкие доступы, но при этом не защищенны EDR и часто не снабжены журналированием. О типах уязвимых офисных устройств мы подробно писали ранее. Реальные атаки 2025 года сосредоточены на сетевых устройствах (VPN, файрволы, роутеры), системах видеонаблюдения и собственно серверах. Но не стоит сбрасывать со счетов и принтеры. Об этом напомнил независимый исследователь Петер Гайслер в своем докладе на Security Analyst Summit 2025. Он описал найденную им уязвимость в принтерах и МФУ Canon (CVE-2024-12649, CVSS 9.8), которая позволяет запустить на устройствах вредоносный код. Самое интересное в этой уязвимости — для ее эксплуатации достаточно отправить на печать невинного вида файл.
Вредоносная матрешка: атака через CVE-2024-12649
Атака начинается с того, что злоумышленник отправляет на печать файл в формате XPS. Этот изобретенный Microsoft формат содержит все необходимое для успешной печати документа и является альтернативой PDF. По сути XPS — это архив формата ZIP, содержащий подробное описание документа, все его изображения, а также использованные в оформлении шрифты. Шрифты, как правило, хранятся в широко используемом формате TTF (TrueType Font), изобретенном Apple. Как раз в шрифте, который обычно не воспринимается как нечто опасное, и содержится вредоносный код.
По задумке создателей формата TTF, буквы шрифта должны выглядеть одинаково на любом носителе и в любом размере — от самого маленького символа на экране до самого большого на бумажном плакате. Чтобы достичь этой цели, к каждой букве могут быть написаны инструкции хинтинга (font hinting, font instruction), описывающие нюансы отображения букв в маленьких размерах. По сути, инструкции хинтинга — это команды для компактной виртуальной машины, которая, несмотря на простоту, поддерживает все основные «строительные блоки» программирования: управление памятью, переходы, ветвления. Гайслер с коллегами изучили, как эта виртуальная машина реализована в принтерах Canon и обнаружили, что некоторые инструкции хинтинга TTF выполняются небезопасным образом, например команды виртуальной машины, управляющие стеком, не проверяют его на переполнение.
В результате им удалось создать вредоносный шрифт, который при печати документа с этим шрифтом на некоторых принтерах Canon вызывает переполнение стека, запись данных за пределы буферов виртуальной машины и в итоге — выполнение кода на процессоре принтера. Вся атака проводится через файл TTF, остальное содержимое файла XPS безобидно. Впрочем, даже в файле TTF заметить вредоносный код довольно сложно. Он не очень длинный: первая часть является инструкциями виртуальной машины TTF, а вторая работает на базе экзотической фирменной ОС Canon (DryOS).
Стоит отметить, что Canon в последние годы уделяет внимание защите прошивок принтеров, например использует предусмотренные в процессорах ARM регистры DACR и флаги NX (No-Execute), чтобы ограничить возможности модифицировать системный код или запустить код в тех фрагментах памяти, где должны храниться данные. Несмотря на это, общая архитектура DryOS не позволяет эффективно реализовать характерные для современных «больших» ОС механизмы защиты памяти вроде ASLR или Stack Canary. Поэтому исследователи иногда находят способы обойти эту защиту. Например, в описываемой атаке вредоносный код удалось исполнить, разместив его при помощи трюка с TTF в буфере памяти, предназначенном для другого протокола печати, IPP.
View the full article
-
Автор KL FC Bot
Ограничения для приложений в Android постоянно ужесточаются, чтобы мошенники не могли с помощью вредоносного ПО украсть деньги, пароли и личные секреты пользователей. Но новая уязвимость, названная Pixnapping, обходит все слои защиты и позволяет совершенно незаметно считать с экрана точки изображения — по сути, снять скриншот. Вредоносное приложение, не имеющее вообще никаких разрешений, может «увидеть» пароли, остатки на банковских счетах, одноразовые коды, в общем — все то, что видит сам владелец на экране. К счастью, Pixnapping пока является чисто исследовательским проектом и не используется злоумышленниками. Остается надеяться, что Google качественно устранит уязвимость до того, как код атаки вставят в реальное вредоносное ПО. На сегодня уязвимости Pixnapping (CVE-2025-48561), вероятно, подвержены все современные Android-смартфоны, включая те, что используют свежайший Android.
Чем опасны скриншоты, трансляция или считывание экрана
Как доказал найденный нами OCR-стилер SparkCat, злоумышленники уже освоили обработку картинок: если на смартфоне есть изображение с ценной информацией, его можно обнаружить, распознать текст прямо на смартфоне, а затем отправить извлеченные данные на сервер мошенников. SparkCat примечателен тем, что пробрался в официальные магазины приложений, включая App Store. Для вредоносного приложения, «вооруженного» Pixnapping, повторить этот трюк будет несложно, учитывая, что атака не требует специальных разрешений. Приложение, которое даже будет честно выполнять какую-то полезную функцию, заодно может тихо и незаметно транслировать мошенникам одноразовые коды многофакторной аутентификации, пароли от криптокошельков и любую другую информацию.
Еще она популярная тактика злоумышленников — увидеть нужные данные лично, в реальном времени. Для этого жертве звонят в одном из мессенджеров и под разными предлогами предлагают включить трансляцию экрана.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти