Атака MarioNet позволяет создать ботнет из браузеров
Вредоносный код атакующих выполняется даже в том случае, если пользователь покинул или закрыл вредоносную web-страницу.
Специалисты Научно-исследовательского центра FORTH (Греция) и Университета штата Нью-Йорк в Стоуни Брук (США) представили новый метод атаки под названием MarioNet, позволяющий создавать ботнеты из браузеров, поскольку вредоносный код атакующих выполняется даже в том случае, если пользователь покинул или закрыл вредоносную web-страницу. MarioNet представляет собой усовершенствованную версию описанной еще 12 лет назад концепции Puppetnets , также предлагавшей возможность формировать ботнет из браузеров. Отличие между двумя методами заключается в том, что MarioNet может использоваться даже в тех случаях, когда пользователь закрыл вкладку или покинул вредоносный сайт.
Метод основан на эксплуатации API Service Workers (преемник API Web Workers), реализованном в современных браузерах. Service Worker — скрипт, который браузер запускает в фоновом режиме, отдельно от страницы, открывая дверь для возможностей, не требующих web-страницы или взаимодействия с пользователем. По сути, атака сводится к регистрации «сервис-воркера» при посещении пользователем подконтрольного злоумышленнику сайта, и эксплуатации интерфейса Service Worker SyncManager для продолжения работы скрипта после того, как пользователь покинет ресурс.
Атака происходит незаметно и не требует взаимодействия с пользователем, поскольку браузер не выдает уведомления и не требует разрешения перед регистрацией «сервис-воркера». Кроме того, атаку MarioNet можно разделить, например, злоумышленники могут инфицировать браузеры пользователей, посетивших сайт A, а контролировать «сервис-воркеры» с другого сервера. Таким образом атакующие могут на короткое время внедрить вредоносный код на сайты с высокой посещаемостью, заразить браузеры, удалить код с ресурсов и продолжать контролировать браузеры с другого сервера.
MarioNet может «пережить» перезапуск браузера, эксплуатируя Web Push API, однако для этого атакующему понадобится получить разрешение пользователя для доступа к данному интерфейсу.
Как отмечают исследователи, ботнет из браузеров может использоваться для различной вредоносной деятельности, в том числе криптоджекинга, проведения DDoS-атак, хранения/распространения вредоносного ПО, создания прокси и пр.
Атака MarioNet работает практически во всех мобильных и десктопных браузерах, за исключением Internet Explorer (версия для ПК), Opera Mini (мобильная версия) и Blackberry (мобильная версия), поскольку они не поддерживают Service Workers.