Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (56)
  • добавить в избранное
    Добавить в закладки

Не просто значок

Прочитали: 20724 Комментариев: 41 Рейтинг: 74

20 августа 2020

Давным-давно мы уже касались темы вредоносных фавиконов. Настало время к ней вернуться. Сегодня подробнее поговорим о том, что такое фавиконы и какую опасность они могут в себе таить.

Файл favicon.ico – это маленькая такая иконка в пару килобайт, которая показывается у вашей вкладки браузера когда вы открываете сайт

Так вот, судя по скриншотам из этого твита, злоумышленники смогли успешно поместить туда код майнера для криптовалюты:

#drweb

Вообще, Википедия утверждает, что фавикон – это просто значок сайта в адресной строке браузера:

Favicon (сокр. от англ. FAVorite ICON — «значок для избранного») — значок веб-сайта или веб-страницы. Отображается браузером во вкладке перед названием страницы, а также в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса.

Источник

Именно фавиконы помогают нам быстро понять, какой сайт находится на каждой вкладке — особенно, когда их так много, что прочитать название невозможно.

Источник

Но при этом фавикон может динамически изменяться. А раз так, это подразумевает использование, например, javascript. А это, в свою очередь, уже вирусы.

Вредоносный код не обязательно должен присутствовать на сайте, чтобы сработать. Современное веб-программирование подразумевает использование сторонних библиотек и изображений. Вполне нормально, если некий сайт будет использовать картинку, размещенную на другом ресурсе, автоматически подгружая ее по необходимости.

И, чтобы «не палиться», злоумышленники создали сайт для картинок:

Злоумышленники зарегистрировали новый веб-сайт, предлагающий тысячи изображений и значков для загрузки, но который на самом деле имел единственную цель: выступать в качестве фасада для операции по скиммингу кредитных карт.

Несколько сайтов электронной коммерции загружали значок Magento с этого домена.

#drweb

Источник

Причем они, не особо напрягаясь, украли содержимое с законного ресурса iconarchive.com (это уже к вопросу о необходимости борьбы с пиратством и ущербе репутации при утечке данных).

Мы подозревали, что файл favicon.png был вредоносным и, возможно, использовал стенографию, чтобы скрыть код JavaScript. Но это был не тот случай. Изображение было без лишнего кода внутри.

Но при посещении страницы скомпрометированного веб-сайта, невинный favicon.png превращался в нечто совершенно другое – запрос данных кредитной карты

#drweb

Источник

Магия? Нет, контроль за посещаемостью. Вредоносный ресурс отслеживал, с каких страниц и сайтов приходил запрос, и отдавал JavaScript-файл только если он приходил со страниц с формами для оформления заказа.

#адрес_сайта #безопасность #браузер #мошенничество

Антивирусная правДА! рекомендует

Даже если сайт, на который вы зашли, не вызывает у вас никаких подозрений, не факт, что на нем нет вредоносного кода. И отсутствие сайта в списке вредоносных тоже не означает, что здесь ничего нельзя «подцепить». Иногда обращающиеся в нашу техподдержку пользователи недоумевают: почему антивирус не пускает их на безобидный ресурс? А потому, что тот вызывает ресурсы вредоносные. Мы описывали подобный случай, почитайте и об этом тоже.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей