Многие популярные веб-браузеры никак не реагируют на кибератаки drive-by-download, в том числе из защищенных мест – например, из ифреймов, которые изолированы в песочнице. При подобных кибератаках вредоносное ПО загружается в автоматическом режиме при простом посещении сайта – с пользователем никакого взаимодействия не происходит.
Киберпреступники пользуются методом drive-by-download для отправки пользователям опасного для устройства и вредоносного софта. Предполагается, что часть жертв, не подумав, просто запустит загруженный сторонний файл.
В соответствии с информацией, представленной в отчете специалистов компании Confiant, даже такая защищенная среда, как изолированные ифреймы, не способна обеспечить защиту конечного пользователя от кибератак drive-by-download при просмотре сайтов в интернете.
С подобной проблемой столкнулись пользователи портала BoingBoing в начале 2020 г. Кибератаки типа drive-by-download проводил специальный JavaScript-код, который был интегрирован в код страницы взломанного сайта. JS-код отвечал за размещение на портале специальной ссылки, которая запускала загрузку вредоносного файла без совершения пользователем каких-либо действий – человек просто просматривал сайт, а его браузер начинал загружать сторонний файл.
Портал BoingBoing оперативно отреагировал на случившееся, извинился перед пользователями и удалил вредоносный код.
В компании Confiant реализацию этого метода кибератаки также обнаружили на множестве других сайтов, на которые обычные пользователи жаловались из-за чрезмерной рекламы и непонятных загрузок.
Специалистам Confiant стал интересен процесс реализации такой кибератаки в ситуации с изолированными ифреймами в различных браузерах:
- Google Chrome версии 83 полностью заблокировал загрузку вредоносного файла.
- Аналогично поступил и Microsoft Edge (но стоит признать, что браузер сейчас работает на базе Chromium).
- Mozilla Firefox не смог заблокировать кросс-сайтовые ифреймы, а просто отобразил диалоговое окно, предлагающее открыть или сохранить загружаемый вредоносный файл.
- Brave также не стал блокировать загрузку заведомо вредоносного файла.
- Safari попытался загрузить вредоносный файл, но не смог завершить процесс.
Но даже после полной загрузки файла нет ничего страшного – вплоть до того момента, как пользователь не решит его запустить на своем устройстве.