Фишинг через разрешения браузера: кража фото, аудио и биометрии

Недавняя фишинговая кампания продемонстрировала сдвиг в тактике злоумышленников: вместо массовой кражи учетных данных атакующие целенаправленно запрашивают разрешения браузера (доступ к камере, микрофону и т. п.) и используют встроенный JavaScript для скрытого сбора изображений, аудио и других данных в реальном времени. Собранная информация затем эксфильтрируется в инфраструктуру, контролируемую злоумышленниками, в частности через API чат-ботов Telegram.

Суть атаки

Злоумышленники распространяют фишинговые страницы под видом доверенных сервисов и приманок — от «Сканера удостоверений личности» до «Искусственного интеллекта фонда здравоохранения». Главная цель — убедить пользователя предоставить критически важные разрешения. После получения согласия срабатывает специально написанный JavaScript-рабочий процесс, который:

• захватывает изображения в реальном времени с камеры;
• записывает аудио через микрофон;
• собирает данные о устройстве и браузере, контакты и геолокацию;
• форматирует мультимедиа в распространенные типы (JPEG, WebM) и пересылает их злоумышленникам через API (например, Telegram).

«Кампания выделяется своим инновационным подходом к сбору данных, отходящим от традиционной кражи учетных данных и фокусирующимся на получении биометрических данных и мультимедиа», — отмечается в отчете.

Технические особенности

Технически схема опирается на стандартные браузерные медиа-API, которые позволяют веб-странице получить доступ к камере и микрофону после согласия пользователя. Вредоносный код выполняет следующие шаги:

• использует getUserMedia и связанные API для захвата потоков;
• формирует снимки и аудиозаписи, кодирует их в JPEG/WebM;
• передает файлы через простые и доступные механизмы эксфильтрации — в данном случае через Telegram Bot API, что позволяет злоумышленникам принимать данные без развертывания сложной C2-инфраструктуры;
• параллельно собирает fingerprinting-информацию о браузерной среде для точного профилирования жертвы.

Чем это опасно

Смещение фокуса на биометрические и мультимедийные данные создаёт новые риски:

• подделка идентификационных документов и создание deepfake-видео/аудио для мошенничества;
• обход видеопроверок личности, используемых финансовыми организациями и онлайн-сервисами;
• расширенный захват учетных записей при комбинировании мультимедиа с имеющимися учётными данными;
• широкие социальные последствия — раскрытие приватных снимков, прослушивание личных разговоров, утечка контактов и местоположения.

Признаки и характерные черты страниц фишинга

В отчете отмечены особенности, позволяющие распознать подобные фишинговые страницы:

• запросы на доступ к камере/микрофону с сомнительных или неизвестных доменов;
• обманчивые UI-приманки: «сканеры», «проверки личности», «AI»-сервисы;
• использование известных брендов и платформ (TikTok, Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), Google Drive) для повышения доверия;
• структурные аномалии контента (например, эмодзи в служебных сообщениях), указывающие на автоматизированное создание страниц с помощью генеративных инструментов.

Рекомендации для пользователей и организаций

Пользователям:

• не предоставляйте доступ к камере и микрофону сайтам из непроверенных источников;
• отклоняйте запросы разрешений, если они не соответствуют ожидаемому функционалу сервиса;
• следите за URL и доменом: официальные сервисы редко используют неожиданные субдомены или новые домены с подозрительными именами;
• проверяйте уведомления о доступе в браузере и регулярно просматривайте разрешения для сайтов.

Организациям и командам по безопасности:

• включите мониторинг фишинговых доменов и блокировку известных шаблонов запросов разрешений;
• обучайте сотрудников специфическим признакам атак, в частности запросам аппаратных разрешений и использования сторонних бот-API для эксфильтрации;
• внедрите многофакторную аутентификацию и способы проверки, не зависящие только от видеоподтверждений, если это возможно;
• оцените потенциальное влияние утечки мультимедиа/биометрии в рамках риск-менеджмента и планов реагирования на инциденты.

Вывод

Описанная кампания — яркий пример того, как эволюция инструментов и доступность API меняют ландшафт фишинга: злоумышленники переходят от простой кражи паролей к сбору биометрии и мультимедиа через легитимные разрешения браузера. Бдительность и грамотная настройка защитных мер остаются ключевыми факторами в противодействии этим угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинг через разрешения браузера: кража фото, аудио и биометрии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.