Представьте: вы спокойно сидите дома, открываете браузер, заходите на любимый новостной сайт или просто ищете рецепт ужина. Вы ничего не скачиваете, не нажимаете на подозрительные ссылки, не открываете вложения. И вдруг — ваш компьютер заражен.
Звучит как сценарий фильма ужасов? К сожалению, это реальность. Такие атаки называются drive-by download (загрузка "мимоходом"), и они происходят гораздо чаще, чем вы думаете. Давайте разберемся, как это работает и почему от этого не застрахован никто.
Что такое drive-by download?
Drive-by download — это скрытая загрузка вредоносного ПО на ваш компьютер, которая происходит без вашего ведома и согласия . Вам даже не нужно кликать по кнопке "Скачать" или открывать подозрительный файл. Достаточно просто загрузить страницу в браузере, и вредоносный код уже начинает свою работу.
Весь процесс занимает меньше секунды. Вы даже не заметите, что что-то пошло не так .
Как это работает: пошаговый разбор атаки
Представьте себе охоту. Злоумышленник не гонится за вами по всему интернету — он ждет вас в заранее выбранном месте.
Шаг 1. Выбор места засады (компрометация сайта)
Атакующий находит популярный сайт, который часто посещают потенциальные жертвы. Это может быть новостной портал, профессиональный форум, блог или даже сайт государственного учреждения. Сайт взламывают — через уязвимости в системе управления контентом, через устаревшие плагины или с помощью SQL-инъекций .
Такой подход называется водопойной атакой (watering hole). Как хищник, который ждет добычу у водопоя, злоумышленник ждет, пока жертва сама придет на знакомый и "безопасный" сайт .
Шаг 2. Установка вредоносного кода
На взломанный сайт внедряется скрытый JavaScript-код. Его сложно заметить даже администратору ресурса. Этот код создает невидимый iframe — маленькое окошко, которое загружает содержимое с другого сервера .
Шаг 3. Перенаправление на сервер с эксплойтами
Когда вы заходите на сайт, невидимый iframe перенаправляет ваш браузер на сервер, где работает эксплойт-кит (exploit kit) .
Шаг 4. Разведка (футпринтинг)
Эксплойт-кит — это автоматизированный инструмент, который начинает собирать информацию о вашем компьютере . Он проверяет:
- Какая у вас операционная система и ее версия
- Какой браузер вы используете
- Какие установлены плагины (Flash, Java, Adobe Reader)
- Есть ли на компьютере известные уязвимости
Все это происходит автоматически, в фоновом режиме.
Шаг 5. Подбор уязвимости
Эксплойт-кит содержит набор готовых эксплойтов — программных кодов, которые используют "дыры" в безопасности. Он выбирает тот эксплойт, который подходит именно под вашу конфигурацию .
Особенно опасны zero-day уязвимости — те, о которых разработчики еще даже не знают, поэтому для них нет исправлений .
Шаг 6. Атака и загрузка "полезной нагрузки"
Когда подходящая уязвимость найдена, эксплойт срабатывает. Вредоносный код обходит защиту браузера и загружает на ваш компьютер полезную нагрузку (payload) — основной вредоносный файл .
Шаг 7. Выполнение вредоносной программы
Загруженный файл запускается, и начинается самое неприятное. В зависимости от целей атакующих, это может быть :
- Программа-вымогатель (ransomware) — шифрует ваши файлы и требует выкуп
- Банковский троян — крадет данные карт и пароли от интернет-банка
- Кейлоггер — записывает все нажатия клавиш
- Шпионское ПО — следит за вашими действиями
- Майнер криптовалюты — использует мощности вашего компьютера для добычи биткоинов
- Ботнет — делает ваш компьютер частью армии зараженных машин для атак на другие сайты
Способы заражения: как вредоносный код попадает на сайты
Злоумышленники используют несколько основных каналов:
1. Взломанные легитимные сайты
Самый распространенный способ. Взламываются обычные сайты, которые люди посещают каждый день. Это может быть блог, интернет-магазин, форум, сайт местной газеты. Владельцы сайта часто даже не подозревают, что их ресурс используется для распространения заразы .
2. Вредоносная реклама (malvertising)
Злоумышленники внедряют вредоносный код в рекламные сети. Когда вы заходите на любой сайт, который показывает такую рекламу — даже на полностью легитимный ресурс, — рекламный баннер автоматически запускает процесс заражения .
В 2016 году так были скомпрометированы рекламные сети крупнейших новостных порталов, включая The New York Times, BBC и AOL .
3. Фишинговые сайты
Злоумышленники создают специальные сайты, которые выглядят как официальные. Они могут распространять ссылки через спам, социальные сети или мессенджеры. Даже просто открыв такую страницу, вы рискуете заразиться .
4. Фальшивые обновления ПО
Один из популярных методов — поддельные окна обновлений. Вы заходите на сайт, видите сообщение: "Ваш Flash Player устарел. Требуется обновление". Если вы нажмете "Обновить" (или иногда даже если просто загрузите страницу), на компьютер скачается вредоносная программа .
Кампания SocGholish (FakeUpdates) — один из самых масштабных примеров такого подхода. Зараженные сайты показывали поддельные уведомления об обновлении браузера, и пользователи, доверчиво кликая, скачивали вредонос .
Реальные примеры атак
MageCart — кража данных с онлайн-касс
Начиная с 2015 года и до сих пор, злоумышленники взламывают онлайн-магазины и внедряют скрипты, которые крадут данные банковских карт в момент оформления заказа. Покупатель просто делает покупку на привычном сайте, а его данные уходят злоумышленникам .
Cloak Ransomware — вымогатель через фальшивые обновления Windows
В 2024–2025 году распространялась новая версия вымогателя Cloak, которая маскировалась под официальное обновление Windows. Достаточно было зайти на зараженный сайт, чтобы началась скрытая установка программы-вымогателя .
Angler Exploit Kit — легендарный эксплойт-кит
Один из самых известных эксплойт-китов, который использовался в тысячах атак, включая заражение через рекламные сети на взрослых сайтах. Он использовал уязвимости Flash Player и Java. В 2016 году он исчез, но на его месте появились десятки других .
Что делает эти атаки особенно опасными?
1. Отсутствие необходимости в действиях пользователя
Классические вирусы требуют, чтобы вы открыли письмо, скачали файл, нажали на ссылку. Drive-by download работает без вашего участия. Вы просто читаете новости — и всё .
2. Использование доверенных сайтов
Жертва заходит на сайт, которому доверяет годами. Это может быть профессиональный ресурс, новостной портал, сайт госоргана. Нет никаких "красных флагов", которые могли бы насторожить .
3. Точечная нацеленность
В водопойных атаках злоумышленники выбирают сайты, которые посещают сотрудники конкретной компании или отрасли. Например, могут взломать сайт профессионального сообщества бухгалтеров, чтобы заразить компьютеры бухгалтеров из целевой компании .
4. Использование уязвимостей нулевого дня
Zero-day уязвимости не имеют исправлений на момент атаки. Даже если вы устанавливаете все обновления вовремя, вы все равно можете быть уязвимы .
5. Сложность обнаружения
Вредоносный код часто маскируется, шифруется, использует обфускацию (запутывание кода), чтобы антивирусы не могли его распознать . Некоторые атаки используют файловые методы — вредоносный код работает прямо в памяти компьютера, не оставляя следов на диске .
Как защитить себя
Что делать обязательно
Постоянно обновляйте все программы: Эксплойт-киты ищут известные уязвимости. Если у вас установлены все обновления, большинство эксплойтов не сработают
Обновляйте браузер: Современные браузеры блокируют многие типы атак. Убедитесь, что у вас последняя версия
Используйте антивирус с веб-защитой: Хороший антивирус блокирует доступ к зараженным сайтам и перехватывает вредоносные скрипты
Удалите устаревшие плагины: Flash, Java, Silverlight — основные цели эксплойт-китов. Если они не нужны — удалите
Используйте блокировщик рекламы: Многие атаки идут через вредоносную рекламу. Блокировщик рекламы — это дополнительный барьер
Дополнительные меры
- Включите автоматические обновления для Windows, браузера и всех программ
- Используйте стандартную учетную запись для повседневной работы, а не учетную запись администратора
- Настройте DNS-фильтрацию (например, через Cloudflare 1.1.1.2 или AdGuard DNS), которая блокирует известные вредоносные сайты
- Будьте внимательны к неожиданным всплывающим окнам с просьбой обновить программу — это классический прием
Заключение
Drive-by download — это одна из самых коварных угроз в современном интернете. Вы можете делать всё правильно: не скачивать подозрительные файлы, не переходить по странным ссылкам, не открывать спам. Но если вы просто зайдете на взломанный сайт, ваш компьютер может оказаться заражен.
Главная защита от таких атак — это постоянное обновление всего программного обеспечения. Разработчики регулярно закрывают уязвимости, которые используют эксплойт-киты. Если ваши программы и операционная система обновлены, шанс заразиться таким способом снижается в десятки раз.
И помните: даже самые надежные и популярные сайты могут быть взломаны. Интернет — это не безопасное место, и бдительность никогда не бывает лишней.
Лично я установил в свой браузер Microsoft Edge расширения: uBlock Origin, Malwarebytes Browser Guard. Также настроил HIPS и файрвол на ESET NOD32 Smart Security Premium
А вы каким образом снижаете риск заражение от таких видов угроз?