Десятки сайтов взломаны разными кибергруппировками с помощью одного легального инструмента – фреймворка BeEF, который создан для облегчения и повышения эффективности тестирования безопасности браузеров. Данный факт обнаружила «Лаборатория Касперского».
Данная технология используется для проведения атак типа watering hole. Злоумышленники устанавливают BeEF на сайты, часто посещаемые потенциальными жертвами, и с помощью фреймворка определяют, из каких браузеров заходят нужные пользователи, а затем крадут логины и пароли. Такие махинации используют, к например, для внедрения в скомпрометированные устройства дополнительного вредоносного ПО.
Как отметили, в «Лаборатории Касперского», все чаще хакеры используют инструменты, доступные в Сети и предназначенные для исследовательских целей, вместо вредоносного ПО, специально разработанного или купленного на «черном» рынке. Это дешевле и эффективнее, а кроме того, из-за применения легальных технологий обнаружить атаку становится сложнее. Таким образом, даже кибергруппировки с недостатком опыта и ресурсов могут представлять угрозу для частных пользователей и компаний.
BeEF — это фреймворк, позволяющий централизованно управлять пулом зараженных через XSS клиентов, отдавать команды и получать рeзультат. Он работает следующим образом:
– злоумышленник внедряет на уязвимый сайт скрипт hook.js;
– hook.js сигналит C&C (BeEF) о том, что новый клиент онлайн;
– злоумышленник входит в панель управления BeEF и удаленно «рулит» зараженными браузерами: исполняет пейлоад и получает ответ.
Жертве достаточно выполнить в своем браузере hook.js, и она станет очередным «зомби», которому можно будет посылать различные команды, подсовывать вредоносные экзешники и так далее. А от злоумышленника требуется просто запустить beef-xss и открыть в браузере панель управления, в которой, собственно, все самое интересное и происходит.
BeEF «из коробки» содержит уйму встроенных техник, эксплойтов, плагинов и значительно облегчает одновременную работу со множеством клиентов. Конечно же, зараженный пользователь может покинуть страницу с внедренным скриптом, но специально для этих целей существует атака Man-in-The-Browser, которая позволяет следить за всеми действиями клиента в контексте одного домена, пока он остается на сайте или собственноручно не поменяет адрес в строке URL.
