MarioNET là một phương thức tấn công mới, cho phép tin tặc kiểm soát trình duyệt web ngay cả khi người dùng đã rời khỏi trang.
Các nhà nghiên cứu Hy Lạp vừa phát hiện ra một phương thức tấn công mới, cho phép tin tặc chạy mã độc trong trình duyệt ngay cả khi người dùng đã đóng hoặc điều hướng khỏi trang web bị nhiễm.
MarioNET được đặt tên như một phiên bản mới của Marionette được phát hiện năm 2007. Kiểu tấn công cũ tạo ra các botnet khai thác trang web, nhưng sẽ ngừng hoạt động khi người dùng đóng những trang bị nhiễm lại.
Còn MarioNET thì có thể tiếp tục tấn công vì hầu hết trình duyệt hiện tại đều hỗ trợ một API mới gọi là Service Workers. Cơ chế này cho phép trang web tách những hoạt động hiển thị giao diện người dùng với các hoạt động xử lý tác vụ tính toán nhằm giúp hệ thống không bị ‘đóng băng’ khi phải xử lý nhiều dữ liệu.
Các nhà nghiên cứu cho biết MarioNET khai thác API mới này, thu thập botnet từ trình duyệt và sử dụng vào những mục đích xấu, ví dụ như khai thác tiền ảo hoặc tấn công DDoS. Vòng đời của Service Worker hoàn toàn độc lập với trang web, tin tặc lợi dụng điểm này để chạy mã độc trên nền trình duyệt. MarioNET sử dụng trình duyệt web để lưu trữ, phát tán phần mềm độc hại, chia sẻ mật khẩu đã bẻ khóa hoặc tạo mạng proxy. Ngoài ra, phương thức này còn có khả năng thao túng số liệu thống kê lượng truy cập web, thực hiện quảng cáo lừa đảo…
Một trong những phát hiện thú vị nhất về MarioNET là nó không sử dụng điểm yếu của trình duyệt web, mà chỉ khai thác JavaScript và API HTML5 để thực hiện tấn công. Vì có khả năng xâm nhập vào thiết bị không cần thông qua những lỗ hổng hệ thống, nên MarioNET gần như không thể bị phát hiện. Cuộc tấn công xảy ra một cách âm thầm trong lúc người dùng chờ tải nội dung trang, không cần bất kỳ một tương tác nào
Trong tài liệu, nhóm nghiên cứu có mô tả một số phương pháp có thể tránh được MarioNET bằng những phần mở rộng trình duyệt chống phần mềm độc hại, đồng thời đưa ra một số giải pháp cho các nhà sản xuất trình duyệt.
Hiện tại người dùng có thể sử dụng Web Push API để khắc phục vấn đề này trong khi chờ nhà phát triển đưa ra những biện pháp bảo vệ bổ sung.
Hầu hết các trình duyệt web hiện tại đều có tùy chọn Service Workers. Người dùng Firefox có thể load ở
about:serviceworkers
hoặc
about:debugging#workers.
Người dùng Chrome có thể load ở
chrome://serviceworker-internals/.
Sau đó, bạn có thể hủy đăng ký bất kỳ Service Worker nào. Lưu ý rằng điều này có thể ảnh hưởng đến một số chức năng trên những trang web hợp pháp khác. Bạn cần đặt ưu tiên dom.serviceWorkers.enabled thành false ở about:config.
Ngoài ra, một số tiện ích mở rộng trình duyệt, ví dụ như Service Worker Detector cho Chrome và Firefox, sẽ thông báo cho người dùng khi trang web đăng ký Service Worker.
Theo: ghacks.net