Браузерные угонщики: BRAT, TamperedChef/BaoLoader, VBS, PowerShell и реестр
Недавний анализ различных браузерных угонщиков выявил широкий спектр методов манипуляции браузером, применяемых злоумышленниками, в том числе группами, связанными с кампаниями TamperedChef/BaoLoader. Исследование показывает, что атакующие всё чаще фокусируются не на полном контроле над системой, а на целенаправленном компрометировании браузера — что создаёт новые вызовы для средств защиты и обнаружения.
Ключевые находки
- Появление средства удалённого доступа к браузеру — BRAT, которое исполняет команды, поступающие с сервера, и ориентировано исключительно на управление браузером.
- Использование скриптов VBS и PowerShell, настроенных как запланированные задачи, для поддержания стойкости и скрытности присутствия.
- Маскировка вредоносных компонентов под безобидные файлы — пример: файл с вводящим в заблуждение названием temp_cleanup.ico, замаскированный под файл реестра.
- Трюки с реестром: запись безобидного содержания с большим количеством пустых строк, за которой следуют специально подготовленные ключи, облегчающие несанкционированные манипуляции.
- Использование аргументов Chromium для запуска вредоносных расширений и потенциальное применение этих приёмов в популярных web-фреймворках.
BRAT: браузер как цель атаки
В отличие от классических троянов удалённого доступа (RAT), которые нацелены на полный контроль над системой, BRAT ограничивает свою деятельность браузером. Это позволяет злоумышленникам выполнять специализированные операции — от слива сессий и cookie до установки вредоносных расширений и перехвата трафика — без явного захвата всей ОС, что затрудняет обнаружение традиционными средствами защиты.
Скрипты, запланированные задачи и маскировка
Исследователи зафиксировали использование VBS и PowerShell-скриптов, запускаемых как запланированные задачи. Один из методов маскировки — файл temp_cleanup.ico, зарегистрированный как элемент реестра. В отчёте отмечается практическое применение «пустых» строк в реестре, вероятно, с целью затруднить проверку и автоматический анализ. После таких техник следуют две специальные записи в реестре, облегчающие дальнейшие несанкционированные изменения.
Аргументы Chromium и расширения
Использование аргументов Chromium для принудительного запуска вредоносных расширений демонстрирует ещё один вектор повышения опасности. Такие приёмы открывают путь для внедрения вредоносного кода в рабочие процессы веб-приложений и популярных web-фреймворков, что может привести к масштабным утечкам данных и компрометации пользователей.
«Методы злоумышленников становятся всё более сложными и вариативными: атаковать теперь выгоднее не всю систему, а только браузер, где сосредоточены сессии и учетные данные», — отмечает исследование.
Последствия и рекомендации
Выводы подчёркивают необходимость усиления мониторинга и внедрения специализированных механизмов обнаружения для защиты браузерной экосистемы. Рекомендуемые меры включают:
- Мониторинг запланированных задач и необычных скриптов (VBS, PowerShell).
- Анализ подозрительных записей в реестре и проверка на наличие «маскирующих» структур (большое количество пустых строк и неочевидные ключи).
- Контроль политики установки расширений и проверка команд запуска Chromium.
- Использование современных EDR/Endpoint-решений и средств обнаружения аномалий, ориентированных на браузерную активность.
- Повышение осведомлённости пользователей о рисках установки расширений и запуске незнакомых файлов.
Атаки, подобные описанным в отчёте, подчеркивают: защита должна быть многослойной и учитывать специфические угрозы для браузеров. Только сочетание технических мер, политики безопасности и пользовательской бдительности позволит снизить риск успешной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



