Викрадення веб-переглядача: що це таке і як запобігти та видалити його

Що таке викрадення браузера?

Злодій із відчиненими дверцятами, що вказують на викрадення браузера

Викрадення браузера – це тип зловмисного програмного забезпечення, яке переймає ваш веб-переглядач, щоб змусити його робити те, чого ви не маєте намір. У найбільш нешкідливому сценарії ваш веб-переглядач починає використовувати різні пошукові системи або починає показувати рекламу, яка створює дохід для автора шкідливих програм. У гіршому випадку ваш веб-переглядач викрадений для завантаження дуже шкідливого програмного забезпечення, такого як викупне програмне забезпечення, яке зашифрує всю вашу систему, поки ви не заплатите комісію поганим хлопцям.

Історично зловмисне програмне забезпечення було створене для націлювання на конкретні операційні системи. Об’єктом будь-якого зловмисного програмного забезпечення є зараження якомога більшої кількості комп’ютерів, тому Windows була однією з найбільших мішень у минулому. У міру збільшення використання інших операційних систем стало менш ефективно розробляти та підтримувати кілька версій шкідливих програм для кожної різної платформи. Одночасно зростало використання Інтернету, і розробники браузерів почали створювати крос-платформні браузери. Це сформувало ідеальний вектор атаки. Зловмисне програмне забезпечення, яке коли-небудь розгортається, тепер передається через Інтернет через веб-браузери щохвилини дня.

Як це відбувається?

Найвибагливіша частина будь-якого викрадення – це створення нових способів, щоб обманути людей на встановлення зловмисного програмного забезпечення. Деякі з найбільш поширених методів розгортання зловмисного програмного забезпечення в браузері:

Переконання користувачів встановити зловмисно створений плагін браузера або програму.

Відомо, що багато розширень веб-переглядача, такі як конвертер валют Chrome, веб-таймер, перемикач користувачів-агентів тощо, тощо, як відомо, переспрямовують користувачів через невідомий проксі, а потім показують рекламу користувачам.

Обмануйте користувачів для відвідування веб-сайтів, які завантажують драйвер.

Завантаження під керуванням приводу стосується зловмисної практики завантаження коду, як правило, Javascript, у ваш браузер без вашого відома.

Усі зловмисні програми не створюються рівними. Різні пристрої мають різні моделі захисту, тому деякі зловмисні програми розроблені для певних платформ. У Sucuri з’явилася недавня публікація в блозі, де детально описано зловмисне програмне забезпечення, призначене для націлювання на мобільні пристрої. Виявивши, що ви використовуєте якийсь мобільний пристрій, він приймає подальші рішення щодо найкращого способу зараження вас. Це робиться на основі конкретного поєднання пристрою та браузера та намагається встановити або панель інструментів, або мобільний додаток.

Багато фішингових атак електронною поштою побудовані для того, щоб спробувати примусити людей відвідувати сайти, що рухаються.

Вставлення шкідливого JavaScript у законний веб-сайт, який робить небажані речі.

Навряд чи автор зловмисного програмного забезпечення має досить популярний веб-сайт, щоб залучити достатню кількість відвідувачів для розгортання свого шкідливого програмного забезпечення. Краще розміщувати зловмисне програмне забезпечення на законних веб-сайтах з великою кількістю наявного трафіку. З цією метою багато авторів зловмисного програмного забезпечення також є хакерами на веб-сайтах або вони купують експлуатовані веб-сайти у службі злому (HaaS), на якій можна розгорнути свій шкідливий код.

Як уникнути цього?

Не ігноруйте попередження чорного списку Google

Google пропонує програму під назвою Безпечний перегляд, яка спрямована на каталогізацію всіх шкідливих сайтів в Інтернеті. Він ділиться цією інформацією у загальнодоступному списку, який інші браузери можуть використовувати для попередження користувачів, коли вони збираються перейти на шкідливий сайт. Mozilla Firefox, Google Chrome і Apple Safari використовують списки безпечного перегляду.

Зображення, подібне до цього, відображається, якщо ви намагаєтесь відвідати сайт, який наразі є у списку безпечного перегляду:

Попередження про безпечний перегляд Google

Список безпечного перегляду оновлюється часто, тому є дуже хороший шанс, що попередження про сайт законно означає, що сайт зараз заражений зловмисним програмним забезпеченням або на даний момент розміщується фішинг-сторінка. У програмі були деякі дуже великі проблеми конфіденційності, такі як реєстрація запитуваних сайтів та встановлення файлів cookie, які NSA історично використовувала для відстеження людей. Але якщо ви збираєтесь його використовувати, то зверніть увагу на попередження.

Вимкнути Javascript у вашому браузері

Більшість веб-сайтів використовують поєднання технологій на стороні сервера та клієнта. Прикладами технології на стороні сервера є мови сценаріїв, такі як PHP або ASP.net. Ці мови виконуються на веб-сервері, а результати надсилаються у ваш браузер у простому HTML. Серверні технології не мають прямого доступу до комп’ютера.

Термін на стороні клієнта означає код, який виконується у вашому браузері. Найпоширенішою мовою на стороні клієнта в Інтернеті є Javascript, який завантажується у ваш браузер і потім виконується вашим браузером. Звідси можна зробити висновок, що Javascript потенційно має можливість визначати локальну інформацію, таку як ваша реальна IP-адреса, можливість читати речі, які ви вводите на веб-сайт, такі як паролі, та завантажувати інші сценарії, про які ви, можливо, не знаєте..

Один з найкращих заходів безпеки, які ви можете вжити, – це відключити Javascript за умовчанням у вашому браузері. Це призведе до розбиття багатьох веб-сторінок, тому вам часто доведеться повторно вмикати його, але принаймні вам стає відомо, що веб-сайт, який ви відвідуєте, намагається змусити ваш браузер виконувати Javascript. Існує безліч плагінів, які полегшують цей процес, ніж перекопувати налаштування системи, щоб увімкнути / вимкнути його.

Для цього добре працюють розширення NoScript для Firefox та Script Block для Chrome. Вони вимикають Javascript та Flash за замовчуванням та надають доступ одним натисканням кнопки, щоб дозволити Javascript на кожному веб-сайті, а не вмикати його на всьому рівні. Це невелика робота, але це дуже допомагає захистити від довільного виконання Javascript у вашому браузері.

Плагін Chrome Script Block

Остерігайтеся розширень браузера зловмисного програмного забезпечення

Існує багато плагінів виявлення та очищення зловмисних програм. За номіналом це може здатися непоганим, але, на жаль, багато авторів шкідливих програм виявили, що найкращий спосіб підманути людей на завантаження зловмисного плагіна – зробити вигляд, що це щось інше. Зловмисне програмне забезпечення, яке маскується як розширення проти зловмисного програмного забезпечення, – це висота іронії, і це працює. Тому важливо переконатися, що встановлені вами розширення є законними.

Магазин розширень Chrome є легендарним для розповсюдження шкідливих розширень. У 2015 році Google профінансував власне дослідження та виявив, що на десятках мільйонів користувачів Chrome встановлено різноманітність зловмисних програм на основі додатків. Google намагається ідентифікувати та заблокувати зловмисне програмне забезпечення зі свого магазину, але у нього є проблеми з ідентифікацією зловмисного програмного забезпечення за допомогою автоматичного сканування, і це занадто геркулесова задача виконувати вручну. Розробнику зловмисного програмного забезпечення не важко завантажувати розширення без шкідливого коду для того, щоб пройти сканування, але потім потрібно завантажити його, як тільки він буде встановлений.

Слід бути трохи скептичним при виборі розширень. Ось декілька речей, на які варто звернути увагу на використання одного із прикладів блокування розширень скрипту. Розширення Script Click має 295 користувачів, 4 відгуки, хоче прочитати все на кожному веб-сайті, який я відвідую, і було оновлено лише минулого тижня.

Клацніть скрипт розширення Chrome

Навпаки, розширення Script Block налічує 81 000 користувачів (що не видно на знімку екрана), 347 оглядів і знаходиться в його нинішньому стані вже близько півроку. Однак він все ще хоче прочитати кожен сайт, який я відвідую.

Блок сценарію розширення Chrome
Розширення блоку сценаріїв краще проходить тест на надійність, тому наступним кроком є ​​пошук в Інтернеті оглядів та повідомлень про його експлуатацію чи зловмисність. Якщо вона вийде чистою, це здається розумним вибором.

Нарешті, важливо зрозуміти, що робить розширення, щоб оцінити дозволи, які він запитує. Цілком розумно, що розширення, що блокує скрипт, має змогу читати кожну веб-сторінку, яку ви відвідуєте. Це єдиний спосіб визначити, чи є на сторінці Javascript, щоб він міг його заблокувати. Однак якщо ви встановлюєте погоду або розширення для пошуку, і він хоче цей самий дозвіл читати кожну веб-сторінку, яку ви відвідуєте, це прапор попередження.

Будьте параноїком щодо посилань

Протягом дня нам всім надається можливість натискати на багато посилань в Інтернеті. Вони надходять у електронні листи, веб-сайти, чати для обміну миттєвими повідомленнями, скриньки повідомлень та QR-коди. Вони походять від наших друзів, нашої родини, нашої роботи та незнайомих людей. Будь-яке з цих посилань може переспрямувати вас на проїзний сайт або встановити шкідливі речі у вашій системі.

Якщо ви сумніваєтесь у будь-якому посиланні, наведіть на нього курсор, перш ніж клацнути по ньому. Більшість програм відкриє реальну URL-адресу посилання на нижній панелі інструментів або у плаваючій підказці.

Посилання електронної пошти LinkedIn
Якщо це не працює, клацніть правою кнопкою миші посилання, щоб скопіювати її у буфер обміну, а потім вставте її десь безпечно, наприклад, Блокнот, щоб побачити, що є насправді, перш ніж вирішити натиснути його..

Як ви це виявляєте?

Зловмисне програмне забезпечення, яке спрямоване на заробіток, зазвичай робить це через рекламу чи спонсоровані посилання. Цей тип зловмисного програмного забезпечення, як правило, простіше помітити, оскільки він показує вам рекламу або перенаправляє вас на незнайомі сторінки пошуку. Зміни в поведінці, які ви не можете пояснити, або нові панелі інструментів, які відображаються у вашому веб-переглядачі, є знаковими ознаками того, що ваш браузер викрадений.

Більш шкідливі зловмисні програми можуть запускати процеси або програми на вашому комп’ютері, намагаючись викрасти інформацію у вас або зашифрувати ваші дані. Ці програми використовують системні ресурси, тому, якщо ви спостерігаєте збільшення активності системи, це може вказувати на зловмисне програмне забезпечення. Симптоми можуть включати:

Діяльність на жорсткому диску, коли ви не використовуєте комп’ютер

Це може означати, що програма здійснює пошук за допомогою вашого жорсткого диска, або викупне програмне забезпечення шифрує ваші файли. Це також може бути законним процесом у вашій системі, таким як антивірусний сканер, який працює, коли система не працює. Ви можете використовувати дослідників процесів, пояснених нижче, щоб допомогти визначити справжню причину.

Падіння продуктивності

Усі запущені програми повинні розділяти наявну пам’ять та потужність обробки комп’ютера. Якщо шкідливе програмне забезпечення під час роботи з комп’ютером виконує інтенсивні процеси, це може призвести до значного відставання швидкості.

Незнайомі процеси, що працюють

На всіх комп’ютерах є певний метод переліку запущених програм. Якщо ви помітили будь-який із перерахованих вище симптомів, ви можете переглянути запущені програми, щоб побачити, чи є такі, які не повинні бути там.

MacOS (OSX)

Застосування процесу для MacOS має назву Instruments. Найпростіший спосіб піднести це – використовувати команду + пробіл та ввести інструменти. Він покаже вам список усіх запущених процесів.

MacOS Instruments
Linux

Верхня команда командного рядка – найшвидший спосіб побачити всі запущені процеси. Ви хочете запустити його як основного користувача, щоб переконатися, що ви бачите всі процеси, і це дозволить вам переглянути всі запущені процеси та кількість пам’яті та ресурсів процесора, якими вони користуються..

Верхня команда Linux
Windows

Провідник процесів Windows названий диспетчером завдань. Найпростіший спосіб її запуску – натиснути клавіші управління + alt + delete та вибрати на екрані диспетчер завдань.

Менеджер завдань Windows

Як це виправити?

Браузер, що викрадає зловмисне програмне забезпечення, потрапляє до тієї ж категорії, що і вірус, отже, підходяща антивірусна програма є хорошим методом її видалення, є варіанти, які доступні від 20 доларів, такі як TotalAV. На ринку немає кінця програм, що захищають від зловмисного програмного забезпечення, які можуть видалити шкідливий код. Comparitech підтримує тут антивірусні запитання, в яких пояснюються найкращі практики вибору підходящої антивірусної програми. Немає одного розміру, який би відповідав усім антивірусним, оскільки такі фактори, як операційна система та особисте використання, відіграють фактор.

Виконання рутинних резервних копій є важливою частиною будь-якого відновлення зловмисних програм. Бувають ситуації, коли можливо не вдається очистити шкідливе програмне забезпечення або це спричинить стільки збитків, що є сенс перевстановити все. Тут є ряд варіантів резервного копіювання у хмарі.

Якщо ваш інфікований пристрій – це планшетний ПК, телефон чи Chromebook, який зберігає всі ваші дані у хмарі, можливо, швидше просто повернути пристрій до заводських налаштувань. Це видалить усе, включаючи шкідливе програмне забезпечення, і ви зможете відновити свої дані з хмари. Якщо ви маєте справу з належним комп’ютером, ви, ймовірно, захочете очистити його як – це замість того, щоб не встановлювати все. Однак в будь-якому випадку важливо також сканувати резервні дані на наявність шкідливих програм, перш ніж відновити будь-яку з них у вашій щойно очищеній системі. Якщо зловмисне програмне забезпечення міститься у вашій резервній копії, ви миттєво повторно заразите вашу систему.