Come funzionano le iniezioni del browser?

6

Ho sentito molte volte che malware come Zeus, SpyEye e Citadel sono in grado di fare iniezioni di browser per rubare i dati delle carte di credito. Come lo fanno? come funzionano le "iniezioni" del browser? In che modo sono in grado di manomettere tutti i dati del browser? Inoltre, perché gli scrittori di estensioni browser non utilizzano le iniezioni del browser per garantire la compatibilità con tutti i browser?

Domanda aggiuntiva: esiste un codice sorgente che potresti guardare come esempio? Potresti farne un sacco di cose!

    
posta Kush 23.07.2012 - 01:14
fonte

3 risposte

2

Funzionano iniettando codice dannoso nel tuo browser (o nel tuo sistema). Sfruttano alcune vulnerabilità per iniettare il codice dannoso e causare l'iniezione del codice dannoso. Il codice dannoso contiene un carico utile di qualche tipo. Il carico utile può fare cose come spiare le tue interazioni con il tuo browser o con i siti web.

Se ti stai chiedendo come i malintenzionati riescano a immettere codice dannoso nel tuo sistema, la frase chiave è " unità- da download ". Cercalo e troverai molto altro. Fondamentalmente, gli attacchi di download drive-by sfruttano alcune vulnerabilità nel browser che consentono loro di inserire codice dannoso.

Se ti stai chiedendo in che modo il payload è in grado di rubare la tua carta di credito, la risposta è che una volta che il codice malevolo è in esecuzione sul tuo sistema, è in grado di leggere tutte le sequenze di tasti, spiare tutte le tue interazioni con tutte le tue applicazioni, e agganciare alle API del browser interno. Quindi, una volta che il codice malevolo è in esecuzione sul tuo sistema, verrai salvato.

    
risposta data 23.07.2012 - 06:37
fonte
3

Queste applicazioni in genere non prendono i dati direttamente dal browser.

  1. Analizzano la finestra corrente (titolo). Ad esempio se c'è qualcosa di simile (carrello della spesa, cassa, trasferimento, sicurezza https), quindi prendere l'input dell'utente (i dati vengono presi direttamente, non dal browser).

  2. Possono recuperare tutti gli input dell'utente e inviare solo dati sensibili al server, i dati vengono prima controllati da espressioni regolari.

Puoi ottenere esempi di keylogger qui:

link

link

    
risposta data 23.07.2012 - 01:58
fonte
1

Ho sempre avuto l'impressione che queste iniezioni stessero semplicemente iniettando HTML che avrebbe reso un altro controllo. Ad esempio, quando la vittima naviga su www.bankingwebsite.com viene presentata una schermata di accesso che normalmente richiede solo il numero di tessera e la password.

Supponiamo che vogliamo anche il loro CCV, la data di scadenza e il nome da nubile della loro madre. Possiamo iniettare alcuni html e fare in modo che il browser esegua queste ulteriori domande.

Di solito ciò che accade è che l'hacker dovrebbe avere un elenco di siti Web bancari comuni nel paese / continente in cui desidera raccogliere i dettagli. Raccoglierebbero quindi gli URL di cui hanno bisogno per fare attenzione e aggiungere l'html in più ad un file di configurazione che il malware userebbe.

Ora, eBay normalmente non chiederebbe mai tutte queste informazioni extra. Abbiamo quindi iniettato del codice HTML per chiedere tutti i dettagli delle vittime e fornito loro un motivo (scopi fraudolenti) sul motivo per cui devono fornirlo.

Controlla link

    
risposta data 27.01.2016 - 04:23
fonte

Leggi altre domande sui tag