АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Формграббер

Формграббер (англ. form grabbing) — это разновидность вредоносного ПО, которая извлекает авторизационные данные и учётные данные для входа из веб-формы до того, как эти сведения будут отправлены по сети Интернет на защищённый сервер. Благодаря этому вредоносное ПО получает доступ к информации, минуя HTTPS-шифрование. Такой подход эффективнее, чем применение программ-кейлоггеров, поскольку позволяет перехватить данные пользователя даже при вводе через экранную клавиатуру, автозаполнение или с помощью копирования и вставки[1]. Затем формграббер обычно сортирует такие данные согласно названиям переменных, например email, имя учётной записи и пароль. Кроме того, формграббер сохраняет URL-адрес и заголовок сайта, с которого была получена информация[2].

История

Метод формграббинга был изобретён в 2003 году разработчиком одной из разновидностей троянской программы — «Downloader.Barbew», которая пыталась скачать с Интернета «Backdoor.Barbew» и запустить на локальной системе. Однако этот подход стал широко известен как отдельная атака только после появления в 2007 году нашумевшего банковского трояна «Zeus». Программа Zeus использовалась для кражи банковской информации с помощью атак типа «человек в браузере», клавиошпионажа и формграббинга. Как и «Barbew», троян «Zeus» массово распространялся по электронной почте, маскируясь под уведомления от известных банков[3]. Формграбберы получили дальнейшее развитие в новых версиях «Zeus» — модуль не только захватывал данные, но и оценивал их потенциальную ценность. Позже программное обеспечение позволяло идентифицировать сайт, на котором были введены данные, из-за чего утечке подвергались более чувствительные сведения[4].

Известные случаи

Троян, известный как «Tinba», был создан с возможностями формграббинга, что позволяет ему похищать учётные данные для онлайн-банкинга; впервые он был обнаружен в 2012 году. Другая программа — «Weyland-Yutani BOT» — стала первым ПО, ориентированным на атаку платформы macOS, и способна работать в Firefox. Формы для веб-инъекций «Weyland-Yutani BOT» отличались от аналогов, применявшихся в «Zeus» и «SpyEye»[5].

Ещё один известный пример — инцидент с «British Airways» в сентябре 2018 года. В этом случае серверы компании были напрямую скомпрометированы злоумышленниками, которые изменили один из JavaScript-файлов, внедрив скрипт для перехвата платёжных данных и передачи их на сервер злоумышленников на домене «baways[.]com» с SSL-сертификатом от центра сертификации Comodo. Мобильное приложение «British Airways» подгружало страницу с теми же компонентами CSS и JavaScript, что и основной сайт, включая вредоносный скрипт, установленный группой «Magecart» — поэтому оплаты, совершаемые в мобильном приложении «British Airways», также были скомпрометированы.

Способы защиты

В связи с ростом количества атак с использованием кейлоггеров и формграбберов, компании — разработчики антивирусного ПО — внедряют дополнительные методы защиты для блокировки кейлоггеров и предотвращения кражи паролей. Это реализуется, например, через защищённые браузеры, менеджеры паролей и другие решения[1]. Для дополнительного противодействия формграббингу возможно ограничение пользовательских прав на установку BHO и других вредоносных программ. Администраторам рекомендуется формировать списки вредоносных серверов для блокировки в межсетевых экранах[2]

Появляются и новые методы защиты: например, использование out-of-band-коммуникаций для обхода формграбберов и атак типа «человек в браузере»; примером служит система FormL3SS.[6]. В подобных схемах чувствительные данные отправляются доверенному серверу по другому каналу связи, минуя скомпрометированное устройство. Альтернативные решения, например «Fidelius», используют дополнительное аппаратное обеспечение для защиты ввода-вывода информации на потенциально взломанных устройствах.

Примечания

  1. 1 2 Capturing Online Passwords and Antivirus (англ.). Secure Bits Blog. Business Information Technology Services (24 июля 2013). Дата обращения: 11 июня 2024. Архивировано 1 ноября 2013 года.
  2. 1 2 Graham, James. Cyber Security Essentials : [англ.] / James Graham, Howard, Richard, Olson, Ryan. — Auerbach Publications, 2011.
  3. CryptoLocker Ransomware Information Guide and FAQ (англ.). Bleeding Computer (20 декабря 2013). Дата обращения: 11 июня 2024. Архивировано 8 октября 2025 года.
  4. Form Grabbing. (англ.). RIT CyberSelfDefense Blog. Rochester Institute of Technology (10 сентября 2011). Дата обращения: 11 июня 2024. Архивировано 20 февраля 2025 года.
  5. Crimekit for MacOSX Launched. (англ.). CSIS Blog. Canadian Security Intelligence Service (2 мая 2011). Дата обращения: 11 июня 2024. Архивировано 31 января 2014 года.
  6. Almasi, Sirvan; Knottenbelt, William (февраль 2020). “Protecting Users from Compromised Browsers and Form Grabbers”. NDSS Workshop on Measurements, Attacks, and Defenses for the Web [англ.]. 2020. DOI:10.14722/madweb.2020.23016. Дата обращения 2024-06-11. Проверьте дату в |date= (справка на английском)

Категории