Современным хакерам вовсе не нужны сложные шпионские утилиты: обычный браузер, такой как Google Chrome (или любой другой на базе Chromium — Edge, Brave, Opera и т.д.), может превратиться в инструмент скрытого наблюдения. Об этом рассказал эксперт по кибербезопасности под псевдонимом mr.d0x.
Как это работает?
Если злоумышленник уже получил доступ к компьютеру, он может с помощью PowerShell запустить браузер в фоновом режиме — в миниатюрном окне за пределами видимой области экрана или вообще в headless-режиме (без графического интерфейса). Далее через браузер открывается вредоносная веб-страница с JavaScript-кодом, который:
Почему это возможно?
Всё основано на легальных флагах Chromium, встроенных в браузер по умолчанию:
Если у пользователя подключено несколько мониторов, скрипт просто указывает, с какого вести захват. Единственный намёк на слежку — индикатор активности камеры. Но даже его можно попытаться отключить.
Почему это опасно?
Особенность этой схемы в том, что вредоносный код не устанавливается на сам компьютер. Он запускается на внешнем сайте — это упрощает маскировку и делает метод особенно удобным на стадии постэксплуатации, когда система уже взломана.
Но атаковать можно и иначе — например, обманом заставить жертву запустить нужный скрипт под видом проверки CAPTCHA или другого действия.
Что делать?
Исследователь призывает специалистов по ИБ обращать внимание на использование подобных флагов запуска — они не применяются в обычных сценариях, и их появление должно вызывать подозрение. Для рядового пользователя это ещё один повод быть осторожным: порой слежка ведётся через самый привычный инструмент — ваш браузер.
Как это работает?
Если злоумышленник уже получил доступ к компьютеру, он может с помощью PowerShell запустить браузер в фоновом режиме — в миниатюрном окне за пределами видимой области экрана или вообще в headless-режиме (без графического интерфейса). Далее через браузер открывается вредоносная веб-страница с JavaScript-кодом, который:
- делает скриншоты экрана,
- включает микрофон и записывает звук,
- захватывает видео с камеры —
- причём всё это без запроса разрешений у пользователя и без уведомлений.
Почему это возможно?
Всё основано на легальных флагах Chromium, встроенных в браузер по умолчанию:
- --auto-select-desktop-capture-source=Entire — автоматически начинает захват всего экрана без предупреждений;
- --auto-accept-camera-and-microphone-capture — активирует микрофон и камеру без уведомлений и запросов.
Если у пользователя подключено несколько мониторов, скрипт просто указывает, с какого вести захват. Единственный намёк на слежку — индикатор активности камеры. Но даже его можно попытаться отключить.
Почему это опасно?
Особенность этой схемы в том, что вредоносный код не устанавливается на сам компьютер. Он запускается на внешнем сайте — это упрощает маскировку и делает метод особенно удобным на стадии постэксплуатации, когда система уже взломана.
Но атаковать можно и иначе — например, обманом заставить жертву запустить нужный скрипт под видом проверки CAPTCHA или другого действия.
Что делать?
Исследователь призывает специалистов по ИБ обращать внимание на использование подобных флагов запуска — они не применяются в обычных сценариях, и их появление должно вызывать подозрение. Для рядового пользователя это ещё один повод быть осторожным: порой слежка ведётся через самый привычный инструмент — ваш браузер.
