Tim istraživača bezbjednosti iz kompanije SquareX otkrio je novu tehniku hakovanja pomoću koje hakeri mogu u potpunosti preuzeti korisnikov veb pretraživač i, na kraju, i cijeli uređaj.
Foto: Ilustracija/Pixabay
Iako je riječ o višestepenom procesu, napad je prikriven, zahtijeva minimalne dozvole i gotovo nikakvu interakciju sa žrtvom osim da instalira ono što izgleda kao legitimna ekstenzija za Chrome.
Ekstenzije pretraživača se već dugo smatraju kritičnom prijetnjom bezbjednosti preduzeća. Ali većina dosadašnjih napada prvenstveno se odnosila na eksfiltraciju podataka ili neovlašćeni pristup određenim veb aplikacijama. Smatralo se da je preko ekstenzija nemoguće dobiti potpunu kontrolu nad pretraživačem, a još manje nad uređajem, zbog načina na koji su podsistemi ekstenzija dizajnirani.
Međutim, istraživači iz SquareX-a pokušali su da ospore ovu tezu i uspjeli su. Novi napad pod nazivom Browser Syncjacking demonstrira mogućnost korišćenja naizgled benigne Chrome ekstenzije za preuzimanje uređaja žrtve.
SqaureX kaže da je ovo najmoćniji napad preko ekstenzija koji je do sada otkriven i da predstavlja seizmičku promjenu u načinu na koji će preduzeća posmatrati ekstenzije kao vektor pretnje. Osim toga, milioni korisnika su u opasnosti, kažu istraživači.
Napad počinje kreiranjem Google Workspace domena gdje napadač postavlja više korisničkih profila sa isključenim bezbjednosnim funkcijama kao što je višefaktorska autentifikacija (MFA) za ove profile. Socijalni inženjering zatim usmjerava korisnika na zlonamernu ekstenziju, koja ima samo osnovne mogućnosti čitanja/pisanja kao i neke od najpopularnijih ekstenzija. Žrtva, čini se, nema razloga za sumnju i instalira ekstenziju, koja je zatim krišom prijavljuje na jedan od napadačevih Google Workspace profila u skrivenom prozoru pregledača koji radi u pozadini.
Ekstenzija zatim otvara legitimnu stranicu za Google podršku. Pošto ima privilegije za čitanje i pisanje za veb stranice, ona ubacuje sadržaj na stranicu, govoreći korisniku da omogući Chrome sinhronizaciju. Kada se sinhronizuju, svi sačuvani podaci, uključujući lozinke i istoriju pretraživanja, su dostupni napadaču, koji sada može da koristi kompromitovani profil na svom uređaju.
Sa žrtvinim profilom pod kontrolom, napadač može da preuzme pretraživač, što se, u slučaju istraživača iz SquareX-a, desilo putem lažnog ažuriranja Zooma. U scenariju istraživača, žrtva može dobiti pozivnicu za Zoom, a kada klikne na nju i ode na Zoom veb stranicu, ekstenzija će ubaciti zlonamerni sadržaj navodeći da Zoom treba da se ažurira. Umesto ažuriranja, preuzima se izvršni fajl koji sadrži token koji daje napadačima potpunu kontrolu nad pretraživačem žrtve.
"Kada se registruje, napadač dobija potpunu kontrolu nad pretraživačem žrtve, što mu omogućava da tiho pristupa svim veb aplikacijama, instalira dodatne zlonamjerne ekstenzije, preusmjerava korisnike na sajtove za phishing, nadgleda/modifikuje preuzimanja fajlova i još mnogo toga", rekli su istraživači SquareX-a.
Korišćenjem Chromeovog Native Messaging API-ja, napadač može da uspostavi direktan komunikacioni kanal između ekstenzije i operativnog sistema žrtve. To mu omogućava da pretražuje direktorijume, mijenja fajlove, instalira malvere, izvršava proizvoljne komande, snima pritisak na tastere, eksfiltrira osjetljive podatke, pa čak i aktivira veb kameru i mikrofon.
Za razliku od ranijih napada preko ekstenzija pretraživača, u slučaju ovakvog napada, "osim ako žrtva nije krajnje bezbjednosno paranoična i tehnički dovoljno pametna", većini korisnika bilo bi teško da shvate da nešto nije u redu "jer nema vizuelnih indikacija da je pretraživač otet", upozorili su istraživači.
KOMENTARI (0)