Тим на безбедносни истражувачи од „SquareX“ откри нова хакерска техника која им овозможува на хакерите целосно да го преземат веб-прелистувачот на корисникот и, во крајна линија, целиот уред.
Иако се работи за процес од повеќе чекори, нападот е прикриен, бара минимални дозволи и речиси никаква интеракција со жртвата освен да се инсталира она што изгледа како легитимна екстензија на „Chrome“.
Екстензии на прелистувачи долго време се сметаат за критична закана за безбедноста на претпријатието. Но, повеќето напади до денес првенствено се поврзани со ексфилтрација на податоци или неовластен пристап до одредени веб-апликации. Се сметаше дека е невозможно да се добие целосна контрола над прелистувачот, а уште помалку врз уредот, преку екстензии, поради начинот на кој се дизајнирани потсистемите за екстензии.
Меѓутоа, истражувачите од „SquareX“ се обидоа да ја побијат оваа теза и успеаја. Новиот напад наречен „Browser Syncjacking“ ја демонстрира способноста да се користи навидум бенигна екстензија на „Chrome“ за да се преземе уредот на жртвата.
Од „SqaureX“ велат дека ова е најмоќниот напад на екстензии откриен досега и претставува сеизмичка промена во тоа како претпријатијата ќе ги гледаат екстензиите како вектор на закана. Покрај тоа, милиони корисници се изложени на ризик, велат истражувачите.
Нападот започнува со создавање домен на „Google Workspace“ каде што напаѓачот поставува повеќе кориснички профили со безбедносни карактеристики како што е автентикацијата со повеќе фактори (MFA) оневозможена за овие профили. Социјалното инженерство потоа го насочува корисникот кон злонамерна екстензија, која има само основни можности за читање/запишување, како и некои од најпопуларните екстензии. Жртвата, навидум несомнена, ја инсталира екстензијата, која потоа тајно ги најавува во еден од профилите на „Google Workspace“ на напаѓачот во скриен прозорец на прелистувачот што работи во позадина.
Наставката потоа отвора легитимна страница за поддршка на „Google“. Бидејќи има привилегии за читање и пишување за веб-страници, вметнува содржина во страницата, кажувајќи му на корисникот да овозможи синхронизација на „Chrome“. Откако ќе се синхронизираат, сите зачувани податоци, вклучувајќи ги лозинките и историјата на пребарување, му се достапни на напаѓачот, кој сега може да го користи компромитираниот профил на својот уред.
Со профилот на жртвата под контрола, напаѓачот може да го преземе прелистувачот, што, во случајот со истражувачите на „SquareX“, се случи преку лажно ажурирање на „Zoom“. Во сценариото на истражувачот, жртвата може да добие покана за „Zoom“ и кога ќе кликне на неа и ќе отиде на веб-страницата на „Zoom“, екстензијата ќе инјектира злонамерна содржина во која ќе се наведе дека „Zoom“ треба да се ажурира. Наместо ажурирање, се презема извршна датотека која содржи токен кој на напаѓачите им дава целосна контрола врз прелистувачот на жртвата.
„Откако ќе се регистрира, напаѓачот добива целосна контрола врз прелистувачот на жртвата, овозможувајќи им да пристапи тивко до сите веб-апликации, да инсталира дополнителни злонамерни екстензии, да ги пренасочува корисниците кон фишинг сајтови, да ги следи/изменува преземањата на датотеки и многу повеќе“, велат истражувачите на „SquareX“.
Со користење на „Native Messaging API“ на „Chrome“, напаѓачот може да воспостави директен канал за комуникација помеѓу екстензијата и оперативниот систем на жртвата. Ова му овозможува да пребарува директориуми, да менува датотеки, да инсталира малициозен софтвер, да извршува произволни команди, да снима притискање на копчињата, да ексфилтрира чувствителни податоци, па дури и да ги активира веб-камерата и микрофонот.
За разлика од претходните напади преку екстензии на прелистувачот, во случајот на овој напад, „освен ако жртвата е крајно безбедносно параноична и технички паметна“, повеќето корисници би имале тешко време да сфатат дека нешто не е во ред „бидејќи нема визуелни индикации дека прелистувачот има бил киднапиран“, предупредија истражувачите.
