PALO ALTO, EUA, 30 de janeiro de 2025/CyberNewsWire/--A SquareX divulga uma nova técnica de ataque que mostra como extensões maliciosas podem ser usadas para sequestrar completamente o navegador e, eventualmente, todo o dispositivo. As extensões do navegador têm estado sob os holofotes nas notícias de segurança empresarial recentemente devido à onda de ataques OAuth contra desenvolvedores de extensões do Chrome e ataques de exfiltração de dados. No entanto, até agora, devido às limitações que os fornecedores de navegadores impõem ao subsistema de extensão e às extensões, acreditava-se que era impossível que as extensões obtivessem controle total do navegador, muito menos do dispositivo. Os pesquisadores Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy e Pankaj Sharma desmascararam essa crença ao demonstrar como os invasores podem usar extensões maliciosas para aumentar privilégios e realizar uma invasão completa do navegador e do dispositivo, tudo com interação mínima do usuário. QuadradoX O mais importante é que a extensão maliciosa requer apenas recursos de leitura/gravação presentes na maioria das extensões de navegador na Chrome Store, incluindo ferramentas de produtividade comuns como Grammarly, Calendly e Loom, dessensibilizando os usuários para que não concedam essas permissões. Essa revelação sugere que virtualmente qualquer extensão de navegador poderia potencialmente servir como um vetor de ataque se criada ou assumida por um invasor. Até onde sabemos, extensões enviadas à Chrome Store solicitando esses recursos não são submetidas a um escrutínio de segurança adicional no momento em que este texto foi escrito. O ataque de syncjacking do navegador pode ser dividido em três partes: como a extensão adiciona silenciosamente um perfil gerenciado pelo invasor, sequestra o navegador e, eventualmente, obtém controle total do dispositivo. Sequestro de perfil O ataque começa com um funcionário instalando uma extensão do navegador. Isso pode envolver a publicação de uma que se disfarça como uma ferramenta de IA ou a aquisição de extensões populares existentes que podem ter até milhões de instalações no total. A extensão então “silenciosamente” autentica a vítima em um perfil do Chrome gerenciado pelo Google Workspace do invasor. Tudo isso é feito de forma automatizada em uma janela de segundo plano, tornando todo o processo quase imperceptível para a vítima. Depois que essa autenticação ocorre, o invasor tem controle total sobre o perfil recém-gerenciado no navegador da vítima, permitindo que ele aplique políticas automatizadas, como desabilitar a navegação segura e outros recursos de segurança. Usando um ataque de engenharia social muito inteligente que explora domínios confiáveis, o adversário pode então escalar ainda mais o ataque de sequestro de perfil para roubar senhas do navegador da vítima. Por exemplo, a extensão maliciosa pode abrir e modificar a página de suporte oficial do Google sobre como sincronizar contas de usuários para solicitar que a vítima execute a sincronização com apenas alguns cliques. Uma vez que o perfil é sincronizado, os invasores têm acesso total a todas as credenciais e histórico de navegação armazenados localmente. Como esse ataque só aproveita sites legítimos e não tem nenhum sinal visível de que foi modificado pela extensão, ele não disparará nenhum alarme em nenhuma solução de segurança que monitore o tráfego de rede. Aquisição do navegador Para conseguir uma aquisição completa do navegador, o invasor precisa essencialmente converter o navegador Chrome da vítima em um navegador gerenciado. A mesma extensão monitora e intercepta um download legítimo, como uma atualização do Zoom, e o substitui pelo executável do invasor, que contém um token de inscrição e uma entrada de registro para transformar o navegador Chrome da vítima em um navegador gerenciado. Pensando que baixou um atualizador do Zoom, a vítima executa o arquivo, que acaba instalando uma entrada de registro que instrui o navegador a ser gerenciado pelo Google Workspace do invasor. Isso permite que o invasor obtenha controle total sobre o navegador da vítima para desabilitar recursos de segurança, instalar extensões maliciosas adicionais, exfiltrar dados e até mesmo redirecionar silenciosamente os usuários para sites de phishing. Esse ataque é extremamente potente, pois não há diferença visual entre um navegador gerenciado e não gerenciado. Para um usuário comum, não há sinal revelador de que ocorreu uma escalada de privilégios, a menos que a vítima tenha grande consciência de segurança e faça um esforço para inspecionar regularmente as configurações do navegador e procurar associações com uma conta desconhecida do Google Workspace. Sequestro de dispositivo Com o mesmo arquivo baixado acima, o invasor pode inserir adicionalmente entradas de registro necessárias para a extensão maliciosa para enviar mensagens para aplicativos nativos. Isso permite que a extensão interaja diretamente com aplicativos locais sem autenticação adicional. Depois que a conexão é estabelecida, os invasores podem usar a extensão em conjunto com o shell local e outros aplicativos nativos disponíveis para ligar secretamente a câmera do dispositivo, capturar áudio, gravar telas e instalar software malicioso - essencialmente fornecendo acesso total a todos os aplicativos e dados confidenciais no dispositivo. O ataque de syncjacking de navegador expõe uma falha fundamental na maneira como os perfis e navegadores gerenciados remotamente são gerenciados. Hoje, qualquer um pode criar uma conta de workspace gerenciada vinculada a um novo domínio e uma extensão de navegador sem nenhuma forma de verificação de identidade, tornando impossível atribuir esses ataques. Infelizmente, a maioria das empresas atualmente não tem visibilidade alguma do navegador. A maioria não tem navegadores ou perfis gerenciados, nem qualquer visibilidade das extensões que os funcionários instalam, geralmente com base em ferramentas de tendências e recomendações de mídias sociais. O que torna esse ataque particularmente perigoso é que ele opera com permissões mínimas e quase nenhuma interação do usuário, exigindo apenas uma etapa sutil de engenharia social usando sites confiáveis, o que o torna quase impossível de ser detectado pelos funcionários. Embora incidentes recentes como a violação do Cyberhaven já tenham comprometido centenas, se não milhares de organizações, esses ataques exigiram engenharia social relativamente complexa para operar. A natureza devastadoramente sutil desse ataque - com um limite extremamente baixo de interação do usuário - não apenas torna esse ataque extremamente potente, mas também lança luz sobre a possibilidade assustadora de que adversários já estejam usando essa técnica para comprometer empresas hoje. A menos que uma organização opte por bloquear completamente as extensões do navegador por meio de navegadores gerenciados, o ataque de syncjacking do navegador ignorará completamente as listas negras existentes e as políticas baseadas em permissões. Fundador da SquareX diz “Esta pesquisa expõe um ponto cego crítico na segurança empresarial. Ferramentas de segurança tradicionais simplesmente não conseguem ver ou impedir esses ataques sofisticados baseados em navegador. O que torna esta descoberta particularmente alarmante é como ela transforma extensões de navegador aparentemente inocentes em ferramentas completas de aquisição de dispositivos, tudo isso enquanto voa sob o radar de medidas de segurança convencionais como EDRs e SASE/SSE Secure Web Gateways. Uma solução de detecção e resposta de navegador não é mais apenas uma opção - é uma necessidade. Sem visibilidade e controle no nível do navegador, as organizações estão essencialmente deixando sua porta da frente aberta para invasores. Esta técnica de ataque demonstra por que a segurança precisa "mudar" para onde as ameaças estão realmente acontecendo: no próprio navegador.” Vivek Ramachandran A SquareX vem conduzindo pesquisas pioneiras de segurança em extensões de navegador, incluindo a palestra DEF CON 32 que revelou diversas extensões maliciosas compatíveis com MV3. Extensões furtivas: os artistas de fuga do MV3 Esta equipa de investigação foi também a primeira a descobrir e a divulgar a uma semana antes do . A SquareX também foi responsável pela descoberta de ataques, uma nova classe de ataques do lado do cliente que explora falhas arquitetônicas e ignora completamente todas as soluções do Secure Web Gateway. Ataque OAuth em desenvolvedores de extensões do Chrome Violação do Cyberhaven Remontagem da Última Milha Com base nessa pesquisa, a solução de detecção e resposta de navegador pioneira do setor da SquareX protege as empresas contra ataques avançados baseados em extensões, incluindo tentativas de sequestro de dispositivos, conduzindo análises dinâmicas em todas as atividades de extensões do navegador em tempo de execução, fornecendo uma pontuação de risco para todas as extensões ativas na empresa e identificando ainda mais quaisquer ataques aos quais elas possam ser vulneráveis. Para obter mais informações sobre o ataque de sincronização do navegador, descobertas adicionais desta pesquisa estão disponíveis em . sqrx.com/pesquisa Sobre SquareX ajuda organizações a detectar, mitigar e rastrear ataques da web do lado do cliente que acontecem contra seus usuários em tempo real. QuadradoX A solução de detecção e resposta de navegador (BDR) pioneira do setor da SquareX adota uma abordagem focada em ataques à segurança do navegador, garantindo que os usuários corporativos estejam protegidos contra ameaças avançadas, como códigos QR maliciosos, phishing de navegador no navegador, malware baseado em macro e outros ataques da web que abrangem arquivos maliciosos, sites, scripts e redes comprometidas. Além disso, com o SquareX, as empresas podem fornecer aos contratados e trabalhadores remotos acesso seguro a aplicativos internos, SaaS empresarial e converter os navegadores em dispositivos BYOD/não gerenciados em sessões de navegação confiáveis. Contato Chefe de RP Junice Liew QuadradoX junice@sqrx.com Esta história foi distribuída como um release pela Cybernewswire sob o Programa de Blogging Empresarial da HackerNoon. Saiba mais sobre o programa aqui
