Полноэкранная атака BitM, обнаруженная SquareX, использует браузерные полноэкранные API для кражи аккредитаций

PALO ALTO, Калифорния, 29 мая 2025/CyberNewsWire/—Сегодня,SquareXВыпущено новое исследование угроз в отношении продвинутой атаки Browser-in-the-Middle (BitM), направленной на пользователей Safari.

Как подчеркивается вПокупательПротивники все чаще используют атаки BitM для кражи аккредитаций и получения несанкционированного доступа к корпоративным приложениям SaaS.

BitM атаки работают, используя удаленный браузер, чтобы обмануть жертв в взаимодействии с контролируемым злоумышленником браузером через всплывающее окно в браузере жертвы.

Обычная атака BitM включает в себя отображение законной страницы входа в корпоративное приложение SaaS, обманывая жертв в раскрытии идентификационных данных и другой конфиденциальной информации, думая, что они проводят работу в обычном окне браузера.

Несмотря на это, один из недостатков, который атаки BitM всегда имели, был тот факт, что материнское окно все равно отображало вредоносный URL, делая атаку менее убедительной для пользователя, осведомленного о безопасности.

Тем не менее, как частьГод браузерных ошибок(YOBB) в рамках проектаSquareXИсследовательская группа подчеркивает основную ошибку в реализации, специфическую для Safari, с использованием Fullscreen API.

В сочетании с BitM, эта уязвимость может быть использована для создания чрезвычайно убедительной атаки BitM на полный экран, где окно BitM открывается в режиме полного экрана, так что никаких подозрительных URL-адресов из материнского окна не видно.

Пользователи Safari особенно уязвимы к этой атаке, так как нет четкого визуального показателя того, что пользователи входят в полный экран.Мы раскрыли эту уязвимость в Safari и, к сожалению, были проинформированы о том, что нет плана для решения проблемы.

В текущем полноэкранном API указано, что «пользователь должен взаимодействовать с страницей или элементом интерфейса пользователя, чтобы эта функция могла работать».

Следовательно, злоумышленники могут легко вставить любую кнопку – например, фальшивую кнопку входа – в всплывающее окно, которое вызывает API полного экрана при нажатии.

«Полноэкранная атака BitM подчеркивает архитектурные и конструктивные недостатки в браузерных API, в частности в полноэкранном API», — говорят исследователи SquareX, «пользователи могут невольно нажать на фальшивую кнопку и запустить полноэкранное окно BitM, особенно в Safari, где нет уведомления, когда пользователь входит в полноэкранный режим.

«Полноэкранная атака BitM подчеркивает архитектурные и конструктивные недостатки в браузерных API, в частности в полноэкранном API», — говорят исследователи SquareX, «пользователи могут невольно нажать на фальшивую кнопку и запустить полноэкранное окно BitM, особенно в Safari, где нет уведомления, когда пользователь входит в полноэкранный режим.

В то время как атаки BitM в основном использовались для кражи аккредитаций, токенов сеанса и данных приложений SaaS, полноэкранный вариант имеет потенциал привести к еще большему ущербу, сделав атаку незаметной для большинства обычных корпоративных пользователей.

Например, на целевом сайте может быть кнопка, которая претендует на ссылку на правительственный ресурс и открывает фальшивую страницу правительственных консультаций, чтобы распространять дезинформацию и даже собирать конфиденциальную компанию и личную информацию (PII).

Жертва может даже впоследствии открыть дополнительные вкладки в окне, контролируемом злоумышленником, что позволяет противникам полностью контролировать активность просмотра жертвы.

Полноэкранное окно BitM, отображающее законную страницу входа Figma и URL в адресной строке (Отказ от ответственности: Figma используется в качестве иллюстративного примера)

Другие браузеры уязвимы для атак BitM на полный экран?

В отличие от Safari, Firefox, Chrome, Edge и других браузеров на базе Chromium отображают сообщение пользователя при переходе в режим полного экрана. Однако это уведомление чрезвычайно тонкое и временное по своему характеру - большинство сотрудников могут не заметить или зарегистрировать это как подозрительный знак.

Кроме того, злоумышленник может использовать темные режимы и цвета, чтобы сделать уведомление еще менее заметным.Наоборот, Safari не имеет требования к отправлению сообщений - единственным визуальным признаком входа в полноэкранный режим является анимация «прокрутки».

Таким образом, в то время как атака не показывает четких визуальных подсказок в браузерах Safari, другие браузеры также подвержены той же уязвимости Fullscreen API, которая делает возможным атаку Fullscreen BitM.

Существующие решения безопасности не могут обнаружить атаки BitM на полный экран

К сожалению, EDR имеют нулевую видимость в браузере и зарекомендовали себя как устаревшие, когда дело доходит до обнаружения любой атаки BitM, тем более его более продвинутого варианта полного экрана.

Кроме того, оркестрирование атаки с помощью технологий, таких как удаленный браузер и пиксельное нажатие, также позволит ему обойти обнаружение SASE/SSE, устранив любой подозрительный локальный трафик.

Таким образом, поскольку фишинговые атаки становятся более сложными, чтобы использовать архитектурные ограничения браузерных API, которые либо не могут быть устранены, либо потребуется значительное время, чтобы исправить поставщики браузеров, критически важно, чтобы предприятия переосмыслили свою стратегию защиты, чтобы включить в браузер продвинутые атаки, такие как Fullscreen BitM.

Чтобы узнать больше об этом исследовании безопасности, пользователи могут посетитьhttps://sqrx.com/fullscreen-bitm.

Исследовательская группа SquareX также проводит вебинар 5 июня, 10 утра PT/1pm ET, чтобы углубиться в полную цепочку атак.здесь.

О SquareX

SquareXЭто новаторская система обнаружения и реагирования браузера (BDR), которая позволяет организациям активно обнаруживать, смягчать и эффективно преследовать атаки со стороны клиентов.

SquareX обеспечивает критическую защиту от широкого спектра угроз безопасности браузера, включая вредоносные расширения браузера, продвинутый spearphishing, браузерно-внутреннее вымогательство, genAI DLP и многое другое.

В отличие от традиционных подходов к безопасности и сложных корпоративных браузеров, SquareX беспрепятственно интегрируется с существующими потребительскими браузерами пользователей, обеспечивая повышенную безопасность без ущерба для пользовательского опыта или производительности.

Предоставляя беспрецедентную видимость и контроль непосредственно в браузере, SquareX позволяет лидерам безопасности уменьшить свою поверхность атаки, получить действенную разведку и укрепить свою корпоративную позицию в области кибербезопасности против новейшего вектора угроз - браузера.www.sqrx.com на сайте.

Полный экран BitM Attack раскрытие является частьюГод браузерных ошибокКаждый месяц исследовательская группа SquareX выпускает крупную веб-атаку, которая фокусируется на архитектурных ограничениях браузера и существующих решениях безопасности.браузер синхронизация,Полиморфные расширенияиБраузер-Native Ransomware.

Чтобы узнать больше о BDR SquareX, пользователи могут связаться с SquareX по адресу:на сайте [email protected]Для публикаций в прессе об этом раскрытии или Годе браузерных ошибок пользователи могут отправить электронную почту по адресу:юноша@sqrx.com.

Контакт

Руководитель PR

Юниз Лив

SquareX

юноша@sqrx.com

Эта история была опубликована в пресс-релизе Cybernewswire в рамках программы HackerNoon Business Blogging Program.