Browser Syncjacking napad koristi Chrome proširenja

AUTOR ·

Sigurnosni istraživači kompanije SquareX su otkrili podmukli novi metod napada poznat kao Browser Syncjacking. Ova prikrivena tehnika iskorištava Chrome Native Messaging API da bi stekla kontrolu nad pregledačima i operativnim sistemima žrtava, pretvarajući ih u nesvjesne saučesnike u bezbroj zlonamjernih aktivnosti.

Syncjacking

Browser Syncjacking napad koristi Chrome proširenja; Source: Bing Image Creator

BROWSER SYNCJACKING

Browser Syncjacking je moguć kroz Chrome Native Messaging API zloupotrebu. Ovaj API omogućava direktnu komunikaciju između zlonamjernog proširenja (eng. extension) i operativnog sistema žrtve. Kada se uspostavi, ovaj kanal omogućava zlonamjernom akteru da obavlja različite zlonamjerne aktivnosti kao što su pregledanje direktorijuma, modifikovanje datoteka, instaliranje zlonamjernog softvera, izvršavanje proizvoljnih komandi, hvatanje pritisaka na tastere, izdvajanje osjetljivih podataka, aktiviranje internet kamera i mikrofona, između ostalog.

Skrivena priroda ovog napada je jedan od njegovih aspekata koji najviše zabrinjavaju. Za razliku od prethodnih napada proširenja koji su zahtijevali razrađeni društveni inženjering, zlonamjernom akteru su potrebne samo minimalne dozvole i mali korak društvenog inženjeringa da bi izvršilo Browser Syncjacking napad bez potrebe za skoro nikakvom interakcijom korisnika. Osim ako žrtva nije izuzetno svjesna sigurnosti i dovoljno tehnički potkovana da se kreće po Chrome podešavanjima i neprestano traži znakove upravljanog pregledača, nema stvarne vizuelne indikacije da je pregledač otet.

 

Funkcionisanje

U pripremi za Browser Syncjacking napad, zlonamjerni akter izvodi nekoliko koraka. Prvo, kreira zlonamjerni Google Workspace domen i registruje Google Workspace nalog povezan sa ovim domenom. Nakon toga, pod ovim Google Workspace nalogom se kreira više korisničkih profila, sa onemogućenim bezbjednosnim funkcijama kao što je autentifikacija u više koraka (eng. multi-factor authentication – MFA) za ove profile. Zlonamjerni akter zatim razvija funkcionalnu ekstenziju pregledača, koju objavljuje u Chrome prodavnici. Ovo zlonamjerno proširenje je dizajnirano da preuzme akreditive ranije kreiranih profila i kasnije će ga žrtva nesvjesno koristiti. Ekstenzija izgleda bezopasno, jer ima samo osnovne mogućnosti čitanja/pisanja slične popularnim ekstenzijama kao što su Grammarly, Loom ili Calendly.

Kroz različite tehnike društvenog inženjeringa, korisnik otkriva ovo zlonamjerno proširenje u Chrome prodavnici. S obzirom na njegovu naizgled bezazlenu prirodu i prisustvo osnovnih funkcionalnosti, žrtva instalira ekstenziju bez ikakve sumnje da je zlonamjerna. Vremenom, kako se žrtva vraća svojoj svakodnevnoj rutini, prisustvo ekstenzije blijedi u pozadinu.

U tom trenutku Browser Syncjacking napad počinje kompromitacijom korisničkog profila. U demonstraciji sigurnosnih istraživača kompanije SquareX, ovo je izvedeno putem lažnog ažuriranja aplikacije Zoom. Žrtva koja primi Zoom pozivnicu i klikne na nju, bude usmjerena na Zoom internet stranicu. Međutim, umjesto da preuzmu stvarnu ispravku, oni nesvjesno preuzimaju izvršnu datoteku koja sadrži token za upis, dajući zlonamjernim akterima potpunu kontrolu nad njihovim pregledačem. Kada se jednom registruje, zlonamjerni akter dobija potpunu kontrolu nad pretraživačem žrtve, omogućavajući im da tiho pristupaju svim internet aplikacijama, instaliraju dodatna zlonamjerna proširenja, preusmjeravaju korisnike na phishing lokacije, nadgledaju/modifikuju preuzimanja datoteka i obavljaju brojne druge zlonamjerne aktivnosti. Zlonamjerni akteri mogu čak da manipulišu rezultatima pretrage korisnika, izlažući ih potencijalno štetnom sadržaju ili phishing pokušajima.

Štaviše, korišćenjem Chrome Native Messaging API okruženja, zlonamjerni akter uspostavlja direktan komunikacioni kanal između zlonamjernog proširenja i operativnog sistema žrtve. Ovo mu omogućava da pretražuju direktorijume, mijenja datoteke, instalira zlonamjerni softver, izvršava proizvoljne komande, snima pritisak na tastere, izdvajaju osjetljive podatke, aktiviraju internet kameru i mikrofon, između ostalih radnji. Skrivena priroda ovog napada otežava većini korisnika da shvate da nešto nije u redu.

 

Uticaj

Implikacije ove tehnike napada su duboke, jer pokazuje kako ulazna vrata organizacija ostaju širom otvorena potencijalnim zlonamjernim akterima bez adekvatne vidljivosti i kontrole na nivou pretraživača. Preuzimanjem pretraživača putem sinhronizacije, zlonamjerni akteri mogu da dobiju pristup osjetljivim korporativnim podacima, da manipulišu poslovnim procesima ili čak da se infiltriraju u interne mreže radi dalje eksploatacije.

Browser Syncjacking napad funkcioniše sa minimalnim dozvolama i malo interakcije korisnika, što ga čini skoro nemogućim za otkrivanje. To zahteva samo suptilan korak društvenog inženjeringa koristeći pouzdane internet stranice, dodatno kamuflirajući svoju zlonamjernu namjeru. Ovo čini napad posebno opasnim jer zaobilazi postojeće crne liste i politike zasnovane na dozvolama.

Štaviše, pošto se Chrome proširenja često doživljavaju kao izolovani rizici, nedavni događaji poput masovnih otmica koje utiču na legitimne ekstenzije koje koriste milioni su dokazali suprotno. Ovo naglašava potrebu za povećanom budnošću i proaktivnim mjerama za zaštitu od takvih prijetnji. Pomjeranje bezbjednosnog fokusa ka tome gdje se stvarne prijetnje javljaju – unutar samih pretraživača – postaje sve važnije.

Kompanija Google je obaviještena u u vezi sa ovim novim napadom, ali još uvijek nema odgovora. Sada ostaje da se vidi kako će se organizacije pozabaviti ovim problemima i zaštititi svoju korisničku bazu od ovakvih prijetnji u budućnosti. U međuvremenu, korisnicima se savjetuje da daju prioritet digitalnoj bezbjednosti i usvoje najbolje prakse kako bi minimizirali rizik da postanu žrtva sinhronizacije pretraživača ili sličnih napada.

 

ZAKLJUČAK

Browser Syncjacking napad je najnovija prijetnja koja koristi tehniku skrivene infiltracije omogućavajući zlonamjernim akterima da preuzmu kontrolu nad cijelim uređajima direktno preko internet pregledača. Način funkcionisanja ovog napada je zabrinjavajući, jer demonstrira koliko će zlonamjerni akteri ići da iskoriste ranjivosti i ukradu osjetljive korisničke podatke.

Na prvi pogled može izgledati da je Browser Syncjacking samo evolucija prethodnih napada međutim, njegove krajnje posljedice su daleko razornije. Srž ovog napada leži u instalaciji zlonamjernog proširenja pretraživača. Ovaj naizgled bezazleni dodatak pretraživaču služi kao trojanski konj, omogućavajući zlonamjernim akterima da dobiju pristup i naprave haos na uređajima korisnika koji ništa ne sumnjaju. Tajna priroda ovih ekstenzija čini ih posebno opasnim, jer mogu da rade neotkriveno tokom dužeg perioda, prikupljajući vrijedne podatke i čekajući svoj trenutak da udare.

Browser Syncjacking napad je dobar podsjetnik da su internet pregledači, koji su nekada smatrani samo kapijama ka internetu, postali glavne mete zlonamjernih aktera. Ovi digitalni portali se sada koriste za sve, od internet bankarstva do društvenih medija, što ih čini neprocjenjivim repozitorijima ličnih i finansijskih informacija. Kao takvi, oni predstavljaju neodoljiv mamac za one koji žele da iskoriste ranjivosti i otmu korisničke podatke. Težina Browser Syncjacking napada ne može se precijeniti. Potencijalna šteta koju može da nanese potrošačkim uređajima je ogromna, u rasponu od krađe identiteta i finansijskog gubitka do kompromitovanja osjetljivih korporativnih informacija. U eri u kojoj prijetnje sajber bezbjednosti postaju sve sofisticiranije i sveprisutnije, ovaj najnoviji razvoj služi kao otrežnjujući podsjetnik da organizacije moraju dati prioritet bezbjednosnim mjerama na svakom nivou – posebno u samim internet pregledačima.

Ovo je samo jedan primjer od bezbroj načina na koje su zlonamjerni akteri iskoristili različite Google usluge za sajber napade. Ovaj trend naglašava hitnu potrebu za oprezom i proaktivnim odbrambenim strategijama za zaštitu od takvih prijetnji. Organizacije moraju da investiraju u robusne mjere bezbjednosti, da obrazuju svoje zaposlene o potencijalnim rizicima i da budu u toku sa novim tehnikama napada kako bi efikasno zaštitile svoju digitalnu imovinu. Ulaganjem u robusne odbrambene strategije, edukacijom zaposlenih o potencijalnim rizicima i informisanjem o novim prijetnjama, moguće je nadati se da će se ublažiti šteta uzrokovana napadima kao što je Browser Syncjacking i obezbijediti sigurnija digitalna budućnost za sve.

 

ZAŠTITA

Kako bi se korisnici i organizacije zaštitili od prijetnje Browser Syncjacking napada koji koristi Chrome proširenja, neophodno je primijeniti kombinaciju standardnih i sofisticiranih bezbjednosnih mjera. U nastavku slijedi nekoliko koraka osmišljenih da pojačaju bezbjednost internet pregledača:

  1. Instalirati Chrome proširenja samo iz pouzdanih izvora kao što je Google prodavnica ili druge renomirane platforme. Primjenjivati oprez sa bilo kojim neprovjerenim ili nejasnim dobavljačima proširenja, jer oni mogu imati zlonamjerne namjere;
  2. Redovno ažurirati internet pregledač (Chrome, Firefox, Edge, Safari i drugi) kako bi se osiguralo da je opremljen najnovijim ispravkama i bezbjednosnim poboljšanjima. Ovo će pomoći u zaštiti od svih novootkrivenih ranjivosti koje bi zlonamjerni akteri potencijalno mogli da iskoriste;
  3. Redovno provjeravati dozvole date instaliranim Chrome proširenjima. Uvjeriti se da su u skladu sa njihovom predviđenom funkcionalnošću, jer pretjerane dozvole ili nepotreban pristup može predstavljati bezbjednosni rizik;
  4. Ograničiti broj instaliranih proširenja. Što je više proširenja pregledača instalirano, veći je rizik od ugrožavanja bezbjednosti. Pokušati ograničiti broj aktivnih proširenja u internet pregledaču i zadržati samo ona koja su neophodna za svakodnevnu upotrebu;
  5. Primjenjivati oprez prilikom omogućavanja Chrome sinhronizacije ili druge slične funkcije, jer one mogu pružiti priliku zlonamjernim akterima da dobiju pristup osjetljivim podacima uskladištenim na korisničkom nalogu;
  6. Primjena autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) dodaje još jedan sloj zaštite zahvaljujući i lozinku i verifikacioni kôd koji se šalju na mobilni uređaj prilikom prijave. To znatno otežava zlonamjernim akterima da steknu neovlašteni pristup korisničkim nalozima;
  7. Koristiti jake, složene i jedinstvene lozinke za svaki nalog da bi se spriječili potencijalni napadi ugrožavanja akreditiva. Razmisliti o korišćenju menadžera lozinki koji mogu biti od pomoći prilikom generisanja i čuvanja ovih sigurnosnih akreditiva;
  8. Izbjegavati klikove na sumnjive ili nepoznate veze, posebno one koje se nalaze u elektronskim porukama ili porukama društvenih medija. Ovo bi potencijalno moglo dovesti do zlonamjernih internet lokacija koje bi mogle da pokušaju Browser Syncjacking napad;
  9. Mnoge zlonamjerne internet lokacije koriste automatsku reprodukciju video zapisa ili audio datoteka kao sredstvo za iniciranje napada. Uvjeriti se da su podešavanja pregledača konfigurisana da blokiraju automatsku reprodukciju medijskog sadržaja na internet stranicama;
  10. Razmisliti o dodavanju dodatnog sloja zaštite instalacijom pouzdanog bezbjednosnog proširenja kao što je AdBlock Plus ili uBlock Origin. Ove ekstenzije mogu pomoći u blokiranju zlonamjernog sadržaja i sprečavanju napada u prolazu (eng. drive-by download attacks), čime se dodatno štit pregledač od potencijalnih napada.
  11. Informisati se o najnovijim bezbjednosnim prijetnjama i najboljim praksama za zaštitu internet pregledača od napada kao što je Browser Syncjacking. Takođe, pratiti informacije o novim ranjivostima otkrivenim u Chrome proširenjima ili drugim internet pregledačima, kako kako bi se mogle preduzeti odgovarajuće mjere da se zaštitite aktivnosti na mreži.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.