Browser Syncjacking: Novi napad preko ekstenzija pretraživača ugrožava milione korisnika

Vesti, 31.01.2025, 11:00 AM

Browser Syncjacking: Novi napad preko ekstenzija pretraživača ugrožava milione korisnika

Tim istraživača bezbednosti iz kompanije SquareX otkrio je novu tehniku hakovanja pomoću koje hakeri mogu u potpunosti preuzeti korisnikov veb pretraživač i, na kraju, i ceo uređaj. Iako je reč o višestepenom procesu, napad je prikriven, zahteva minimalne dozvole i gotovo nikakvu interakciju sa žrtvom osim da instalira ono što izgleda kao legitimna ekstenzija za Chrome.

Ekstenzije pretraživača se već dugo smatraju kritičnom pretnjom bezbednosti preduzeća. Ali većina dosadašnjih napada prvenstveno se odnosila na eksfiltraciju podataka ili neovlašćeni pristup određenim veb aplikacijama. Smatralo se da je preko ekstenzija nemoguće dobiti potpunu kontrolu nad pretraživačem, a još manje nad uređajem, zbog načina na koji su podsistemi ekstenzija dizajnirani.

Međutim, istraživači iz SquareX-a pokušali su da ospore ovu tezu i uspeli su. Novi napad pod nazivom Browser Syncjacking demonstrira mogućnost korišćenja naizgled benigne Chrome ekstenzije za preuzimanje uređaja žrtve.

SqaureX kaže da je ovo najmoćniji napad preko ekstenzija koji je do sada otkriven i da predstavlja seizmičku promenu u načinu na koji će preduzeća posmatrati ekstenzije kao vektor pretnje. Osim toga, milioni korisnika su u opasnosti, kažu istraživači.

Napad počinje kreiranjem Google Workspace domena gde napadač postavlja više korisničkih profila sa isključenim bezbednosnim funkcijama kao što je višefaktorska autentifikacija (MFA) za ove profile. Socijalni inženjering zatim usmerava korisnika na zlonamernu ekstenziju, koja ima samo osnovne mogućnosti čitanja/pisanja kao i neke od najpopularnijih ekstenzija. Žrtva, čini se, nema razloga za sumnju i instalira ekstenziju, koja je zatim krišom prijavljuje na jedan od napadačevih Google Workspace profila u skrivenom prozoru pregledača koji radi u pozadini.

Ekstenzija zatim otvara legitimnu stranicu za Google podršku. Pošto ima privilegije za čitanje i pisanje za veb stranice, ona ubacuje sadržaj na stranicu, govoreći korisniku da omogući Chrome sinhronizaciju. Kada se sinhronizuju, svi sačuvani podaci, uključujući lozinke i istoriju pretraživanja, su dostupni napadaču, koji sada može da koristi kompromitovani profil na svom uređaju.

Sa žrtvinim profilom pod kontrolom, napadač može da preuzme pretraživač, što se, u slučaju istraživača iz SquareX-a, desilo putem lažnog ažuriranja Zooma. U scenariju istraživača, žrtva može dobiti pozivnicu za Zoom, a kada klikne na nju i ode na Zoom veb stranicu, ekstenzija će ubaciti zlonamerni sadržaj navodeći da Zoom treba da se ažurira. Umesto ažuriranja, preuzima se izvršni fajl koji sadrži token koji daje napadačima potpunu kontrolu nad pretraživačem žrtve.

„Kada se registruje, napadač dobija potpunu kontrolu nad pretraživačem žrtve, što mu omogućava da tiho pristupa svim veb aplikacijama, instalira dodatne zlonamerne ekstenzije, preusmerava korisnike na sajtove za phishing, nadgleda/modifikuje preuzimanja fajlova i još mnogo toga“, rekli su istraživači SquareX-a.

Korišćenjem Chromeovog Native Messaging API-ja, napadač može da uspostavi direktan komunikacioni kanal između ekstenzije i operativnog sistema žrtve. To mu omogućava da pretražuje direktorijume, menja fajlove, instalira malvere, izvršava proizvoljne komande, snima pritisak na tastere, eksfiltrira osetljive podatke, pa čak i aktivira veb kameru i mikrofon.

Za razliku od ranijih napada preko ekstenzija pretraživača, u slučaju ovakvog napada, „osim ako žrtva nije krajnje bezbednosno paranoična i tehnički dovoljno pametna“, većini korisnika bilo bi teško da shvate da nešto nije u redu „jer nema vizuelnih indikacija da je pretraživač otet“, upozorili su istraživači.

Foto: schoithramani | Pixabay


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako države koriste sajber kriminal za svoje ciljeve

Kako države koriste sajber kriminal za svoje ciljeve

Sajber kriminal nastavlja da se širi i razvija i postaje pretnja na nivou nacionalne bezbednosti, sa sve više napada grupa koje sponzorišu države,... Dalje

Istraživači otkrili da nijedan YouTube nalog nije privatan i da je moguće doći do email adresa svih korisnika YouTubea

Istraživači otkrili da nijedan YouTube nalog nije privatan i da je moguće doći do email adresa svih korisnika YouTubea

Google je sa 10.633 dolara nagradio istraživače bezbednosti koji su pokazali da na YouTubeu nema zaista privatnih naloga. Oni su otkrili da se uz po... Dalje

Microsoft Edge ima novu AI funkciju za zaštitu od scareware-a u realnom vremenu

Microsoft Edge ima novu AI funkciju za zaštitu od scareware-a u realnom vremenu

Microsoft Edge 133 koji se trenutno isporučuje korisnicima širom sveta donosi nekoliko poboljšanja, uključujući novu funkciju blokiranja program... Dalje

Stručnjaci upozoravaju na talas lažnih DeepSeek sajtova koji kradu podatke za prijavljivanje i kriptovalutu

Stručnjaci upozoravaju na talas lažnih DeepSeek sajtova koji kradu podatke za prijavljivanje i kriptovalutu

Desetine lažnih DeepSeek veb sajtova koriste se za krađu kriptovaluta, phishing i prevare, upozorava Bitdefender. Istraživač Dominik Alvijeri otkr... Dalje

MUP apelovao na građane da budu oprezni zbog sve češćih pokušaja prevara na internetu

MUP apelovao na građane da budu oprezni zbog sve češćih pokušaja prevara na internetu

Ministarstvo unutrašnjih poslova Republike Srbije, Služba za borbu protiv visokotehnološkog kriminala i Posebno odelјenje za borbu protiv visokote... Dalje