Browser Syncjacking: Novi napad preko ekstenzija pretraživača ugrožava milione korisnika

Vesti, 31.01.2025, 11:00 AM

Browser Syncjacking: Novi napad preko ekstenzija pretraživača ugrožava milione korisnika

Tim istraživača bezbednosti iz kompanije SquareX otkrio je novu tehniku hakovanja pomoću koje hakeri mogu u potpunosti preuzeti korisnikov veb pretraživač i, na kraju, i ceo uređaj. Iako je reč o višestepenom procesu, napad je prikriven, zahteva minimalne dozvole i gotovo nikakvu interakciju sa žrtvom osim da instalira ono što izgleda kao legitimna ekstenzija za Chrome.

Ekstenzije pretraživača se već dugo smatraju kritičnom pretnjom bezbednosti preduzeća. Ali većina dosadašnjih napada prvenstveno se odnosila na eksfiltraciju podataka ili neovlašćeni pristup određenim veb aplikacijama. Smatralo se da je preko ekstenzija nemoguće dobiti potpunu kontrolu nad pretraživačem, a još manje nad uređajem, zbog načina na koji su podsistemi ekstenzija dizajnirani.

Međutim, istraživači iz SquareX-a pokušali su da ospore ovu tezu i uspeli su. Novi napad pod nazivom Browser Syncjacking demonstrira mogućnost korišćenja naizgled benigne Chrome ekstenzije za preuzimanje uređaja žrtve.

SqaureX kaže da je ovo najmoćniji napad preko ekstenzija koji je do sada otkriven i da predstavlja seizmičku promenu u načinu na koji će preduzeća posmatrati ekstenzije kao vektor pretnje. Osim toga, milioni korisnika su u opasnosti, kažu istraživači.

Napad počinje kreiranjem Google Workspace domena gde napadač postavlja više korisničkih profila sa isključenim bezbednosnim funkcijama kao što je višefaktorska autentifikacija (MFA) za ove profile. Socijalni inženjering zatim usmerava korisnika na zlonamernu ekstenziju, koja ima samo osnovne mogućnosti čitanja/pisanja kao i neke od najpopularnijih ekstenzija. Žrtva, čini se, nema razloga za sumnju i instalira ekstenziju, koja je zatim krišom prijavljuje na jedan od napadačevih Google Workspace profila u skrivenom prozoru pregledača koji radi u pozadini.

Ekstenzija zatim otvara legitimnu stranicu za Google podršku. Pošto ima privilegije za čitanje i pisanje za veb stranice, ona ubacuje sadržaj na stranicu, govoreći korisniku da omogući Chrome sinhronizaciju. Kada se sinhronizuju, svi sačuvani podaci, uključujući lozinke i istoriju pretraživanja, su dostupni napadaču, koji sada može da koristi kompromitovani profil na svom uređaju.

Sa žrtvinim profilom pod kontrolom, napadač može da preuzme pretraživač, što se, u slučaju istraživača iz SquareX-a, desilo putem lažnog ažuriranja Zooma. U scenariju istraživača, žrtva može dobiti pozivnicu za Zoom, a kada klikne na nju i ode na Zoom veb stranicu, ekstenzija će ubaciti zlonamerni sadržaj navodeći da Zoom treba da se ažurira. Umesto ažuriranja, preuzima se izvršni fajl koji sadrži token koji daje napadačima potpunu kontrolu nad pretraživačem žrtve.

„Kada se registruje, napadač dobija potpunu kontrolu nad pretraživačem žrtve, što mu omogućava da tiho pristupa svim veb aplikacijama, instalira dodatne zlonamerne ekstenzije, preusmerava korisnike na sajtove za phishing, nadgleda/modifikuje preuzimanja fajlova i još mnogo toga“, rekli su istraživači SquareX-a.

Korišćenjem Chromeovog Native Messaging API-ja, napadač može da uspostavi direktan komunikacioni kanal između ekstenzije i operativnog sistema žrtve. To mu omogućava da pretražuje direktorijume, menja fajlove, instalira malvere, izvršava proizvoljne komande, snima pritisak na tastere, eksfiltrira osetljive podatke, pa čak i aktivira veb kameru i mikrofon.

Za razliku od ranijih napada preko ekstenzija pretraživača, u slučaju ovakvog napada, „osim ako žrtva nije krajnje bezbednosno paranoična i tehnički dovoljno pametna“, većini korisnika bilo bi teško da shvate da nešto nije u redu „jer nema vizuelnih indikacija da je pretraživač otet“, upozorili su istraživači.

Foto: schoithramani | Pixabay


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje