Nauja ataka, vadinama „naršyklės sinchronizavimu“, parodo galimybę naudoti iš pažiūros gerybinį „Chrome“ plėtinį, kad būtų galima perimti aukos įrenginį.
Naujasis atakos metodas, kurį atrado „Schoatx“ saugos tyrinėtojai, apima kelis veiksmus, įskaitant „Google“ profilio užgrobimą, naršyklės užgrobimą ir galiausiai įrenginių perėmimą.
Nepaisant daugiapakopio proceso, ataka yra slapta, reikalauja minimalių leidimų ir beveik jokios kitos aukos sąveikos, išskyrus įdiegti tai, kas atrodo teisėta chromo pratęsimas.
Sinchronizavimo fazės
Ataka prasideda sukuriant kenksmingą „Google Workspace“ domeną, kuriame užpuolikas nustato kelis vartotojo profilius su saugos funkcijomis, tokiomis kaip daugiafakto autentifikavimas išjungtas. Šis darbo vietos domenas bus naudojamas fone, norint sukurti valdomą aukos įrenginio profilį.
Tada „Chrome“ internetinėje parduotuvėje skelbiamas naršyklės plėtinys, sukurtas kaip naudingas įrankis su teisėtu funkcionalumu.
Naudodamas socialinę inžineriją, užpuolikas apgaudinėja auką įdiegti plėtinį, kuris tada tyliai prisijungia prie vieno iš užpuoliko valdomų „Google“ darbo vietos profilių paslėptame naršyklės lange, veikiančiame fone.
Tada plėtinys atidaro teisėtą „Google“ palaikymo puslapį. Kadangi jis skaitė ir rašo privilegijas tinklalapiuose, jis įšvirkščia į puslapį turinį, nurodydamas vartotojui įjungti „Chrome Sync“.
Šaltinis: „Squarex“
Kai sinchronizavus, visi saugomi duomenys, įskaitant slaptažodžius ir naršymo istoriją, tampa prieinami užpuolikai, kurie dabar gali naudoti pažeistą profilį savo įrenginyje.
Šaltinis: „Squarex“
Valdant aukos profilį, užpuolikas pereina perimti naršyklę, kuri, „Squarex“ demonstracinėje versijoje, atliekamas padirbtame mastelio keitimo atnaujinime.
Šaltinis: „Squarex“
Scenarijuje, kurį pabrėžė tyrėjai, asmuo gali gauti kvietimą į mastelio keitimo keitimą, o spustelėjęs jį ir eikite į „Zoom“ tinklalapį, plėtinys vietoj to investuos kenksmingą turinį, kuriame teigiama, kad „Zoom“ klientą reikia atnaujinti.
Tačiau šis atsisiuntimas yra vykdomas failas, kuriame yra registracijos prieigos raktas, suteikiantis užpuolikams visiškai valdyti aukos naršyklę.
„Įsiregistravus užpuolikas įgyja visišką aukos naršyklės valdymą, leisdamas jiems tyliai pasiekti visas žiniatinklio programas, įdiegti papildomus kenkėjiškus plėtinius, nukreipti vartotojus į sukčiavimo svetaines, stebėti/modifikuoti failų atsisiuntimus ir daug daugiau“, – aiškina „SquareX“ tyrėjai.
Pasitelkdamas „Chrome“ vietinių pranešimų API, užpuolikas gali sukurti tiesioginį ryšio kanalą tarp kenksmingo pratęsimo ir aukos operacinės sistemos.
Tai leidžia jiems naršyti katalogus, modifikuoti failus, įdiegti kenkėjišką programą, vykdyti savavališkas komandas, fiksuoti klavišų paspaudimus, išgauti neskelbtinus duomenis ir netgi suaktyvinti internetinę kamerą bei mikrofoną.
Šaltinis: „Squarex“
„Squarex“ pabrėžia slaptą ir stiprų atakos pobūdį, pabrėždamas, kaip sunku daugumai vartotojų suvokti, kad kažkas neveikia.
„Skirtingai nuo ankstesnių pratęsimo atakų, kuriose dalyvauja sudėtinga socialinė inžinerija, priešininkams reikia tik minimalių leidimų ir nedidelio socialinės inžinerijos žingsnio, beveik nereikia jokios sąveikos su vartotoju, kad ši ataka įvykdyti“, – aprašoma ataskaita.
„Jei auka nėra labai paranojiška saugumo ir yra pakankamai išmanus, kad nuolat naršytų„ Chrome “parametrus, kad ieškotų valdomų naršyklės etikečių, nėra jokių realių vaizdinių požymių, kad naršyklė buvo užgrobta.”
Chromo pratęsimai dažnai suvokiami kaip izoliuota rizika, tačiau naujausi įvykiai, tokie kaip užgrobimų banga, daranti įtaką teisėtiems milijonams naudojamų pratęsimų, pasirodė kitaip.
„Bleepingcomputer“ susisiekė su „Google“ dėl naujos atakos ir atnaujins mūsų istoriją, jei gausime atsakymą.
