Hackeri sa naučili, ako ti cez Chrome môžu ukradnúť prihlasovacie údaje k tvojmu Google účtu. Toto je nový trik, ktorý používajú
Bezpečnostní analytici upozorňujú na mimoriadne nebezpečný OAuth útok na prehliadače.
Bezpečnostní analytici zo SquareX informujú o prebiehajúcej vlne útokov, ktoré zneužívajú OAuth systém na prehliadačoch Chrome. Kvôli tejto vlne útokov sa rozšírenia prehliadača stali kritickou hrozbou pre bezpečnosť nielen pre užívateľov, ale aj vývojárov.
Väčšina OAuth útokov sa zameriavali na získavanie citlivých dát alebo na neautorizovaný prístup k špecifickým webovým aplikáciám. Bezpečnostní experti predpokladali, že je nemožné získať plnú kontrolu nad prehliadačom a ešte menšia šanca je, že kyberzločinec získa prístup k zariadeniu len cez rozšírenie prehliadača.
V rámci novej analýzy demonštrujú, že potenciálny kyberzločinec skutočne dokáže cez rozšírenie prehliadača získať prístup k prehliadaču a zariadeniu obete. Analytikov zarazilo nielen to, že je niečo takéto možné, no že na prebratie plnej kontroly nad prehliadačom a zariadením sa vyžadujú len základné schopnosti, ktoré sa nachádzajú v takmer všetkých prehliadačoch.
Ukradnutie prehliadača a zariadenia bezpečnostní analytici označujú ako syncjacking útok.
Ako syncjacking prebieha?
Prvá fáza útoku sa pokúša prihlásiť obeť do Chrome profilu, ktorý je kontrolovaný útočníkom. Hacker vytvorí doménu a registruje Google Workspace účet na túto doménu. Následne vytvorí niekoľko užívateľských profilov, ktoré sa nachádzajú pod Google Workspace účtom. Popri tom vypína bezpečnostné funkcie, napríklad dvojfaktorové overenie.
Neprehliadni
V ďalšom kroku vytvára útočník funkčné prehliadačové rozšírenie a publikuje ho v obchode. Neskôr toto rozšírenie poslúži ako médium, cez ktoré získa hacker prihlasovacie údaje.
Druhá fáza útoku slúži hackerom na manipuláciu obetí. Prostredníctvom niekoľkých mechanizmov hacker zaistí, aby sa obeť dostala k jeho nebezpečnému rozšíreniu. Keď si obeť rozšírenie stiahne, toto rozšírenie skutočne funguje tak ako má. Kvôli tomu miznú akékoľvek pochybnosti, ktoré by mohla obeť útoku mať. Čo sa samotného rozšírenia týka, to potrebuje len základnú schopnosť čítať a zapisovať dáta. Túto schopnosť má väčšina rozšírení, čo opäť nevzbudzuje žiadnu pozornosť.
V nasledujúcej fáze útoku sa rozšírenie pripája na doménu hackera. Popri tom získava prihlasovacie údaje a vykonáva relevantné kroky v rámci OAuth funkcie na prihlásenie obete do jedného z falošných vytvorených Workspace účtov. Užívateľ je v tomto momente prihlásení do profilu, ktorý plne ovláda kyberzločinec. V tomto prípade dokáže útočník vypnúť bezpečnostné funkcie prehliadača obete, ktoré robia prehliadač zraniteľnejší voči útokom.
Potom hacker otvorí legitímnu stránku Google podpory a využije škodlivé rozšírenie na to, aby upravil obsah na stránke. Obeť útoku presvedčí, aby vyplnila nastavenia synchronizácie.
Keď sa profily synchronizujú, všetky uložené dáta, vrátane hesiel, histórie prehliadania a automatického vyplnenia polí sa prenesú do Workspace účtu kontrolovaného hackerom. To umožňuje hackerovi prihlásiť sa do účtov obete na svojom zariadení.
Tu sa podvod nekončí
Hacker následne hľadá spôsob, ako premeniť prehliadač do zdieľane spravovaného prehliadača, ktorý by mohol ovládať. To dosiahne pomocou špeciálneho tokenu. Obeť sa snaží donútiť stiahnuť škodlivý exe súbor, ktorý sa javí ako inštalátor platformy Zoom na videohovory.
Keď sa obeť pokúsi pripojiť do Zoom hovoru útočníka, dostáva sa na stránku, ktorá hovorí, že potrebuje aktualizáciu. Tá sa stiahne z prehliadača do počítača. Po nainštalovaní aktualizácie hacker získava plnú kontrolu nad prehliadačom obete. Môže vidieť a pristúpiť ku všetkým webovým aplikáciám, či nainštalovať ďalšie škodlivé rozšírenia alebo presmerovať obeť útoku na phishingové stránky.
Kyberzločinci zároveň získavajú prístup k súborom na Google disku, heslám, platobným informáciám, či všetkým mailom, ktoré obeť odoslala alebo prijala. Zároveň môže obeť neustále presmerovať na škodlivé stránky, či inštalovať ďalšie škodlivé rozšírenia.
Ak chce podvodník pokračovať ďalej, po ovládnutí prehliadača môže ovládnuť celé zariadenie obete. Ak chce získať kontrolu nad zariadením, spolu s falošnou Zoom aktualizáciou hacker inštaluje aj ďalšiu škodlivú aplikáciu.
Komentáre