Pesquisadores da SquareX revelam ataque OAuth em extensões do Chrome dias antes de uma violação grave
Cibersegurança

Pesquisadores da SquareX revelam ataque OAuth em extensões do Chrome dias antes de uma violação grave

atualizado em Deixe um comentário em Pesquisadores da SquareX revelam ataque OAuth em extensões do Chrome dias antes de uma violação grave


SquareX, a primeira solução de detecção e resposta de navegador (BDR) do setor, é líder em segurança de navegador. Cerca de uma semana atrás, SquareX relatou um ataque massivo direcionado a desenvolvedores de extensões do Chrome com o objetivo de retirar extensões do Chrome da Chrome Store.

Em 25 de dezembro de 2024, uma versão maliciosa da extensão do navegador Cyberhaven foi publicada na Chrome Store, permitindo que um invasor sequestrasse sessões autenticadas e extraísse informações confidenciais. A extensão maliciosa ficou disponível para download por mais de 30 horas antes de ser removida pela Cyberhaven. A empresa de prevenção contra perda de dados se recusou a comentar a extensão do impacto quando foi publicada, mas a extensão tinha mais de 400.000 usuários na loja do Chrome no momento do ataque.

Infelizmente, esse ataque aconteceu quando os pesquisadores da SquareX identificaram um ataque semelhante com um vídeo mostrando todo o método de ataque uma semana antes da violação do Cyberhaven. O ataque começa com um e-mail de phishing que se faz passar pela Chrome Store e contém uma suposta violação do “Contrato do Desenvolvedor” da plataforma, incentivando o destinatário a aceitar políticas para evitar que sua extensão seja removida da Chrome Store. Ao clicar no botão de política, o usuário é orientado a conectar sua conta Google à “Extensão de Política de Privacidade”, que dá ao invasor acesso para editar, atualizar e publicar extensões na conta do desenvolvedor.

Figura 1. Um e-mail de phishing direcionado a desenvolvedores de extensões

Cyber ​​​​NewsWire

Figura 2. Extensão falsa da política de privacidade solicitando acesso

Figura 2. Extensão falsa da Política de Privacidade solicitando acesso à extensão do desenvolvedor “editar, atualizar ou publicar”

Cyber ​​​​NewsWire

As extensões se tornaram uma forma popular de os invasores obterem acesso inicial. Isso ocorre porque a maioria das organizações tem uma ideia limitada de quais extensões de navegador seus funcionários usam. Mesmo as equipes de segurança mais fortes não estão cientes das atualizações subsequentes após a aprovação de uma extensão.

A SquareX fez uma extensa pesquisa e demonstrou no DEFCON 32 como extensões compatíveis com MV3 podem ser usadas para roubar feeds de streaming de vídeo, adicionar um contribuidor silencioso do GitHub e roubar cookies de sessão, entre outros. Os invasores podem criar uma extensão aparentemente inofensiva e posteriormente torná-la maliciosa após a instalação ou, como mostrado no ataque acima, enganar os desenvolvedores por trás de uma extensão confiável para obter acesso a uma que já possui centenas de milhares de usuários. No caso da Cyberhaven, os invasores conseguiram roubar informações da empresa de todos os sites e aplicativos da web com uma versão maliciosa da extensão.

Dado que os e-mails dos desenvolvedores estão listados publicamente na Chrome Store, é fácil para os invasores atingirem milhares de desenvolvedores de extensões de uma só vez. Esses e-mails geralmente são usados ​​para relatar bugs. Portanto, mesmo os e-mails de suporte listados em extensões de grandes empresas são frequentemente enviados para desenvolvedores que podem não ter o nível de conhecimento de segurança necessário para detectar suspeitas em tais ataques. Com a divulgação do ataque SquareX e da violação do Cyberhaven ocorrendo com menos de duas semanas de intervalo, a empresa tem fortes motivos para acreditar que muitos outros provedores de extensões de navegador estão sob ataque semelhante. SquareX incentiva empresas e indivíduos a verificarem cuidadosamente antes de instalar ou atualizar qualquer extensão de navegador.

Figura 3. As informações de contato dos desenvolvedores de extensões estão disponíveis publicamente na Chrome Store

Figura 3. As informações de contato dos desenvolvedores de extensões estão disponíveis publicamente na Chrome Store

Cyber ​​​​NewsWire

A equipe SquareX entende que pode ser uma tarefa nada trivial testar e monitorar cada extensão de navegador em funcionamento em meio a todas as prioridades de segurança concorrentes, especialmente quando se trata de ataques de dia zero. Conforme mostrado no vídeo, o falso aplicativo de política de privacidade envolvido na violação do Cyberhaven não foi detectado por nenhum feed malicioso popular.

A solução Browser Detection and Response (BDR) da SquareX elimina essa complexidade para as equipes de segurança ao:

  • Bloqueio de interações OAuth em sites não autorizados para evitar que funcionários concedam acidentalmente a invasores acesso não autorizado à sua conta da Chrome Store
  • Bloquear e/ou sinalizar quaisquer atualizações de extensão suspeitas que contenham permissões novas e perigosas
  • Bloquear e/ou sinalizar extensões suspeitas com muitas avaliações negativas
  • Impedir e/ou sinalizar a instalação de extensões carregadas lateralmente
  • Programe todas as solicitações de extensão fora da lista aprovada para aprovação imediata com base na política da empresa
  • Visibilidade completa de todas as extensões instaladas e usadas pelos funcionários em toda a organização

O fundador da SquareX, Vivek Ramachandran, alerta: “Os ataques de identidade direcionados a extensões de navegador, como este ataque OAuth, se tornarão mais prevalentes à medida que os funcionários contarem com mais ferramentas baseadas em navegador para serem produtivos no trabalho. Tipos semelhantes de ataques foram usados ​​no passado para roubar dados na nuvem de aplicativos como Google Drive e One Drive e só veremos os invasores serem mais criativos no uso de extensões de navegador. As empresas precisam permanecer vigilantes e mitigar os riscos da cadeia de suprimentos sem prejudicar a produtividade dos funcionários, equipando-os com ferramentas de navegador nativas.

Sobre SquareX:

SquareX ajuda as organizações a detectar, mitigar e pesquisar ataques da Web do lado do cliente que ocorrem em seus usuários em tempo real.

A solução de detecção e resposta de navegador (BDR) da SquareX, pioneira no setor, adota uma abordagem focada em ataques à segurança do navegador, garantindo que os usuários corporativos estejam protegidos contra ameaças avançadas, como códigos QR maliciosos, phishing de navegador, malware baseado em macro e outros ataques da Web, incluindo arquivos maliciosos, sites, documentos e redes comprometidas.

Com o SquareX, as empresas podem fornecer aos prestadores de serviços e trabalhadores remotos acesso seguro a aplicativos internos, bem como SaaS empresariais, e transformar navegadores em dispositivos BYOD/não gerenciados em sessões de navegação confiáveis.

Pessoa de contato

Chefe de relações públicas

Junice Liew

Quadrado X

[email protected]



Source link

Você também pode gostar...

Bolsa de criptografia regulamentada pela Malásia, Hatha, obtém US$ 4,2 milhões em financiamento inicial para o crescimento da Ásia
Cibersegurança

Bolsa de criptografia regulamentada pela Malásia, Hatha, obtém US$ 4,2 milhões em financiamento inicial para o crescimento da Ásia

Essas principais altcoins podem trazer retornos de 5.000% no Natal
Cibersegurança

Essas principais altcoins podem trazer retornos de 5.000% no Natal

Destaques do Token2049: Ethereum Song de Vitalik Buterin, ferramentas de segurança gratuitas da Certik e muito mais.
Cibersegurança

Destaques do Token2049: Ethereum Song de Vitalik Buterin, ferramentas de segurança gratuitas da Certik e muito mais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *