En los últimos años, los ataques dirigidos a los usuarios del navegador web han visto un aumento sin precedentes. En este artículo, exploramos cuáles son los «ataques basados en el navegador» y por qué se ha demostrado que son extremadamente efectivos.
¿Qué es un ataque basado en el navegador?
Primero, es importante establecer qué es un ataque basado en el navegador.
En la mayoría de los escenarios, los atacantes no se consideran atacando un navegador web. Su objetivo final es comprometerse en aplicaciones y datos comerciales. Eso significa perseguir servicios de terceros, que ahora son la columna vertebral de su negocio.
Las rutas de ataque más comunes hoy en día son ver a los atacantes iniciar sesión en servicios de terceros, volcar datos y monetizar por Fear Tor. Solo mire los ataques de la fuerza de ventas aún más prominentes para ver la infracción de los clientes de Snowflake o su impacto el año pasado.
La forma más lógica de hacerlo es dirigir a los usuarios de esas aplicaciones. Además, los cambios en las prácticas laborales han hecho que los usuarios sean más accesibles para los atacantes externos que nunca antes y están expuestos a una gama más amplia de posibles tecnologías de ataque.
Los ataques basados en el navegador como AITM Phishing, ClickFix y Consent Phishing han visto un aumento sin precedentes en los últimos años.
Érase una vez, el correo electrónico fue el principal canal de comunicación con el mundo más amplio, con el trabajo realizado localmente, en dispositivos y dentro de un entorno de red de bloqueo. Esto ha hecho que el correo electrónico y los puntos finales sean una prioridad desde el punto de vista de la seguridad.
Pero ahora, el trabajo moderno se está llevando a cabo en redes de aplicaciones de Internet distribuidas, con canales de comunicación más diversos fuera del correo electrónico, lo que dificulta que los usuarios dejen de interactuar con contenido malicioso (al menos sin obstaculizar significativamente su capacidad para hacer el trabajo).
Dado que los navegadores son donde se accede y usa las aplicaciones comerciales, tiene sentido que los ataques se están desarrollando cada vez más.
Seis ataques críticos basados en el navegador que su equipo de seguridad necesita saber
1. Calificaciones y phishing de sesión
La forma más directa para que un atacante comprometa una aplicación comercial es pescar a los usuarios de esa aplicación. Es posible que no necesariamente piense en el phishing como un ataque basado en el navegador, pero eso es exactamente lo que estamos viendo hoy.
La gira de phishing y la infraestructura han evolucionado significativamente durante la última década, pero los cambios comerciales significan que hay más vectores para la entrega de ataque de phishing, así como tanto una aplicación como una identidad dirigida al objetivo.
Los atacantes pueden entregar enlaces a través de aplicaciones instantáneas de mensajería, redes sociales, SMS y anuncios maliciosos, usar funciones de mensajería en la aplicación o evitar cheques basados en el correo electrónico enviando correos electrónicos directamente desde los servicios SaaS. Del mismo modo, hay cientos de aplicaciones con una aplicación en un objetivo, con diferentes niveles de configuración de seguridad de la cuenta.
El phishing ahora es multicanal y canal cruzado, dirigido a una amplia gama de aplicaciones de nubes y SaaS que utilizan kits de herramientas AITM flexibles, pero todas las carreteras inevitablemente conducen a navegadores.
Hoy, Phishing opera a escala industrial utilizando un conjunto de técnicas de ofuscación y evitación de detección. La última generación de kits de phishing de omisión MFA totalmente personalizados ofuscan dinámicamente las páginas web de carga de código, implementan protección de bots personalizada (como Captcha y Cloudflare Turnstile), use capacidades antianálisis de tiempo de ejecución y use SaaS y servicios legítimos de SaaS y Cloud para host y proporcionen enlaces de phishing que cubren las vías. Aprenda cómo los ataques modernos de phishing atacan los controles de detección de paso aquí.
Estos cambios hacen que el phishing sea aún más efectivo que nunca, lo que hace que sea cada vez más difícil detectar y bloquear el uso del correo electrónico y las herramientas anti-phishing basadas en la red.
2. Copiar y pegar maliciosos (también conocido como ClickFix, FileFix, etc.)
Una de las mayores tendencias de seguridad del año pasado es el surgimiento de la tecnología de ataque conocida como ClickFix.
Originalmente conocido como «capturas falsas», estos ataques intentan manipular a los usuarios engañándolos para que ejecutaran comandos maliciosos en sus dispositivos, generalmente resolviendo alguna forma de desafío de verificación en su navegador.
En realidad, al resolver el problema, la víctima en realidad está copiando código malicioso del portapapeles de página y ejecutándolo en el dispositivo. Por lo general, a la víctima recibe instrucciones que incluyen copiar, pegar y ejecutar el comando directamente en el cuadro de diálogo (solicitado), terminal o PowerShell. También han aparecido variantes como FileFix y, en su lugar, usan la barra de direcciones del Explorador de archivos para ejecutar comandos del sistema operativo, pero en ejemplos recientes, esta rama de ataque ramifica la bifurcación en el Mac a través del terminal MACOS.
Más comúnmente, estos ataques se utilizan para proporcionar malware de Infente de Infentes para acceder a aplicaciones y servicios comerciales utilizando cookies y credenciales de sesión robadas.
Al igual que las credenciales modernas y el phishing de la sesión, los enlaces a páginas maliciosas se distribuyen a través de diferentes canales de entrega, utilizando una variedad de señuelos, incluida la suplantación de Captcha, el torniquete de Cloudflare y la simulación de errores de carga de la página web. Muchas de las mismas protecciones utilizadas para ofuscar y evitar el análisis de las páginas de phishing también se aplican a las páginas de ClickFix, que son igualmente difíciles de detectar y bloquear.
Un ejemplo de un señuelo ClickFix utilizado por los atacantes salvajes.
3. Integración de Oauth maliciosa
La integración de OAuth Maliciosa es otra forma para que los atacantes comprometan aplicaciones engañando a sus usuarios para que sus usuarios se integren con aplicaciones controladas por atacantes maliciosos. Esto también se conoce como phishing de consentimiento.
Ejemplos de phishing de consentimiento. El atacante engaña a la víctima para que permita una aplicación controlada por el atacante con privilegios arriesgados.
Esta es una forma efectiva para que los atacantes pasen por alto la autenticación endurecida y el control de acceso que evita la cuenta evitando el proceso de inicio de sesión típico. Esto incluye métodos MFA resistentes a phishing como Passkeeys, ya que el proceso de inicio de sesión estándar no se aplica.
Esta variante del ataque ha dominado recientemente los titulares en una violación continua de Salesforce. En este escenario, un atacante ahora engaña a la víctima para aprobar una aplicación OAuth controlada por el atacante a través del flujo de autenticación del código de dispositivo de Salesforce. Esto requiere que los usuarios ingresen un código de 8 dígitos en lugar de una contraseña o un factor MFA.
Los ataques continuos de Salesforce permiten que las aplicaciones de OAuth maliciosas accedan al inquilino Salesforce de la víctima.
Para evitar que se otorguen subvenciones de OAuth maliciosas, se requiere una gestión cercana en la aplicación de los permisos de los usuarios y la configuración de seguridad de los inquilinos. Esto de ninguna manera es una hazaña al considerar los cientos de aplicaciones utilizadas en las empresas modernas. Muchos de ellos no son administrados centralmente (o en algunos casos totalmente desconocidos) por los equipos de seguridad de TI y seguridad. Aún así, está limitado por los controles disponibles para los proveedores de aplicaciones.
En este caso, Salesforce ha anunciado cambios planificados para la aprobación de las aplicaciones OAuth para mejorar la seguridad estimulada por estos ataques, pero hay más aplicaciones con configuraciones inestables para que los atacantes los usen en el futuro.
4. Extensiones de navegador malicioso
Las extensiones de navegador malicioso son otra forma para que los atacantes comprometan las aplicaciones comerciales al extraer cookies y credenciales de sesión almacenadas en el administrador de caché y contraseñas del navegador al observar y capturar cuándo ocurre un inicio de sesión.
Un atacante hace esto creando su propia extensión maliciosa, permitiendo al usuario instalar la instalación o permitir al usuario hacerse cargo de la extensión existente y acceder al navegador que ya está instalado. Es sorprendentemente fácil para un atacante comprar y agregar actualizaciones maliciosas a una extensión existente y pasar fácilmente los controles de seguridad en la extensión.
Las noticias sobre los compromisos basados en la extensión han aumentado junto con al menos otras 35 extensiones desde que la extensión Cyberhaven fue pirateada en diciembre de 2024. Desde entonces, se han identificado millones de extensiones maliciosas y millones de instalaciones.
Por lo general, los empleados no deben instalar aleatoriamente las extensiones del navegador a menos que sean aprobados por su equipo de seguridad por adelantado. Sin embargo, la realidad es que muchas organizaciones tienen poca visibilidad en las expansiones que usan por sus empleados, y como resultado existe un riesgo potencial de ser expuestos.
5. Entrega de archivos maliciosos
Los archivos maliciosos han sido una parte central de la entrega de malware y el robo de calificación durante muchos años. Los archivos maliciosos se distribuyen a través de medios similares, al igual que los canales sin correo electrónico como la malvertición y los ataques de manejo se utilizan para ofrecer señuelos de phishing y clickfix. Esto deja la detección de archivos maliciosos para maletas básicas conocidas, análisis de sandbox o análisis de tiempo de ejecución en puntos finales utilizando proxyering (no tan útil en el contexto del malware de sandbox).
Esto no solo necesita ser un ejecutable malicioso que deje malware directamente sobre el dispositivo. Las descargas de archivos también pueden incluir enlaces adicionales que harán que los usuarios contengan contenido malicioso. De hecho, uno de los tipos más comunes de contenido descargable son las aplicaciones HTML (HTA). Esto se usa comúnmente para generar páginas de phishing locales y credenciales de captura de sigilo. Recientemente, los atacantes han armado archivos SVG para fines similares, que se ejecutan como una página de phishing autónomo que hace que el cliente de inicio de sesión falso del lado del cliente.
Incluso si el contenido malicioso no siempre se puede marcar a partir de inspecciones de archivos a nivel de superficie, la grabación de descargas de archivos en un navegador es una adición útil a la protección de malware basada en el punto final, proporcionando otra capa de defensa contra descargas de archivos que realizan ataques del lado del cliente o redirigen a los usuarios al contenido malicioso basado en la web.
6. Credenciales robadas y brecha MFA
Este último ataque no es tanto, pero son productos. Si sus credenciales son robadas a través de Phishing o InfoSealer Malware, MFA se puede usar para hacerse cargo de las cuentas faltantes.
Este no es el ataque más sofisticado, pero es muy efectivo. Para comprometer su cuenta de copo de nieve el año pasado, o para ver un ataque de JIRA a principios de este año, debe asegurarse de que el atacante esté mirando las credenciales robadas a escala.
Es más probable que las empresas modernas con cientos de aplicaciones no tengan una aplicación configurada para el MFA requerido (si es posible). Además, incluso si la aplicación está configurada para SSO y está conectada a una gran identidad corporativa, aún puede existir un «inicio de sesión fantasma» local, y el MFA acepta contraseñas innecesarias.
También puede observar su inicio de sesión en un navegador. De hecho, está cerca de la fuente de la verdad universal sobre cómo los empleados realmente están iniciando sesión, las aplicaciones que están utilizando, si hay un MFA y si los equipos de seguridad pueden encontrar y arreglar equipos de seguridad antes de que los atacantes puedan explotarlas.
Conclusión
Los ataques se producen cada vez más en los navegadores. Esto lo convierte en el lugar perfecto para detectar y responder a estos ataques. Pero por ahora, los navegadores son un punto ciego para la mayoría de los equipos de seguridad.
La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta para las principales causas de violaciones. Bloquear ataques basados en el navegador como AITM Phishing con tokens de sesión robados, relleno de credenciales, pulverización de contraseñas y secuestro de sesión. También puede usar Push para encontrar y arreglar vulnerabilidades en las aplicaciones utilizadas por los empleados, como inicios de sesión fantasma, espacios de cobertura SSO, brechas de MFA, contraseñas vulnerables e integraciones OAuth de alto riesgo.
Si desea obtener más información sobre cómo Push puede ayudarlo a detectar y detener los ataques en su navegador, consulte nuestra última descripción general del producto o reserve con uno de nuestros equipos para una demostración en vivo.
Source link
