SquareX revela “Browser Syncjacking”, una nueva técnica de ataque que pone en riesgo a millones de personas

PALO ALTO, EE. UU., 30 de enero de 2025/CyberNewsWire/--SquareX revela una nueva técnica de ataque que muestra cómo se pueden usar extensiones maliciosas para secuestrar completamente el navegador y, eventualmente, todo el dispositivo.

Las extensiones del navegador han estado en el centro de atención de las noticias de seguridad empresarial recientemente debido a la ola de ataques OAuth a los desarrolladores de extensiones de Chrome y a los ataques de exfiltración de datos.

Sin embargo, hasta ahora, debido a las limitaciones que los proveedores de navegadores imponen al subsistema de extensión y a las extensiones, se pensaba que era imposible que las extensiones obtuvieran control total del navegador, y mucho menos del dispositivo.

Cuadrado X Los investigadores Dakshitaa Babu, Arpit Gupta, Sunkugari Tejeswara Reddy y Pankaj Sharma desmintieron esta creencia al demostrar cómo los atacantes pueden usar extensiones maliciosas para escalar privilegios y realizar una toma de control total del navegador y del dispositivo, todo con una interacción mínima del usuario.

Un aspecto crítico es que la extensión maliciosa solo requiere capacidades de lectura y escritura presentes en la mayoría de las extensiones del navegador en Chrome Store, incluidas herramientas de productividad comunes como Grammarly, Calendly y Loom, lo que impide que los usuarios otorguen estos permisos.

Esta revelación sugiere que prácticamente cualquier extensión de navegador podría servir como vector de ataque si un atacante la crea o la toma por su cuenta. Hasta donde sabemos, las extensiones enviadas a Chrome Store que solicitan estas capacidades no se someten a un escrutinio de seguridad adicional en el momento de escribir este artículo.

El ataque de sincronización del navegador se puede dividir en tres partes: cómo la extensión agrega silenciosamente un perfil administrado por el atacante, secuestra el navegador y finalmente obtiene el control total del dispositivo.

Secuestro de perfil

El ataque comienza cuando un empleado instala cualquier extensión del navegador; esto podría implicar la publicación de una que se hace pasar por una herramienta de IA o apoderarse de extensiones populares existentes que pueden tener hasta millones de instalaciones en total.

A continuación, la extensión autentica “silenciosamente” a la víctima en un perfil de Chrome administrado por el Google Workspace del atacante. Todo esto se hace de forma automática en una ventana en segundo plano, lo que hace que todo el proceso sea casi imperceptible para la víctima.

Una vez que se produce esta autenticación, el atacante tiene control total sobre el perfil recién administrado en el navegador de la víctima, lo que le permite implementar políticas automatizadas como la desactivación de la navegación segura y otras funciones de seguridad.

Mediante un ataque de ingeniería social muy inteligente que explota dominios de confianza, el adversario puede intensificar aún más el ataque de secuestro de perfil para robar contraseñas del navegador de la víctima. Por ejemplo, la extensión maliciosa puede abrir y modificar la página de soporte oficial de Google sobre cómo sincronizar cuentas de usuario para solicitar a la víctima que realice la sincronización con solo unos pocos clics.

Una vez sincronizado el perfil, los atacantes tienen acceso total a todas las credenciales y al historial de navegación almacenados localmente. Como este ataque solo aprovecha sitios legítimos y no tiene ninguna señal visible de que haya sido modificado por la extensión, no activará ninguna alarma en ninguna solución de seguridad que controle el tráfico de la red.

Toma de control del navegador

Para lograr el control total del navegador, el atacante básicamente necesita convertir el navegador Chrome de la víctima en un navegador administrado.

La misma extensión monitorea e intercepta una descarga legítima, como una actualización de Zoom, y la reemplaza con el ejecutable del atacante, que contiene un token de inscripción y una entrada de registro para convertir el navegador Chrome de la víctima en un navegador administrado.

Pensando que ha descargado un actualizador de Zoom, la víctima ejecuta el archivo, que termina instalando una entrada de registro que instruye al navegador a pasar a ser administrado por el Google Workspace del atacante.

Esto permite al atacante obtener control total sobre el navegador de la víctima para desactivar funciones de seguridad, instalar extensiones maliciosas adicionales, extraer datos e incluso redirigir silenciosamente a los usuarios a sitios de phishing. Este ataque es extremadamente potente ya que no existe diferencia visual entre un navegador administrado y uno no administrado.

Para un usuario normal, no hay ninguna señal reveladora de que se haya producido una escalada de privilegios, a menos que la víctima sea muy consciente de la seguridad y se esfuerce por inspeccionar periódicamente la configuración de su navegador y buscar asociaciones con una cuenta de Google Workspace desconocida.

Secuestro de dispositivos

Con el mismo archivo descargado anteriormente, el atacante puede insertar además las entradas de registro necesarias para que la extensión maliciosa envíe mensajes a las aplicaciones nativas. Esto permite que la extensión interactúe directamente con las aplicaciones locales sin necesidad de autenticación adicional.

Una vez establecida la conexión, los atacantes pueden usar la extensión junto con el shell local y otras aplicaciones nativas disponibles para encender secretamente la cámara del dispositivo, capturar audio, grabar pantallas e instalar software malicioso, proporcionando esencialmente acceso completo a todas las aplicaciones y datos confidenciales del dispositivo.

El ataque de sincronización del navegador expone una falla fundamental en la forma en que se administran los perfiles y navegadores administrados de forma remota. Hoy en día, cualquiera puede crear una cuenta de espacio de trabajo administrada vinculada a un nuevo dominio y una extensión del navegador sin ningún tipo de verificación de identidad, lo que hace imposible atribuir estos ataques.

Lamentablemente, la mayoría de las empresas actualmente no tienen visibilidad del navegador: la mayoría no tiene navegadores ni perfiles administrados, ni visibilidad de las extensiones que los empleados instalan a menudo en función de herramientas de tendencias y recomendaciones de redes sociales.

Lo que hace que este ataque sea particularmente peligroso es que opera con permisos mínimos y casi sin interacción del usuario, requiriendo solo un sutil paso de ingeniería social utilizando sitios web confiables, lo que hace que sea casi imposible para los empleados detectarlo.

Si bien incidentes recientes como la violación de seguridad de Cyberhaven ya han puesto en peligro a cientos, si no miles, de organizaciones, esos ataques requirieron de ingeniería social relativamente compleja para funcionar. La naturaleza devastadoramente sutil de este ataque (con un umbral extremadamente bajo de interacción del usuario) no solo lo hace extremadamente potente, sino que también arroja luz sobre la aterradora posibilidad de que los adversarios ya estén usando esta técnica para comprometer a las empresas en la actualidad.

A menos que una organización elija bloquear completamente las extensiones del navegador a través de navegadores administrados, el ataque de sincronización del navegador eludirá por completo las listas negras existentes y las políticas basadas en permisos.

El fundador de SquareX Vivek Ramachandran “Esta investigación expone un punto ciego crítico en la seguridad empresarial. Las herramientas de seguridad tradicionales simplemente no pueden detectar ni detener estos sofisticados ataques basados en el navegador. Lo que hace que este descubrimiento sea particularmente alarmante es cómo convierte extensiones de navegador aparentemente inocentes en herramientas de control total del dispositivo, todo mientras pasa desapercibida para las medidas de seguridad convencionales como los EDR y las puertas de enlace web seguras SASE/SSE. Una solución de detección y respuesta del navegador ya no es solo una opción, es una necesidad. Sin visibilidad y control a nivel del navegador, las organizaciones están dejando la puerta de entrada abierta a los atacantes. Esta técnica de ataque demuestra por qué la seguridad debe "desplazarse" hacia donde realmente ocurren las amenazas: en el propio navegador".

SquareX ha estado realizando una investigación de seguridad pionera sobre extensiones de navegador, incluida la charla DEF CON 32 Extensiones furtivas: los artistas del escape de MV3 que reveló múltiples extensiones maliciosas compatibles con MV3.

Este equipo de investigación también fue el primero en descubrir y divulgar la Ataque OAuth a desarrolladores de extensiones de Chrome Una semana antes de la Violación de seguridad cibernética SquareX también fue responsable del descubrimiento de Reensamblaje de última milla ataques, una nueva clase de ataques del lado del cliente que explota fallas arquitectónicas y elude por completo todas las soluciones de Secure Web Gateway.

Basándose en esta investigación, la solución de detección y respuesta de navegador de SquareX, primera en la industria, protege a las empresas contra ataques avanzados basados en extensiones, incluidos los intentos de secuestro de dispositivos, realizando un análisis dinámico de toda la actividad de las extensiones del navegador en tiempo de ejecución, proporcionando una puntuación de riesgo a todas las extensiones activas en la empresa e identificando además cualquier ataque al que puedan ser vulnerables.

Para obtener más información sobre el ataque de sincronización del navegador, los hallazgos adicionales de esta investigación están disponibles en sqrx.com/investigación .

Acerca de SquareX

Cuadrado X Ayuda a las organizaciones a detectar, mitigar y cazar amenazas de ataques web del lado del cliente que ocurren contra sus usuarios en tiempo real.

La solución de detección y respuesta del navegador (BDR) de SquareX, primera en la industria, adopta un enfoque centrado en ataques para la seguridad del navegador, lo que garantiza que los usuarios empresariales estén protegidos contra amenazas avanzadas como códigos QR maliciosos, phishing en el navegador, malware basado en macros y otros ataques web que abarcan archivos maliciosos, sitios web, scripts y redes comprometidas.

Además, con SquareX, las empresas pueden proporcionar a los contratistas y trabajadores remotos acceso seguro a aplicaciones internas, SaaS empresarial y convertir los navegadores de dispositivos BYOD/no administrados en sesiones de navegación confiables.

Contacto

Jefe de Relaciones Públicas

Junice Liew

Cuadrado X

[email protected]