Los ataques que atacan a los usuarios en sus navegadores web han conocido un aumento sin precedentes en los últimos abriles. En este artículo, exploraremos qué es un «ataque basado en el navegador» y por qué están demostrando ser tan efectivos.
¿Qué es un ataque basado en el navegador?
Primero, es importante establecer qué es un ataque basado en el navegador.
En la mayoría de los escenarios, los atacantes no piensan en sí mismos como atacando a su navegador web. Su gol final es comprometer sus aplicaciones y datos comerciales. Eso significa perseguir los servicios de terceros que ahora son la columna vertebral de la TI de negocios.
La ruta de ataque más global hoy en día ve a los atacantes iniciar sesión en servicios de terceros, descargar los datos y monetizarlo a través de la perjuicio. Solo necesita mirar las violaciones del cliente del copo de cocaína del año pasado o los ataques de Salesforce aún de alucinación para ver el impacto.
La forma más deducción de hacerlo es dirigirse a los usuarios de esas aplicaciones. Y conveniente a los cambios en las prácticas laborales, sus usuarios son más accesibles que nunca a los atacantes externos, y expuestos a una variedad más amplia de posibles técnicas de ataque.
 |
| Los ataques basados en el navegador como AITM Phishing, ClickFix y Consent Phishing han conocido un aumento sin precedentes en los últimos abriles. |
Érase una vez, el correo electrónico fue el canal de comunicación principal con el mundo más amplio, y el trabajo ocurrió localmente, en su dispositivo y adentro de su entorno de red bloqueado. Esto hizo que el correo electrónico y el punto final la más adhesión prioridad desde una perspectiva de seguridad.
Pero ahora, con el trabajo original que ocurre en una red de aplicaciones de Internet descentralizadas y canales de comunicación más variados fuera del correo electrónico, es más difícil evitar que los usuarios interactúen con contenido pillo (al menos, sin impedir significativamente su capacidad para hacer sus trabajos).
Entregado que el navegador es el punto donde se accede y usan aplicaciones comerciales, tiene sentido que los ataques incluso estén desarrollando cada vez más.
Los 6 ataques secreto basados en el navegador que los equipos de seguridad necesitan retener sobre
1. Phishing para credenciales y sesiones
La forma más directa para que un atacante comprometa una aplicación comercial es phish a un legatario de esa aplicación. Es posible que no pienses necesariamente en el phishing como un ataque basado en el navegador, pero eso es exactamente lo que es hoy.
Las herramientas y la infraestructura de phishing han evolucionado mucho en la última plazo, mientras que los cambios en los negocios significan que hay muchos más vectores para la entrega de ataque de phishing, y aplicaciones e identidades para el objetivo.
Los atacantes pueden entregar enlaces sobre aplicaciones instantáneas de transporte, redes sociales, SMS, anuncios maliciosos y usar la funcionalidad de mensajero en la aplicación, así como dirigir correos electrónicos directamente de los servicios SaaS para evitar los controles basados en el correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa para apuntar, con diferentes niveles de configuración de seguridad de la cuenta.
 |
| El phishing ahora es múltiple y canal cruzado, dirigido a una amplia variedad de aplicaciones de nubes y SaaS que utilizan kits de herramientas AITM flexibles, pero todas las carreteras inevitablemente conducen al navegador. |
Hoy, Phishing opera a escalera industrial, utilizando una variedad de técnicas de entretenimiento de ofuscación y detección. La última reproducción de kits de phishing de bypassing MFA totalmente personalizados está ofuscando dinámicamente el código que carga la página web, implementando la protección de bot (por ejemplo, Captcha o Turnstile de Cloudflare), utilizando características anti-análisis de tiempo de ejecución y utilizando SaaS y servicios de montón legítimos para host y entregar enlaces de phishing para cubrir sus seguidores. Puede estudiar más sobre las formas en que los ataques de phishing modernos están pasando por parada los controles de detección aquí.
Estos cambios hacen que el phishing sea más efectivo que nunca, y cada vez más difícil de detectar y cerrar el uso de herramientas anti-phishing basadas en el correo electrónico y la red.
2. Copiar y pegar maliciosos (incluso conocido como. ClickFix, FileFix, etc.)
Una de las mayores tendencias de seguridad en el extremo año ha sido el surgimiento de la técnica de ataque conocida como ClickFix.
Originalmente conocido como «Captcha falsificado», estos ataques intentan engañar a los usuarios para que ejecutaran comandos maliciosos en su dispositivo, generalmente resolviendo alguna forma de desafío de comprobación en el navegador.
En sinceridad, al resolver el desafío, la víctima en sinceridad está copiando código pillo del portapapeles de página y ejecutándolo en su dispositivo. Por lo común, proporciona instrucciones de víctimas que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, terminal o PowerShell. Asimismo han surgido variantes como FileFix, que en su punto usan la mostrador de direcciones del Explorador de archivos para ejecutar comandos del sistema eficaz, mientras que los ejemplos recientes han conocido que este ataque se ramifica a Mac a través del terminal MACOS.
Más comúnmente, estos ataques se utilizan para entregar malware de Infente de Infentes, utilizando cookies y credenciales de sesión robadas para conseguir a aplicaciones y servicios comerciales.
Al igual que la credencial moderna y el phishing de sesión, los enlaces a las páginas maliciosas se distribuyen a través de varios canales de entrega y utilizando una variedad de señuelos, incluida la suplantación de Captcha, el torniquete de Cloudflare, simulando un error cargando una página web y muchos más. Muchas de las mismas protecciones que se utilizan para ofuscar y evitar el disección de las páginas de phishing incluso se aplican a las páginas de ClickFix, lo que hace que sea igualmente difícil detectarlas y bloquearlas.
 |
| Ejemplos de señuelos de ClickFix utilizados por los atacantes en la naturaleza. |
3. Integraciones de Oauth maliciosas
Las integraciones maliciosas de OAuth son otra forma para que los atacantes comprometan una aplicación engañando a un legatario para que autorice una integración con una aplicación maliciosa y controlada por los atacantes. Esto incluso se conoce como phishing de consentimiento.
 |
| Ejemplos de phishing de consentimiento, donde un atacante engaña a la víctima para que autorice una aplicación controlada por el atacante con permisos arriesgados. |
Esta es una forma efectiva para que los atacantes eluden la autenticación endurecida y los controles de ataque al esquivar el proceso de inicio de sesión distintivo para hacerse cargo de una cuenta. Esto incluye métodos MFA resistentes a phishing como Keeys, ya que el proceso de inicio de sesión habitual no se aplica.
Una transformación de este ataque ha dominado los titulares recientemente con las violaciones en curso de Salesforce. En este decorado, el atacante engañó a la víctima para que autorice una aplicación OAuth controlada por el atacante a través del flujo de autorización del código del dispositivo en Salesforce, que requiere que el legatario ingrese un código de 8 dígitos en punto de una contraseña o ejecutor MFA.
 |
| Los ataques en curso de Salesforce implican que las aplicaciones de OAuth maliciosas se les otorgue ataque al inquilino de Salesforce de la víctima. |
Evitar que las subvenciones de OAuth maliciosas sean autorizadas requiere una filial ajustada en la aplicación de los permisos de los usuarios y la configuración de seguridad de los inquilinos. Esto no es una correr cuando se considere los 100 de aplicaciones en uso en toda la empresa moderna, muchas de las cuales no son administradas centralmente por los equipos de TI y de seguridad (o en algunos casos, son completamente desconocidos para ellos). Incluso entonces, está escaso por los controles puestos disponibles por el proveedor de aplicaciones.
En este caso, Salesforce ha anunciado cambios planificados en la autorización de aplicaciones OAuth para mejorar la seguridad provocada por estos ataques, pero existen muchas más aplicaciones con configuraciones inseguras para que los atacantes se aprovechen en el futuro.
4. Extensiones de navegador pillo
Las extensiones de navegador pillo son otra forma para que los atacantes comprometan sus aplicaciones comerciales observando y capturando inicios de sesión a medida que ocurren, y/o extraer cookies y credenciales de sesión guardadas en el elegancia y el administrador de contraseñas del navegador.
Los atacantes hacen esto creando su propia extensión maliciosa y engañando a sus usuarios para que la instalen, o se apoderen de una extensión existente para obtener ataque a los navegadores donde ya está instalado. Es sorprendentemente hacedero para los atacantes comprar y pegar actualizaciones maliciosas a las extensiones existentes, pasando fácilmente los controles de seguridad de la tienda web de extensión.
La nota sobre los compromisos basados en la extensión ha estado en aumento desde que la extensión Cyberhaven fue pirateada en diciembre de 2024, adjunto con al menos otras 35 extensiones. Desde entonces, se han identificado cientos de extensiones maliciosas, con millones de instalaciones.
En común, sus empleados no deben instalar al azar las extensiones del navegador a menos que su equipo de seguridad aprobara preaprobado. Sin confiscación, la sinceridad es que muchas organizaciones tienen muy poca visibilidad de las extensiones que sus empleados están utilizando, y como resultado el peligro potencial al que están expuestos.
5. Entrega de archivos maliciosos
Los archivos maliciosos han sido una parte central de la entrega de malware y el robo de credenciales durante muchos abriles. Al igual que los canales que no son de correo electrónico como la malvertimiento y los ataques de conducción se utilizan para entregar señuelos de phishing y clickFix, los archivos maliciosos incluso se distribuyen a través de medios similares: dejar la detección de archivos maliciosos a las verificaciones básicas de capas conocidas, el disección de sandbox utilizando un proxy (no tan útil en el contexto del malware de sandbox) o el disección de tiempo de ejecución en el punto final.
Esto no solo tiene que ser ejecutables maliciosos que dejan caer malware directamente en el dispositivo. Las descargas de archivos incluso pueden contener enlaces adicionales que llevan al legatario a contenido pillo. De hecho, uno de los tipos más comunes de contenido descargable son las aplicaciones HTML (HTA), comúnmente utilizadas para difundir páginas de phishing locales para capturar sigilosamente las credenciales. Más recientemente, los atacantes han estado armando archivos SVG para un propósito similar, que se ejecutan como páginas de phishing autónomos que representan portales de inicio de sesión falsos por completo.
Incluso si el contenido pillo no siempre se puede marcar desde la inspección a nivel de superficie de un archivo, cincelar descargas de archivos en el navegador es una añadidura útil a la protección de malware basada en el punto final, y proporciona otra capa de defensa contra descargas de archivos que realizan ataques del flanco del cliente, o redirigen al legatario a contenido pillo basado en la web.
6. Credenciales robadas y brechas de MFA
Este extremo no es tanto un ataque basado en el navegador, pero es un producto de ellos. Cuando se roban credenciales a través de phishing o malware de infantes de inforte, pueden estilarse para hacerse cargo de las cuentas que faltan MFA.
Este no es el ataque más sofisticado, pero es muy efectivo. Solo necesita mirar los compromisos de la cuenta del copo de cocaína del año pasado o los ataques de JIRA a principios de este año para ver cómo los atacantes aprovechan las credenciales robadas a escalera.
Con la empresa moderna utilizando cientos de aplicaciones, la probabilidad de que una aplicación no haya sido configurada para MFA obligatorio (si es posible) es adhesión. E incluso cuando una aplicación se ha configurado para SSO y conectada a su identidad corporativa primaria, pueden continuar existiendo «inicios de sesión aparecido» locales, aceptando contraseñas sin MFA requerido.
Asimismo se pueden observar inicios de sesión en el navegador; de hecho, es tan cercano a una fuente universal de verdad como va a obtener sobre cómo sus empleados verdaderamente están iniciando sesión, qué aplicaciones están utilizando y si MFA está presente, lo que permite a los equipos de seguridad encontrar y arreglar los inicios de sesión vulnerables antiguamente de que los atacantes puedan explotarse.
Conclusión
Los ataques están sucediendo cada vez más en el navegador. Eso lo convierte en el punto valentísimo para detectar y replicar a estos ataques. Pero en este momento, el navegador es un punto ciego para la mayoría de los equipos de seguridad.
La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta contra la principal causa de infracciones. Push Blocks Ataques basados en el navegador como phishing AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. Asimismo puede usar Push para encontrar y arreglar vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión aparecido, brechas de cobertura SSO, brechas de MFA, contraseñas vulnerables, integraciones arriesgadas de OAuth y más para deshumanizar su superficie de ataque de identidad.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y detener los ataques en el navegador, consulte nuestra última descripción común del producto o reserve poco de tiempo con uno de nuestro equipo para una demostración en vivo.
