Código HTML do Conteúdo

Post: 6 ataques baseados em navegador para os quais todas as equipes de segurança devem estar prontas em 2025 - Against Invaders - Notícias de CyberSecurity para humanos.

<img decoding="async" alt="Os ataques passaram de redes locais para serviços de internet, acessados por meio de navegadores da web dos funcionários" height="482" src="1174%20/></div>%0A%0AThe%20most%20logical%20way%20to%20do%20this%20is%20by%20targeting%20users%20of%20those%20apps.%20And%20because%20of%20the%20changes%20to%20working%20practices,%20your%20users%20are%20more%20accessible%20than%20ever%20to%20external%20attackers.%0A%0AOnce%20upon%20a%20time,%20email%20was%20the%20primary%20communication%20channel%20with%20the%20wider%20world,%20and%20work%20happened%20locally%20%E2%80%94%20on%20your%20device,%20and%20inside%20your%20locked-down%20network%20environment.%20This%20made%20email%20and%20the%20endpoint%20the%20highest%20priority%20from%20a%20security%20perspective.%0A%0ABut%20now,%20with%20modern%20work%20happening%20across%20a%20network%20of%20decentralized%20internet%20apps,%20and%20more%20varied%20communication%20channels%20outside%20of%20email,%20it%E2%80%99s%20harder%20to%20stop%20users%20from%20interacting%20with%20malicious%20content%20(at%20least,%20without%20significantly%20impeding%20their%20ability%20to%20do%20their%20jobs).%0A%0AGiven%20that%20the%20browser%20is%20the%20place%20where%20business%20apps%20are%20accessed%20and%20used,%20it%20makes%20sense%20that%20attacks%20are%20increasingly%20playing%20out%20there%20too.%0A%0AWith%20that%20covered%20off,%20let%E2%80%99s%20take%20a%20closer%20look%20at%20the%20most%20prevalent%20browser-based%20attack%20techniques%20being%20used%20by%20attackers%20in%20the%20wild%20today.%0A%0A<h2>The%206%20key%20browser-based%20attacks%20that%20security%20teams%20need%20to%20know%20about</h2>%0A%0A<h3>1.%20Phishing%20for%20credentials%20and%20sessions</h3>%0A%0AThe%20most%20direct%20way%20for%20an%20attacker%20to%20compromise%20a%20business%20application%20is%20to%20phish%20a%20user%20of%20that%20app.%20You%20might%20not%20necessarily%20think%20of%20phishing%20as%20a%20browser-based%20attack,%20but%20that%E2%80%99s%20exactly%20what%20it%20is%20today.%0A%0APhishing%20tooling%20and%20infrastructure%20has%20evolved%20a%20lot%20in%20the%20past%20decade,%20while%20the%20changes%20to%20business%20IT%20means%20there%20are%20both%20many%20more%20vectors%20for%20phishing%20attack%20delivery,%20and%20apps%20and%20identities%20to%20target.%0A%0AAttackers%20can%20deliver%20links%20over%20instant%20messenger%20apps,%20social%20media,%20SMS,%20malicious%20ads,%20and%20using%20in-app%20messenger%20functionality,%20as%20well%20as%20sending%20emails%20directly%20from%20SaaS%20services%20to%20bypass%20email-based%20checks.%20Likewise,%20there%20are%20now%20hundreds%20of%20apps%20per%20enterprise%20to%20target,%20with%20varying%20levels%20of%20account%20security%20configuration.%0A%0A<div%20style="> <img decoding="async" alt="O phishing agora é multicanal e multicanal, visando uma vasta gama de aplicativos em nuvem e SaaS usando kits de ferramentas AitM flexíveis - mas todos os caminhos inevitavelmente levam ao navegador" height="600" src="1197%20/></div>%0A%0AWhereas%20phishing%20was%20one%20entirely%20focused%20on%20credential%20theft,%20modern%20phishing%20attacks%20see%20the%20attacker%20intercept%20the%20victim%E2%80%99s%20session%20on%20the%20target%20app,%20using%20reverse-proxy%20Attacker-in-the-Middle%20kits%20that%20are%20the%20standard%20choice%20for%20attackers%20today.%0A%0AThis%20means%20most%20forms%20of%20MFA%20can%20be%20bypassed,%20with%20the%20exception%20of%20passkeys%20(though%20attackers%20are%20finding%20ways%20to%20work%20around%20passkeys%20using%20<a%20href=">ataques de downgrade). <div> <img decoding="async" alt="As informações de proxy dos kits AitM para o site real para concluir o processo de login, passando nas verificações de MFA " height="458" src="https://news.againstinvaders.com/6-ataques-baseados-em-navegador-para-os-quais-todas-as-equipes-de-seguranca-devem-estar-prontas-em-2025/1064">a.fl_button { cor de fundo: #5177b6; borda: 1px sólido #3b59aa; Cor: #FFF; alinhamento de texto: centro; decoração de texto: nenhum; raio da borda: 8px; exibição: bloco embutido; tamanho da fonte: 16px; peso da fonte: negrito; margem: 4px 2px; cursor: ponteiro; preenchimento: 12px 28px; } .fl_ad { cor de fundo: #f0f6ff; largura: 95%; margem: 15px auto 15px auto; raio da borda: 8px; borda: 1px sólido #d6ddee; sombra da caixa: 2px 2px #728cb8; altura mínima: 200px; Display: Flex; alinhar itens: centro; } .fl_lef>a>img { margem superior: 0px !importante; } .fl_rig>p { tamanho da fonte: 16px; } .grad-text { imagem de fundo: gradiente linear (45 graus, var (–amanhecer-vermelho), var (–íris) 54%, var (–aqua)); -webkit-text-fill-color: transparente; -webkit-background-clip: texto; clipe de fundo: texto; } .fl_rig h2 { tamanho da fonte: 18px!importante; peso da fonte: 700; Cor: #333; altura da linha: 24px; família de fontes: Geórgia, times new roman, Times, serif; exibição: bloco; alinhamento de texto: esquerda; margem superior: 0; } .fl_lef { exibição: bloco embutido; altura mínima: 150px; largura: 25%; preenchimento: 10px 0 10px 10px; } .fl_rig { preenchimento: 10px; exibição: bloco embutido; altura mínima: 150px; largura: 100%; alinhamento vertical: superior; } .fl_lef>a>img { raio da borda: 8px; } .cz-news-title-right-area ul { preenchimento à esquerda: 0px; } @media tela e (largura máxima: 1200px) { .fl_ad { altura mínima: 184px; } .fl_rig>p { margem: 10px 0; } } @media tela e (largura máxima: 1100px) { .fl_lef { largura: 27%; } } @media tela e (largura máxima: 990px) { .fl_lef>a>img { largura: 100%; } } @media tela e (largura máxima: 600px) { .fl_lef>a>img { Largura: Auto; } .fl_ad { exibição: bloco; } .fl_lef { largura: 100%; preenchimento: 10px; } .fl_rig { preenchimento: 0 10px 10px 10px; largura: 100%; } } @media tela e (largura máxima: 400px) { .cz-story-navigation ul li:first-child { preenchimento à esquerda: 6px; } .cz-story-navigation ul li:último-filho { preenchimento à direita: 6px; } } <h3>2. Entrega de código malicioso (também conhecido como. ClickFix, FileFix, etc.)</h3> Uma das maiores tendências de segurança no ano passado foi o surgimento da técnica de ataque conhecida como <a href="https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/" rel="nofollow noopener" target="_blank">ClickFix</a>. Originalmente conhecidos como “CAPTCHA falso”, esses ataques tentam induzir os usuários a executar comandos maliciosos em seus dispositivos – normalmente resolvendo alguma forma de desafio de verificação no navegador. Na realidade, ao resolver o desafio, a vítima está copiando código malicioso da área de transferência da página e executando-o em seu dispositivo. Normalmente, ele fornece à vítima instruções que envolvem clicar em prompts e copiar, colar e executar comandos diretamente na caixa de diálogo Executar do Windows, Terminal ou PowerShell. Variantes como <a href="https://mrd0x.com/filefix-clickfix-alternative/" rel="nofollow noopener" target="_blank">Correção de arquivo</a> também surgiram que, em vez disso, usam a barra de endereços do Explorador de Arquivos para executar comandos do sistema operacional, enquanto exemplos recentes viram esse ataque se ramificar para <a href="https://www.bleepingcomputer.com/news/security/fake-mac-fixes-trick-users-into-installing-new-shamos-infostealer/" rel="nofollow noopener" target="_blank">Mac através do terminal macOS</a>. Mais comumente, esses ataques são usados para entregar infostealer malware, usando cookies e credenciais de sessão roubada para acessar aplicativos e serviços de negócios. Assim como o phishing moderno de credenciais e sessões, os links para páginas maliciosas são distribuídos em vários canais de entrega e usando uma variedade de iscas, incluindo a representação de CAPTCHA, o Cloudflare Turnstile, a simulação de um erro ao carregar uma página da Web e muito mais. <div> <img decoding="async" alt="Exemplos de iscas do ClickFix usadas por invasores na natureza" height="600" src="https://news.againstinvaders.com/6-ataques-baseados-em-navegador-para-os-quais-todas-as-equipes-de-seguranca-devem-estar-prontas-em-2025/614"> <img decoding="async" alt="Exemplos de phishing de consentimento, em que um invasor engana a vítima para autorizar um aplicativo controlado pelo invasor com permissões arriscadas." height="600" loading="lazy" src="https://news.againstinvaders.com/6-ataques-baseados-em-navegador-para-os-quais-todas-as-equipes-de-seguranca-devem-estar-prontas-em-2025/878"> <img decoding="async" alt="Os ataques contínuos do Salesforce envolvem aplicativos OAuth maliciosos que recebem acesso ao locatário do Salesforce da vítima." height="600" loading="lazy" src="https://news.againstinvaders.com/6-ataques-baseados-em-navegador-para-os-quais-todas-as-equipes-de-seguranca-devem-estar-prontas-em-2025/940">É muito fácil para os invasores comprarem e adicionarem atualizações maliciosas às extensões existentes, passando facilmente pelas verificações de segurança da loja virtual de extensão). As notícias sobre compromissos baseados em extensões têm aumentado desde o <a href="https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/" rel="nofollow noopener" target="_blank">Extensão Cyberhaven</a> foi hackeado em dezembro de 2024, junto com pelo menos 35 outras extensões. Desde então, tem havido relatórios regulares sobre extensões de roubo de dados <a href="https://www.bleepingcomputer.com/news/security/data-stealing-chrome-extensions-impersonate-fortinet-youtube-vpns/" rel="nofollow noopener" target="_blank">Personificar marcas legítimas</a>e <a href="https://www.bleepingcomputer.com/news/security/chrome-extensions-with-6-million-installs-have-hidden-tracking-code/" rel="nofollow noopener" target="_blank">impactando milhões de usuários</a>. As permissões de extensão de navegador arriscadas incluem amplo acesso a dados, a capacidade de modificar o conteúdo do site, rastrear a atividade do usuário, capturar capturas de tela e gerenciar guias ou solicitações de rede. Permissões como “ler e alterar todos os dados em todos os sites” ou acesso a cookies e histórico de navegação são particularmente perigosas, pois podem ser exploradas para sequestro de sessão, roubo de dados, injeção de malware ou phishing. Geralmente, seus funcionários não devem instalar extensões de navegador aleatoriamente, a menos que sejam pré-aprovadas por sua equipe de segurança. A realidade, no entanto, é que muitas organizações têm muito pouca visibilidade das extensões que seus funcionários estão usando e do risco potencial ao qual estão expostos como resultado. Para lidar com extensões maliciosas, as ferramentas de segurança que operam no navegador podem rastrear as extensões do navegador implantadas, destacar permissões arriscadas, comparar com extensões maliciosas conhecidas, identificar versões fraudulentas/não oficiais de uma extensão legítima e destacar outras propriedades arriscadas comumente associadas a extensões maliciosas (por exemplo, extensões “Desenvolvedor”). <h3>5. Entrega de arquivos maliciosos</h3> Arquivos maliciosos têm sido uma parte essencial da entrega de malware e roubo de credenciais por muitos anos. Assim como canais que não são de e-mail, como malvertising e ataques drive-by, são usados para fornecer phishing e iscas do ClickFix, os arquivos maliciosos também são distribuídos por meios semelhantes, deixando a detecção de arquivos maliciosos para verificações básicas de erros conhecidos, análise de sandbox usando um proxy (não tão útil no contexto de malware com reconhecimento de sandbox) ou análise de tempo de execução no endpoint. Isso não precisa ser apenas executáveis maliciosos que lançam malware diretamente no dispositivo. Os downloads de arquivos também podem conter links adicionais que levam o usuário a conteúdo malicioso. Na verdade, um dos tipos mais comuns de conteúdo para download são os aplicativos HTML (HTAs), comumente usados para gerar páginas de phishing locais para capturar credenciais furtivamente. Mais recentemente, os invasores têm armado arquivos SVG para uma finalidade semelhante, executando como páginas de phishing independentes que renderizam portais de login falsos inteiramente do lado do cliente. Mesmo que o conteúdo mal-intencionado nem sempre possa ser sinalizado na inspeção superficial de um arquivo, a gravação de downloads de arquivos no navegador é uma adição útil à proteção contra malware baseada em endpoint e fornece outra camada de defesa contra downloads de arquivos que executam ataques do lado do cliente ou redirecionam o usuário para conteúdo mal-intencionado baseado na Web. <h3>6. Credenciais roubadas e lacunas de MFA</h3> Este último não é tanto um ataque baseado em navegador, mas é um produto deles. Quando as credenciais são roubadas por meio de phishing ou malware infostealer, elas podem ser usadas para assumir contas sem MFA. Este não é o ataque mais sofisticado, mas é muito eficaz. Você só precisa olhar para o ano passado <a href="https://pushsecurity.com/blog/snowflake-retro?utm_source=bleeping-computer&utm_medium=sponsored-content&utm_term=article" rel="nofollow noopener" target="_blank">Floco de neve</a> comprometimentos de conta ou o <a href="https://pushsecurity.com/blog/why-attackers-are-targeting-jira-with-stolen-credentials?utm_source=bleeping-computer&utm_medium=sponsored-content&utm_term=article" rel="nofollow noopener" target="_blank">Jira</a> ataques no início deste ano para ver como os invasores aproveitam as credenciais roubadas em escala. Com a empresa moderna usando centenas de aplicativos, a probabilidade de um aplicativo não ter sido configurado para MFA obrigatória (se possível) é alta. E mesmo quando um aplicativo foi configurado para SSO e conectado à sua identidade corporativa principal, <a href="https://pushsecurity.com/blog/how-many-vulnerable-identities-do-you-have/?utm_source=bleeping-computer&utm_medium=sponsored-content&utm_term=sidebar" rel="nofollow noopener" target="_blank">“Logins fantasmas” locais podem continuar a existir</a>, aceitando senhas sem necessidade de MFA. Os logins também podem ser observados no navegador – na verdade, é o mais próximo de uma fonte universal de verdade quanto você saberá como seus funcionários estão realmente fazendo login, quais aplicativos estão usando e se a MFA está presente, permitindo que as equipes de segurança encontrem e corrijam logins vulneráveis antes que possam ser explorados por invasores. <h2>Conclusão</h2> Os ataques estão acontecendo cada vez mais no navegador. Isso o torna o lugar perfeito para detectar e responder a esses ataques. Mas, no momento, o navegador é um ponto cego para a maioria das equipes de segurança. A plataforma de segurança baseada em navegador da Push Security fornece recursos abrangentes de detecção e resposta contra a principal causa de violações. O push bloqueia ataques baseados em navegador, como phishing AiTM, preenchimento de credenciais, pulverização de senha e sequestro de sessão usando tokens de sessão roubados. Você também pode usar o Push para encontrar e corrigir vulnerabilidades nos aplicativos que seus funcionários usam, como logins fantasmas, lacunas de cobertura de SSO, lacunas de MFA, senhas vulneráveis, integrações OAuth arriscadas e muito mais para fortalecer sua superfície de ataque de identidade. Se você quiser saber mais sobre como o Push ajuda você a detectar e interromper ataques no navegador, <a href="https://pushsecurity.com/demo?utm_source=bleeping-computer&utm_medium=sponsored-content&utm_term=article" rel="nofollow noopener" target="_blank">Reserve algum tempo com um membro da nossa equipe para uma demonstração ao vivo</a>. Patrocinado e escrito por <a href="https://pushsecurity.com/?utm_source=bleeping-computer&utm_medium=sponsored-content&utm_term=article" rel="sponsored noopener" target="_blank">Segurança Push</a>. </div> </div>