Código HTML do Conteúdo

Post: ChromeAlone - Um Cobalt Strike baseado em navegador como a ferramenta C2 que transforma o Chrome em um playground de hackers - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> Na DEF CON 33, o pesquisador de segurança Mike Weber, da Praetorian Security, revelou o ChromeAlone – um Estrutura de Comando e Controle (C2) do navegador baseado em Chromium capaz de substituir implantes de segurança ofensivos tradicionais como <a href="https://gbhackers.com/hackers-deploy-cobalt-strike-beacon/" rel="noreferrer noopener" target="_blank">Golpe de cobalto</a> ou <a href="https://gbhackers.com/metasploit-module-exploit-sharepoint-vulnerabilities/" rel="noreferrer noopener" target="_blank">Meterpreter</a>. Não muito tempo atrás, os navegadores da web eram pouco mais do que wrappers para solicitações HTTP. Hoje, são plataformas complexas e repletas de recursos, tão sofisticadas que se assemelham a sistemas operacionais completos. Essa evolução traz conveniência, mas também uma superfície de ataque massiva. O ChromeAlone é uma estrutura de código aberto que transforma essa complexidade em uma arma, usando recursos integrados do Chrome para replicar os recursos de um implante tradicional de Comando e Controle (C2), ao mesmo tempo em que passa pela maioria dos sistemas de detecção de endpoint. O que diferencia o ChromeAlone é sua discrição: ele se esconde inteiramente nos recursos nativos do Chromium, evitando as pegadas óbvias de malware que <a href="https://gbhackers.com/zig-strike-new-offensive-toolkit/" rel="noreferrer noopener" target="_blank">Detecção e resposta de endpoint</a> (EDR) geralmente procuram. O ChromeAlone carrega componentes maliciosos no navegador sem interação do usuário, aproveitando: <ul> <li>APIs nativas do Chrome para persistência.</li> <li>WebAssembly (WASM) para ofuscação e anti-análise.</li> <li>Aplicativos Web e extensões isolados como mecanismos de entrega.</li> <li>Abuso de recursos do navegador para evitar descartar binários suspeitos no disco.</li> </ul> O resultado é um implante furtivo e altamente capaz que se mistura à atividade legítima do navegador – um desafio para os sistemas antivírus e EDR tradicionais que se concentram em arquivos executáveis em vez de extensões de navegador ou processos internos. <h2 id="h-why-chromealone-is-a-big-deal">Por que o ChromeAlone é um grande negócio</h2> De acordo com o repositório, os implantes ChromeAlone podem: <ul> <li>Atuar como um Proxy TCP SOCKS do hospedeiro infectado.</li> <li>Roubar sessões do navegador e credenciais armazenadas.</li> <li>Executar executáveis diretamente do Chrome.</li> <li>Prompts do Phish WebAuthn de YubiKeys, Titan Security Keys e outros autenticadores físicos.</li> <li>Manter a persistência sem binários tradicionais — usando apenas a funcionalidade integrada do Chrome.</li> </ul> Para os membros da equipe vermelha, isso significa furtividade e flexibilidade. Para os defensores, isso significa mais um lugar para procurar invasões: o próprio navegador. <h2 id="h-step-by-step-operator-guide-to-chromealone">Guia passo a passo do operador para o ChromeAlone</h2> Enquanto a ferramenta foi <a href="https://github.com/mandatoryprogrammer/CursedChrome" rel="noreferrer noopener nofollow" target="_blank">Lançado</a> para pesquisa e testes autorizados, seu README detalha um pipeline de implantação completo. Aqui está o tutorial destilado. <h3 id="h-1-build-the-docker-image">1. Crie a imagem do Docker</h3> <pre><code>docker build -t chromealone </code></pre> <h3 id="h-2-deploy-the-infrastructure">2. Implante a infraestrutura</h3> O ChromeAlone é compatível com dois modos de implantação: <h4 id="h-option-a-fresh-aws-deployment">Opção A – Nova implantação da AWS</h4> Requisitos: <ul> <li>Conta da AWS com: <ul> <li>Permissões completas de gravação do EC2</li> <li>Gerenciamento de DNS do Route53</li> <li>Pelo menos uma zona hospedada com um domínio registrado</li> </ul> </li> <li>Credenciais da AWS CLI armazenadas em <code>~/.aws/credentials</code></li> </ul> Comando: <pre><code>docker run --rm -v $(pwd):/project -v ~/.aws:/root/.aws chromealone --domain=sendmea.click --appname=UpdateService </code></pre> <ul> <li><code>--domain</code> deve corresponder a um domínio do Route53 que você controla.</li> <li><code>--appname</code> é usado para chaves e pastas do Registro — escolha algo inócuo.</li> </ul> Saídas: <ul> <li><code>output/client</code> – Console de gerenciamento baseado na Web</li> <li><code>output/sideloader.ps1</code> – Instalador do PowerShell para o destino</li> <li><code>output/extension</code> – Extensão maliciosa do Chrome</li> <li><code>output/iwa</code> – Pacote de aplicativos da Web isolados maliciosos</li> <li><code>output/relay-deployment</code> – Artefatos Terraform e chave SSH para host AWS</li> </ul> <h4 id="h-option-b-using-existing-deployment">Opção B – Usando a implantação existente</h4> Se você já tiver um servidor implantado, aponte o ChromeAlone para seu <code>terraform.tfvars</code>: <pre><code>docker run --rm -v $(pwd):/project -v ~/.aws:/root/.aws chromealone --tfvars=/project/path/to/terraform.tfvars --appname=UpdateService </code></pre> Isso regenera sideloaders e extensões maliciosas sem reimplantar a infraestrutura. <h3 id="h-3-install-on-target-hosts">3. Instale nos hosts de destino</h3> Copiar <code>sideloader.ps1</code> para o destino e executar: <pre><code>powershell.exe -ExecutionPolicy Bypass -File .sideloader.ps1 </code></pre> Sinalizadores opcionais: <ul> <li><code>-InstallNativeMessagingHost $true</code> → Necessário para comandos shell</li> <li><code>-ForceRestart $true</code> → Força a reinicialização do Chrome para ativação imediata</li> </ul> A execução normalmente leva 20 a 30 segundos. <h3 id="h-4-operating-chromealone">4. Operando o ChromeAlone</h3> Depois de implantado, abra: <pre><code>output/client/index.html </code></pre> Este webapp pré-configurado se conecta ao PLANO DE BATALHA servidor de retransmissão. A partir daqui, os operadores podem: <ul> <li>Histórico de despejo e cookies</li> <li>Capturar credenciais</li> <li>Acionar prompts do WebAuthn</li> <li>Procurar sistema de arquivos</li> <li>Executar comandos do shell</li> </ul> <h3 id="h-5-socks-proxying">5. Proxy de SOCKS</h3> Each host infectado tem uma porta SOCKS exclusiva mostrada no painel “Informações do agente”. Exemplo: <pre><code>proxychains -q socks5 admin:thisisnotarealpassword@chrome.alone:1081 curl http://ifconfig.me </code></pre> <h2 id="h-chromealone-s-inner-workings">Funcionamento interno do ChromeAlone</h2> O repositório se divide em componentes especializados: <ul> <li>PLANO DE BATALHA – Servidor de gerenciamento + scripts de implantação da AWS</li> <li>MAÇARICO – Aplicativo da Web isolado para proxy SOCKS e comunicações WebSocket</li> <li>MAÇANETA – Gerador de sideloader PowerShell</li> <li>RODAS QUENTES – Extensão maliciosa do Chrome (recursos baseados em WebAssembly)</li> <li>BALDE DE TINTA – Scripts de phishing WebAuthn</li> </ul> Embora o ChromeAlone seja uma ferramenta legítima de teste de penetração, ele demonstra uma tendência crescente: o armamento do software do dia a dia. Os navegadores estão se tornando cada vez mais ambos o vetor de ataque e o centro de comando. Os defensores devem: <ul> <li>Monitore extensões de navegador suspeitas.</li> <li>Audite a atividade do WebAuthn em busca de anomalias.</li> <li>Fique atento ao tráfego WebSocket/SOCKS de saída inesperado.</li> </ul> Ache esta notícia interessante! Siga-nos no<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google Notícias</a>,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>, &<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>para obter atualizações instantâneas! </div></div>