Seguridad seria: Ataques de navegador en el navegador: ¡cuidado con las ventanas que no lo son!

Los investigadores de la empresa de inteligencia de amenazas Group-IB acaban de escribir un intrigante historia de la vida real sobre un truco de phishing molestamente simple pero sorprendentemente efectivo conocido como BitB, corto para navegador-en-el-navegador.

Probablemente haya oído hablar de varios tipos de ataques X-in-the-Y antes, en particular MitM y MitB, corto para manipulador-en-el-medio y manipulador-en-el-navegador.

En un ataque MitM, los atacantes que quieren engañarlo se ubican en algún lugar "en el medio" de la red, entre su computadora y el servidor al que intenta acceder.

(Es posible que no estén literalmente en el medio, ya sea geográficamente o en cuanto a saltos, pero los atacantes de MitM están en algún lugar a lo largo de la ruta, no a la derecha en ninguno de los extremos.)

La idea es que, en lugar de tener que entrar en su computadora, o en el servidor en el otro extremo, lo engañen para que se conecte a ellos (o manipulen deliberadamente su ruta de red, que no puede controlar fácilmente una vez que sus paquetes salen de su propio enrutador), y luego pretenden ser el otro extremo, un proxy malévolo, si lo desea.

Pasan sus paquetes al destino oficial, fisgándolos y tal vez jugueteando con ellos en el camino, luego reciben las respuestas oficiales, que pueden husmear y modificar por segunda vez, y devolvérselas como si fuera usted. d conectado de extremo a extremo tal como esperaba.

Si no está utilizando el cifrado de extremo a extremo, como HTTPS, para proteger tanto la confidencialidad (¡sin espionaje!) como la integridad (¡sin manipulación!) del tráfico, es poco probable que se dé cuenta o incluso que pueda Detecta que alguien más ha estado abriendo tus cartas digitales en tránsito y luego las ha vuelto a sellar.

Atacando en un extremo

A MitB El ataque tiene como objetivo funcionar de manera similar, pero eludiendo el problema causado por HTTPS, que hace que un ataque MitM sea mucho más difícil.

Los atacantes de MitM no pueden interferir fácilmente con el tráfico cifrado con HTTPS: no pueden husmear en sus datos, porque no tienen las claves criptográficas utilizadas por cada extremo para protegerlos; no pueden cambiar los datos cifrados, porque la verificación criptográfica en cada extremo daría la alarma; y no pueden pretender ser el servidor al que te estás conectando porque no tienen el secreto criptográfico que el servidor usa para probar su identidad.

Por lo tanto, un ataque MitB generalmente se basa en infiltrar malware en su computadora primero.

Eso es generalmente más difícil que simplemente acceder a la red en algún momento, pero les da a los atacantes una gran ventaja si pueden manejarlo.

Eso es porque, si pueden insertarse dentro de su navegador, pueden ver y modificar el tráfico de su red. antes de que su navegador lo cifre para el envío, que cancela cualquier protección HTTPS saliente, y después de que su navegador lo descifre en el camino de regreso, anulando así el cifrado aplicado por el servidor para proteger sus respuestas.

¿Qué tal un BitB?

Pero que tal un BitB ¿ataque?

navegador-en-el-navegador es bastante complicado, y el engaño involucrado no les da a los ciberdelincuentes tanto poder como un MitM o un MitB hack, pero el concepto es sorprendentemente simple, y si tiene demasiada prisa, es sorprendentemente fácil caer en la trampa.

La idea de un ataque de BitB es crear lo que parece una ventana de navegador emergente que fue generada de forma segura por el propio navegador, pero que en realidad no es más que una página web que se representó en una ventana de navegador existente.

Podrías pensar que este tipo de engaño está condenado al fracaso, simplemente porque cualquier contenido en el sitio X que pretenda ser del sitio Y aparecerá en el navegador como proveniente de una URL en el sitio X.

Un vistazo a la barra de direcciones hará evidente que te están mintiendo y que lo que sea que estés viendo es probablemente un sitio de phishing.

Ejemplo enemigo, aquí hay una captura de pantalla del example.com sitio web, tomado en Firefox en una Mac:

Si los atacantes lo atrajeron a un sitio falso, podría enamorarse de las imágenes si copiaron el contenido de cerca, pero la barra de direcciones revelaría que no estaba en el sitio que estaba buscando.

En una estafa de Navegador en el navegador, por lo tanto, el objetivo del atacante es crear una web regular página eso se parece a la web sitio y contenido que está esperando, completo con las decoraciones de las ventanas y la barra de direcciones, simulado de la manera más realista posible.

En cierto modo, un ataque de BitB tiene más que ver con el arte que con la ciencia, y tiene más que ver con el diseño web y la gestión de expectativas que con la piratería de redes.

Por ejemplo, si creamos dos archivos de imagen de captura de pantalla que se ven así...

…entonces HTML tan simple como lo que ves a continuación…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

… creará lo que parece una ventana de navegador dentro de una ventana de navegador existente, así:

En este ejemplo muy básico, los tres botones de macOS (cerrar, minimizar, maximizar) en la parte superior izquierda no harán nada, porque no son botones del sistema operativo, solo son fotos de botones, y la barra de direcciones en lo que parece una ventana de Firefox no se puede hacer clic ni editar, porque también es solo una captura de pantalla.

Pero si ahora agregamos un IFRAME al HTML que mostramos arriba, para absorber contenido falso de un sitio que no tiene nada que ver con example.com, como esto…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

... tendrías que admitir que el contenido visual resultante se ve exactamente como una ventana de navegador independiente, aunque en realidad es un página web dentro de otra ventana del navegador.

El contenido del texto y el enlace en el que se puede hacer clic que ve a continuación se descargaron de la dodgy.test Enlace HTTPS en el archivo HTML anterior, que contenía este código HTML:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

El contenido gráfico que remata y sigue al texto HTML hace que parezca que el HTML realmente vino de example.com, gracias a la captura de pantalla de la barra de direcciones en la parte superior:

El artificio es obvio si ve la ventana falsa en un sistema operativo diferente, como Linux, porque obtiene una ventana de Firefox similar a Linux con una "ventana" similar a Mac dentro.

Los componentes falsos de "decoración de escaparates" realmente se destacan como las imágenes que realmente son:

¿Te enamorarías de eso?

Si alguna vez tomó capturas de pantalla de aplicaciones y luego abrió las capturas de pantalla más tarde en su visor de fotos, estamos dispuestos a apostar que en algún momento se engañó a sí mismo al tratar la imagen de la aplicación como si fuera una copia en ejecución de la aplicación en sí.

Apostamos a que ha hecho clic o tocado en una imagen de una aplicación en una aplicación al menos una en su vida, y se preguntó por qué la aplicación no funcionaba. (Está bien, tal vez no lo hayas hecho, pero ciertamente lo hemos hecho, hasta el punto de una confusión genuina).

Por supuesto, si hace clic en la captura de pantalla de una aplicación dentro de un navegador de fotos, corre muy poco riesgo, porque los clics o los toques simplemente no harán lo que espera; de hecho, puede terminar editando o escribiendo líneas en la imagen. en cambio.

Pero cuando se trata de navegador-en-el-navegador En cambio, el “ataque de ilustraciones”, los clics o toques mal dirigidos en una ventana simulada pueden ser peligrosos, porque todavía está en una ventana activa del navegador, donde JavaScript está en juego y donde los enlaces aún funcionan...

…simplemente no estás en la ventana del navegador que pensaste, y tampoco estás en el sitio web que pensaste.

Peor aún, cualquier JavaScript que se ejecute en la ventana activa del navegador (que proviene del sitio impostor original que visitó) puede simular algunos de los comportamientos esperados de una ventana emergente del navegador real para agregar realismo, como arrastrarlo, cambiar su tamaño y más.

Como dijimos al principio, si está esperando una ventana emergente real y ve algo que de verdad una ventana emergente, completa con botones de navegador realistas más una barra de direcciones que coincide con lo que esperabas, y estás un poco apurado...

…podemos entender completamente cómo es posible que reconozca erróneamente la ventana falsa como una real.

Juegos de Steam dirigidos

En el Grupo-IB la investigación Como mencionamos anteriormente, el ataque BinB del mundo real que los investigadores encontraron usó Steam Games como señuelo.

Un sitio que parezca legítimo, aunque nunca hayas oído hablar de él, te ofrecería la oportunidad de ganar lugares en un próximo torneo de juegos, por ejemplo...

… y cuando el sitio dijo que estaba abriendo una ventana de navegador separada que contenía una página de inicio de sesión de Steam, en realidad presentó una ventana falsa de navegador en el navegador.

Los investigadores notaron que los atacantes no solo usaron el engaño de BitB para obtener nombres de usuario y contraseñas, sino que también intentaron simular las ventanas emergentes de Steam Guard solicitando códigos de autenticación de dos factores.

Afortunadamente, las capturas de pantalla presentadas por Group-IB mostraron que los delincuentes con los que se encontraron en este caso no fueron muy cuidadosos con los aspectos artísticos y de diseño de su estafa, por lo que la mayoría de los usuarios probablemente detectaron la falsificación.

Pero incluso un usuario bien informado con prisa, o alguien que usa un navegador o un sistema operativo con el que no estaba familiarizado, como en la casa de un amigo, podría no haber notado las inexactitudes.

Además, es casi seguro que los delincuentes más quisquillosos presenten contenido falso más realista, de la misma manera que no todos los estafadores de correo electrónico cometen errores ortográficos en sus mensajes, lo que podría llevar a más personas a revelar sus credenciales de acceso.

¿Qué hacer?

Aquí hay tres consejos:

• Las ventanas del navegador en el navegador no son ventanas de navegador reales. Aunque pueden parecer ventanas a nivel del sistema operativo, con botones e íconos que parecen reales, no se comportan como las ventanas del sistema operativo. Se comportan como páginas web, porque eso es lo que son. Si tienes sospechas, intente arrastrar la ventana sospechosa fuera de la ventana principal del navegador que la contiene. Una ventana real del navegador se comportará de forma independiente, por lo que puede moverla fuera y más allá de la ventana original del navegador. Una ventana de navegador falsa quedará "aprisionada" dentro de la ventana real en la que se muestra, incluso si el atacante ha utilizado JavaScript para tratar de simular un comportamiento que parezca lo más genuino posible. Esto revelará rápidamente que es parte de una página web, no una verdadera ventana por derecho propio.
• Examine las ventanas sospechosas cuidadosamente. Simular de manera realista la apariencia de una ventana del sistema operativo dentro de una página web es fácil de hacer mal, pero difícil de hacer bien. Tómese esos segundos adicionales para buscar signos reveladores de falsedad e inconsistencia.
• En caso de duda, no lo des. Sospeche de los sitios de los que nunca ha oído hablar y en los que no tiene motivos para confiar, que de repente quieren que inicie sesión a través de un sitio de terceros.

Nunca tenga prisa, porque tomarse su tiempo hará que sea mucho menos probable que vea lo que desea. pensar está allí en lugar de ver lo que en realidad is allí.

En tres palabras: Parada. Pensar. Conectar.

---

Imagen destacada de la foto de la ventana de la aplicación que contiene la imagen de la foto de "La Trahison des Images" de Magritte creada a través de Wikipedia .

---