Secondo il nuovo studio di un ricercatore accademico presso il SANS Technology Institute, David Prefer, la sincronizzazione per i segnalibri (o preferiti) può essere sfruttata per rubare dati o per introdurre strumenti di attacco e payload malevoli.
Gli odierni browser web come Chrome, Edge, Safari, Firefox e altri ancora, offrono funzionalità di sincronizzazione per i segnalibri in modo da potervi accedere da diversi dispositivi. Il ricercatore spiega che la sincronizzazione dei segnalibri può essere sfruttata come nuovo vettore d’attacco, descrivendo il processo come “bruggling” – termine che deriva da “browser” e “smuggling” (contrabbando) – il cui primo utilizzo da parte di attaccanti è il furto di dati.
Gli hacker attraverso la sincronizzazione dei segnalibri ottengono un modo per esfiltrare i dati e aggirare la maggior parte degli strumenti di rilevamento a cui la procedura appare come normale traffico di sincronizzazione del browser. L’utilizzo però dei segnalibri e della sincronizzazione solo per l’esfiltrazione non ha senso, si legge nella ricerca: la sincronizzazione del browser fornisce un canale bidirezionale per i dati. I segnalibri possono essere sfruttati per introdurre script o strumenti di attacco in un ambiente, per fornire payload dannosi o per trasferire dati tra i sistemi durante il movimento laterale.
Inoltre, possono essere utilizzati anche per ottenere un punto d’appoggio iniziale per una sorta di attacco di phishing in due fasi. Ad esempio, se un utente ha effettuato l’accesso al browser sul posto di lavoro utilizzando lo stesso account per accedere dal proprio computer personale a casa, quest’ultimo fornisce una via d’accesso alla rete aziendale.
Un threat actor potrebbe prendere di mira un dipendente – utilizzando intelligence open-source o il social engineering per ottenere il suo indirizzo e-mail personale, le sue abitudini e altro ancora – e lanciare un attacco di spear-phishing per cercare di compromettere il suo computer di casa. Dovrebbe poi solo sostituire un segnalibro di un sito che l’utente vittima frequenta (come Google) con uno che lo indirizzi a un sito simile per rubare le credenziali o scaricare un payload dannoso o entrambi. Una volta sincronizzato, si tratterebbe solo di una questione di tempo prima che l’utente interagisca con quel segnalibro sul suo computer di lavoro.
https://www.securityinfo.it/2022/08/03/dati-rubabili-con-la-sincronizzazione-dei-segnalibri/
https://sansorg.egnyte.com/dl/QiM93tBLEr
