6 cuộc tấn công dựa trên trình duyệt mà các nhóm bảo mật chuẩn bị ngay bây giờ

[Starlink]

Các cuộc tấn công nhắm vào người dùng trên trình duyệt web đã gia tăng chưa từng thấy trong những năm gần đây. Trong bài viết này, chúng ta sẽ tìm hiểu "tấn công dựa trên trình duyệt" là gì và tại sao chúng lại tỏ ra hiệu quả đến vậy.

1. Tấn công dựa trên trình duyệt là gì?

Đầu tiên, điều quan trọng là phải xác định thế nào là tấn công dựa trên trình duyệt.

Trong hầu hết các trường hợp, kẻ tấn công không nghĩ mình đang tấn công trình duyệt web của bạn. Mục tiêu cuối cùng của chúng là xâm phạm các ứng dụng và dữ liệu kinh doanh của bạn. Điều đó có nghĩa là nhắm vào các dịch vụ của bên thứ ba, vốn hiện là xương sống của CNTT doanh nghiệp.

Phương thức tấn công phổ biến nhất hiện nay là kẻ tấn công đăng nhập vào các dịch vụ của bên thứ ba, đánh cắp dữ liệu và kiếm tiền từ đó thông qua tống tiền. Bạn chỉ cần nhìn vào các vụ xâm phạm dữ liệu khách hàng Snowflake năm ngoái hoặc các cuộc tấn công Salesforce vẫn đang tiếp diễn để thấy rõ tác động.

Cách hợp lý nhất để thực hiện điều này là nhắm mục tiêu vào người dùng của các ứng dụng đó. Và do những thay đổi trong quy trình làm việc, người dùng của bạn dễ bị tấn công hơn bao giờ hết — và dễ bị phơi bày trước nhiều kỹ thuật tấn công tiềm ẩn hơn.

Ngày xưa, email là kênh giao tiếp chính với thế giới bên ngoài, và công việc được thực hiện cục bộ — trên thiết bị của bạn, và bên trong môi trường mạng bị khóa của bạn. Điều này khiến email và điểm cuối trở thành ưu tiên hàng đầu về bảo mật.

Nhưng hiện nay, với công việc hiện đại diễn ra trên mạng lưới các ứng dụng internet phi tập trung và nhiều kênh truyền thông đa dạng hơn ngoài email, việc ngăn chặn người dùng tương tác với nội dung độc hại trở nên khó khăn hơn (ít nhất là không cản trở đáng kể khả năng thực hiện công việc của họ).

Vì trình duyệt là nơi truy cập và sử dụng các ứng dụng kinh doanh nên cũng dễ hiểu tại sao các cuộc tấn công ngày càng diễn ra nhiều hơn ở đó.

2. 6 cuộc tấn công dựa trên trình duyệt chính mà các nhóm bảo mật cần biết

2.1. Lừa đảo để lấy thông tin đăng nhập và phiên làm việc

Cách trực tiếp nhất để kẻ tấn công xâm nhập một ứng dụng kinh doanh là lừa đảo người dùng ứng dụng đó. Bạn có thể không nghĩ lừa đảo là một cuộc tấn công dựa trên trình duyệt, nhưng đó chính xác là những gì đang diễn ra ngày nay.

Công cụ và cơ sở hạ tầng lừa đảo đã có nhiều thay đổi trong thập kỷ qua, trong khi những thay đổi đối với CNTT doanh nghiệp có nghĩa là có nhiều hướng tấn công lừa đảo hơn cũng như nhiều ứng dụng và danh tính có thể bị nhắm mục tiêu.

Kẻ tấn công có thể gửi liên kết qua các ứng dụng nhắn tin tức thời, mạng xã hội, tin nhắn SMS, quảng cáo độc hại và sử dụng chức năng nhắn tin trong ứng dụng, cũng như gửi email trực tiếp từ các dịch vụ SaaS để vượt qua các bước kiểm tra qua email. Tương tự, hiện nay có hàng trăm ứng dụng cho mỗi doanh nghiệp có thể bị nhắm mục tiêu, với các mức độ cấu hình bảo mật tài khoản khác nhau.

Ngày nay, lừa đảo trực tuyến hoạt động ở quy mô công nghiệp, sử dụng một loạt các kỹ thuật che giấu và né tránh phát hiện. Thế hệ mới nhất của các bộ công cụ lừa đảo bỏ qua MFA được tùy chỉnh hoàn toàn đang tự động che giấu mã tải trang web, triển khai bảo vệ bot tùy chỉnh (ví dụ: CAPTCHA hoặc Cloudflare Turnstile), sử dụng các tính năng chống phân tích thời gian chạy, và sử dụng các dịch vụ đám mây và SaaS hợp pháp để lưu trữ và phân phối các liên kết lừa đảo nhằm che giấu dấu vết. Bạn có thể đọc thêm về các cách thức mà các cuộc tấn công lừa đảo trực tuyến hiện đại đang vượt qua các biện pháp kiểm soát phát hiện tại đây.

Những thay đổi này khiến hoạt động lừa đảo trở nên hiệu quả hơn bao giờ hết và ngày càng khó phát hiện và ngăn chặn bằng các công cụ chống lừa đảo qua email và mạng.

2.2. Sao chép và dán độc hại (còn gọi là ClickFix, FileFix, v.v.)

Một trong những xu hướng bảo mật lớn nhất trong năm qua là sự xuất hiện của kỹ thuật tấn công được gọi là ClickFix.

Ban đầu được gọi là "CAPTCHA giả", các cuộc tấn công này cố gắng lừa người dùng chạy các lệnh độc hại trên thiết bị của họ — thường bằng cách giải quyết một số hình thức thử thách xác minh trong trình duyệt.

Trên thực tế, bằng cách giải quyết thử thách này, nạn nhân thực chất đang sao chép mã độc từ bảng tạm của trang và chạy nó trên thiết bị của họ. Nó thường đưa ra các hướng dẫn cho nạn nhân bao gồm nhấp vào lời nhắc, sao chép, dán và chạy lệnh trực tiếp trong hộp thoại Run của Windows, Terminal hoặc PowerShell. Các biến thể như FileFix cũng đã xuất hiện, thay vào đó sử dụng Thanh Địa chỉ của File Explorer để thực thi các lệnh hệ điều hành, trong khi các ví dụ gần đây cho thấy cuộc tấn công này lan sang Mac thông qua terminal macOS.

Thông thường nhất, các cuộc tấn công này được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin, sử dụng cookie phiên và thông tin đăng nhập bị đánh cắp để truy cập vào các ứng dụng và dịch vụ kinh doanh.

Giống như lừa đảo thông tin đăng nhập và phiên làm việc hiện đại, các liên kết đến các trang độc hại được phân phối qua nhiều kênh phân phối khác nhau và sử dụng nhiều chiêu trò khác nhau, bao gồm giả mạo CAPTCHA, Cloudflare Turnstile, giả lập lỗi tải trang web, v.v. Nhiều biện pháp bảo vệ tương tự được sử dụng để che giấu và ngăn chặn việc phân tích các trang lừa đảo cũng áp dụng cho các trang ClickFix, khiến việc phát hiện và chặn chúng cũng khó khăn không kém.

2.3. Tích hợp OAuth độc hại

Tích hợp OAuth độc hại là một cách khác để kẻ tấn công xâm nhập ứng dụng bằng cách lừa người dùng cho phép tích hợp với ứng dụng độc hại do kẻ tấn công kiểm soát. Điều này còn được gọi là lừa đảo đồng ý.

Đây là một cách hiệu quả để kẻ tấn công vượt qua các biện pháp xác thực và kiểm soát truy cập cứng nhắc bằng cách bỏ qua quy trình đăng nhập thông thường để chiếm đoạt tài khoản. Điều này bao gồm các phương pháp MFA chống lừa đảo như mật khẩu, vì quy trình đăng nhập tiêu chuẩn không áp dụng.

Một biến thể của kiểu tấn công này đã gây xôn xao dư luận gần đây với các vụ xâm phạm dữ liệu đang diễn ra tại Salesforce. Trong trường hợp này, kẻ tấn công đã lừa nạn nhân ủy quyền cho một ứng dụng OAuth do kẻ tấn công kiểm soát thông qua luồng ủy quyền mã thiết bị trong Salesforce, yêu cầu người dùng nhập mã 8 chữ số thay cho mật khẩu hoặc yếu tố MFA.

Việc ngăn chặn các yêu cầu cấp quyền OAuth độc hại được ủy quyền đòi hỏi phải quản lý chặt chẽ quyền người dùng và cài đặt bảo mật của bên thuê trong ứng dụng. Đây không phải là một nhiệm vụ dễ dàng khi xét đến hàng trăm ứng dụng đang được sử dụng trên khắp doanh nghiệp hiện đại, nhiều ứng dụng trong số đó không được quản lý tập trung bởi đội ngũ CNTT và bảo mật (hoặc trong một số trường hợp, họ hoàn toàn không biết). Ngay cả khi đó, bạn vẫn bị giới hạn bởi các biện pháp kiểm soát do nhà cung cấp ứng dụng cung cấp.

Trong trường hợp này, Salesforce đã công bố những thay đổi theo kế hoạch đối với việc xác thực ứng dụng OAuth nhằm cải thiện bảo mật do các cuộc tấn công này gây ra — nhưng vẫn còn nhiều ứng dụng có cấu hình không an toàn mà kẻ tấn công có thể lợi dụng trong tương lai.

2.4. Tiện ích mở rộng trình duyệt độc hại

Tiện ích mở rộng trình duyệt độc hại là một cách khác để kẻ tấn công xâm phạm ứng dụng doanh nghiệp của bạn bằng cách quan sát và ghi lại thông tin đăng nhập khi chúng diễn ra và/hoặc trích xuất cookie phiên và thông tin đăng nhập được lưu trong bộ nhớ đệm của trình duyệt và trình quản lý mật khẩu.

Kẻ tấn công thực hiện điều này bằng cách tạo tiện ích mở rộng độc hại của riêng chúng và lừa người dùng cài đặt, hoặc chiếm quyền kiểm soát tiện ích mở rộng hiện có để truy cập vào các trình duyệt đã cài đặt tiện ích mở rộng đó. Kẻ tấn công có thể dễ dàng mua và thêm các bản cập nhật độc hại vào tiện ích mở rộng hiện có, qua mặt các quy trình kiểm tra bảo mật của cửa hàng tiện ích mở rộng trực tuyến.

Tin tức về các vụ xâm phạm dựa trên tiện ích mở rộng đã gia tăng kể từ khi tiện ích mở rộng Cyberhaven bị tấn công vào tháng 12 năm 2024, cùng với ít nhất 35 tiện ích mở rộng khác. Kể từ đó, hàng trăm tiện ích mở rộng độc hại đã được phát hiện, với hàng triệu lượt cài đặt.

Nhìn chung, nhân viên của bạn không nên tự ý cài đặt tiện ích mở rộng trình duyệt trừ khi được nhóm bảo mật chấp thuận trước. Tuy nhiên, thực tế là nhiều tổ chức không nắm rõ các tiện ích mở rộng mà nhân viên đang sử dụng, cũng như những rủi ro tiềm ẩn mà họ phải đối mặt.

2.5. Gửi tệp tin độc hại

Các tệp độc hại đã là một phần cốt lõi của việc phát tán phần mềm độc hại và đánh cắp thông tin đăng nhập trong nhiều năm. Cũng giống như các kênh không phải email như quảng cáo độc hại và tấn công drive-by được sử dụng để phát tán lừa đảo và mồi nhử ClickFix, các tệp độc hại cũng được phân phối thông qua các phương thức tương tự — để việc phát hiện tệp độc hại cho các bước kiểm tra cơ bản đã biết là không hợp lệ, phân tích hộp cát bằng proxy (không hữu ích lắm trong bối cảnh phần mềm độc hại nhận biết hộp cát) hoặc phân tích thời gian chạy trên điểm cuối.

Điều này không chỉ đơn thuần là các tệp thực thi độc hại trực tiếp thả phần mềm độc hại vào thiết bị. Tệp tải xuống cũng có thể chứa các liên kết bổ sung dẫn người dùng đến nội dung độc hại. Trên thực tế, một trong những loại nội dung tải xuống phổ biến nhất là Ứng dụng HTML (HTA), thường được sử dụng để tạo ra các trang lừa đảo cục bộ nhằm đánh cắp thông tin đăng nhập một cách lén lút. Gần đây, kẻ tấn công đã lợi dụng các tệp SVG cho mục đích tương tự, chạy như các trang lừa đảo độc lập, tạo ra các cổng đăng nhập giả mạo hoàn toàn ở phía máy khách.

Ngay cả khi không phải lúc nào cũng có thể phát hiện nội dung độc hại khi kiểm tra tệp ở cấp độ bề mặt, việc ghi lại các lần tải xuống tệp trong trình duyệt là một bổ sung hữu ích cho biện pháp bảo vệ chống phần mềm độc hại dựa trên điểm cuối và cung cấp một lớp phòng thủ khác chống lại các lần tải xuống tệp thực hiện các cuộc tấn công từ phía máy khách hoặc chuyển hướng người dùng đến nội dung độc hại dựa trên web.

2.6. Thông tin xác thực bị đánh cắp và lỗ hổng MFA

Cuộc tấn công cuối cùng này không hẳn là một cuộc tấn công dựa trên trình duyệt, mà là một sản phẩm của chúng. Khi thông tin đăng nhập bị đánh cắp thông qua lừa đảo hoặc phần mềm độc hại đánh cắp thông tin, chúng có thể được sử dụng để chiếm đoạt các tài khoản không có Xác thực Đa yếu tố (MFA).

Đây không phải là cuộc tấn công tinh vi nhất, nhưng lại rất hiệu quả. Bạn chỉ cần xem xét các vụ xâm nhập tài khoản Snowflake năm ngoái hoặc các cuộc tấn công Jira đầu năm nay để thấy cách kẻ tấn công khai thác thông tin đăng nhập bị đánh cắp trên quy mô lớn.

Với việc doanh nghiệp hiện đại sử dụng hàng trăm ứng dụng, khả năng một ứng dụng chưa được cấu hình cho MFA bắt buộc (nếu có thể) là rất cao. Và ngay cả khi ứng dụng đã được cấu hình cho SSO và được kết nối với danh tính doanh nghiệp chính của bạn, "đăng nhập ma" cục bộ vẫn có thể tồn tại, chấp nhận mật khẩu không yêu cầu MFA.

Bạn cũng có thể theo dõi thông tin đăng nhập trong trình duyệt — trên thực tế, đây gần như là nguồn thông tin đáng tin cậy nhất mà bạn có thể tìm thấy về cách nhân viên của mình thực sự đăng nhập, ứng dụng họ đang sử dụng và liệu có MFA hay không, cho phép nhóm bảo mật tìm và khắc phục các thông tin đăng nhập dễ bị tấn công trước khi chúng có thể bị kẻ tấn công khai thác.

Các cuộc tấn công ngày càng diễn ra nhiều hơn trên trình duyệt. Điều này khiến trình duyệt trở thành nơi hoàn hảo để phát hiện và ứng phó với các cuộc tấn công này. Tuy nhiên, hiện tại, trình duyệt lại là điểm mù đối với hầu hết các nhóm bảo mật.