骇客架设远端浏览器来发动浏览器中间人攻击(Browser in the Middle,BitM),借由在使用者存取网路应用程式的过程里,不知不觉地挟持用户的帐号,但如今有研究人员揭露改良版的攻击手法,使用者恐更难察觉。
资安业者SquareX指出,一般的BitM攻击有机会从网址列察觉,但若是攻击者搭配浏览器全萤幕浏览的API,就更有机会骗过使用者而得逞。
【攻击与威胁】
资安业者SquareX揭露新的Browser in the Middle(BitM)攻击手法,可让骇客暗中窃取用户帐密或其他资料,主要浏览器Chrome、Edge、Safari的用户,皆可能受害。
研究人员指出,过往的BitM存在破绽,那就是会在浏览器显示恶意网址,若是攻击者搭配全萤幕显示的API,就有可能隐藏网址列,降低恶意网址被察觉的机会。由于现行的API并未指定触发全萤幕显示的方法,假若攻击者在冒牌登入视窗加入按键,并在按键加入触发全萤幕API的功能,一旦使用者按下按钮,浏览器就会进入全萤幕模式,而能让攻击者隐藏BitM活动。
这种手法对于大部分的浏览器都可能造成影响,其中,Safari用户的风险最高,原因是该浏览器触发全萤幕的过程,完全不会显示相关讯息。至于Chrome、Edge等以Chromium为基础的浏览器(以及Firefox浏览器)虽然会出现警示讯息,但大约只会维持数秒,若是攻击者再搭配深色背景,就可能会被使用者忽略。
从4月底至5月上旬,英国多家零售业者玛莎百货(Marks & Spencer,M&S)、连锁超市Co-op、精品百货公司哈洛德(Harrods)接连传出遭到网路攻击,如今这种针对零售业的攻击行动,也针对流行时尚品牌而来。
根据Bleeping Computer、Dark Reading、HackRead、SecurityAffairs等多家媒体报导,5月29日美国女性内衣品牌维多利亚的秘密(Victoria’s Secret)网站出现服务中断的情况,该公司在网站表示遭遇资安事故,正著手确认及采取因应措施,为了防范事态扩大,他们暂时将网站离线,以及暂停部分网路商店服务。至于维多利亚的秘密与Pink的实体门市,仍会持续营业并提供相关服务。
对于资安事故的性质、影响的范围,以及是否有资料外泄的情况,维多利亚的秘密并未进一步说明。有客户在社群网站X抱怨,28日该公司网站已关闭2天,她无法查询订单,打客服电话也无人回应。
根据新闻网站BankInfoSecurity的报导,世界协调时间(UTC)5月29日下午2时资安业者SentinelOne传出多项服务出现中断的情况,许多IT人员于社交网站Reddit反映此事,当时追踪此事的资安专家Kevin Beaumont指出,除了该公司的网站之外,端点防护、XDR、云端防护、身分识别、威胁情资、弱点管理等10项服务,皆出现异常。
大约事发6个小时后,SentinelOne证实服务中断的情况,表示全球客户都受到影响,他们正著手处理。SentinelOne指出,造成事故的原因在于,他们著手将正式系统过渡到新的云端架构,此系统改采基础设施即程式码(Infrastructure-as-Code,IaC)的策略打造。误删路由发生在其中一个即将汰除的控制系统,当此系统触发建立新帐号的事件引发软体缺陷,导致此系统的组态比对功能出错,覆写原本建立的网路设定,引入了完全空白的路由表,导致后端的云端服务连线异常,用户也无法存取管理主控台。
【资安防御措施】
荷兰警方及美国司法部(DOJ)日前宣布,已共同关闭了被骇客用来对抗防毒软体的关键服务AVCheck。
AVCheck是个专为网路犯罪份子设计的反防毒(Counter Antivirus,CAV)服务,提供恶意软体开发者测试其程式是否能被主流防毒软体侦测到。它允许注册用户上传档案,并在26种防毒引擎上进行扫描,还能检查网域名称或IP位址是否已被安全系统标记或封锁。
国际警方在5月27日接管AVCheck.net,关闭伺服器并扣押使用者资料库。美国司法部表示,破获AVCheck是执法行动Operation Endgame的一部分,此行动锁定于瓦解恶意程式网路犯罪服务,上个月国际警方亦携手破坏7个僵尸网路,查封300台伺服器及650个网域。