6 حمله مبتنی بر مرورگر که تیم های امنیتی باید برای آنها آماده باشند

حملاتی که کاربران را در مرورگرهای وب خود هدف قرار می‌دهند، در سال‌های اخیر افزایش بی‌سابقه‌ای داشته‌اند. در این مقاله، بررسی خواهیم کرد که «حمله مبتنی بر مرورگر» چیست و چرا تا این حد مؤثر واقع می‌شوند.

حمله مبتنی بر مرورگر چیست؟

اول از همه، مهم است که مشخص کنیم حمله مبتنی بر مرورگر چیست.

در بیشتر سناریوها، مهاجمان خود را در حال حمله به مرورگر وب شما نمی‌دانند بلکه هدف نهایی آنها به خطر انداختن برنامه‌ها و داده‌های تجاری شما است. این موضوع به معنای حمله به سرویس‌های Third party است که در حال حاضر از عناصر مهم کسب و کار هستند.

رایج‌ترین مسیر حملات امروزی، ورود مهاجمان به سرویس‌های Third Party، تخلیه داده‌ها و کسب درآمد از طریق اخاذی است. برای دیدن تأثیر، کافی است به نقض‌های امنیتی مشتریان Snowflake در سال گذشته یا حملات Salesforce که هنوز هم ادامه دارد، نگاهی بیندازید.

منطقی‌ترین راه برای انجام این کار، هدف قرار دادن کاربران آن برنامه‌ها است و به دلیل تغییرات در شیوه‌های کاری، کاربران بیش از هر زمان دیگری در دسترس مهاجمان خارجی هستند – و در معرض طیف وسیع‌تری از تکنیک‌های حمله قرار دارند.

زمانی، ایمیل کانال ارتباطی اصلی با جهان گسترده‌تر بود و کارها به صورت محلی – روی دستگاه شما و در محیط شبکه قفل‌شده شما – انجام می‌شد. این امر ایمیل و اندپوینت را از دیدگاه امنیتی در بالاترین اولویت قرار می‌داد.

اما اکنون، با انجام کارهای مدرن در شبکه‌ای از برنامه‌های اینترنتی غیرمتمرکز و کانال‌های ارتباطی متنوع‌تر خارج از ایمیل، جلوگیری از تعامل کاربران با محتوای مخرب دشوارتر است (حداقل، بدون اینکه مانع قابل توجهی در توانایی آنها در انجام کارهایشان ایجاد شود).

با توجه به اینکه مرورگر مکانی است که برنامه‌های تجاری در آن دسترسی و استفاده می‌شوند، منطقی است که حملات به طور فزاینده‌ای در آنجا نیز رخ می‌دهند.

۶ حمله کلیدی مبتنی بر مرورگر که تیم‌های امنیتی باید درباره آنها بدانند

۱. فیشینگ برای دسترسی به اعتبارنامه‌ها و جلسات

مستقیم‌ترین راه برای یک مهاجم جهت به خطر انداختن یک برنامه تجاری، فیشینگ کاربر آن برنامه است. ممکن است لزوماً فیشینگ را به عنوان یک حمله مبتنی بر مرورگر در نظر نگیرید، اما دقیقاً همان چیزی است که امروزه وجود دارد.

ابزار و زیرساخت فیشینگ در دهه گذشته بسیار تکامل یافته است، در حالی که تغییرات در فناوری اطلاعات کسب و کار به این معنی است که هم بردارهای بسیار بیشتری برای انجام حمله فیشینگ و هم برنامه‌ها و هویت‌های هدف وجود دارد.

مهاجمان می‌توانند لینک‌ها را از طریق برنامه‌های پیام‌رسان فوری، رسانه‌های اجتماعی، پیامک، تبلیغات مخرب ارسال کنند و از قابلیت‌های پیام‌رسان درون برنامه‌ای استفاده کنند و همچنین ایمیل‌ها را مستقیماً از سرویس‌های SaaS ارسال کنند تا بررسی‌های مبتنی بر ایمیل را دور بزنند. به همین ترتیب، اکنون صدها برنامه در هر سازمانی برای هدف قرار دادن وجود دارد که سطوح مختلفی از پیکربندی امنیتی حساب را دارند.

امروزه، فیشینگ در مقیاس صنعتی و با استفاده از مجموعه‌ای از تکنیک‌های مبهم‌سازی و فرار از تشخیص عمل می‌کند. جدیدترین نسل کیت‌های فیشینگ کاملاً سفارشی‌شده برای دور زدن MFA، به صورت پویا کدی را که صفحه وب را بارگذاری می‌کند، مبهم‌سازی می‌کنند، محافظت از ربات‌های سفارشی (مانند CAPTCHA یا Cloudflare Turnstile) را پیاده‌سازی می‌کنند، از ویژگی‌های ضد تحلیل در زمان اجرا استفاده می‌کنند و از سرویس‌های SaaS و ابری قانونی برای میزبانی و ارائه لینک‌های فیشینگ برای پوشاندن ردپای خود استفاده می‌کنند.

این تغییرات، فیشینگ را مؤثرتر از همیشه می‌کند و تشخیص و مسدود کردن آن با استفاده از ابزارهای ضد فیشینگ ایمیل و شبکه را دشوارتر می‌سازد.

۲. کپی و پیست مخرب (معروف به ClickFix، FileFix و غیره)

یکی از بزرگترین روندهای امنیتی در سال گذشته، ظهور تکنیک حمله‌ای به نام ClickFix بوده است.

این حملات که در ابتدا با نام “CAPTCHA جعلی” شناخته می‌شدند، تلاش می‌کنند تا کاربران را فریب دهند تا دستورات مخرب را روی دستگاه خود اجرا کنند – معمولاً با حل نوعی چالش تأیید در مرورگر.

در واقع، با حل این چالش، قربانی کد مخرب را از کلیپ‌بورد صفحه کپی کرده و آن را روی دستگاه خود اجرا می‌کند. این روش معمولاً به قربانی دستورالعمل‌هایی می‌دهد که شامل کلیک کردن روی اعلان‌ها و کپی کردن، پیست کردن و اجرای دستورات مستقیماً در کادر Windows Run، ترمینال یا PowerShell است. انواع دیگری مانند FileFix نیز ظهور کرده‌اند که در عوض از نوار آدرس File Explorer برای اجرای دستورات سیستم عامل استفاده می‌کنند، و در نمونه‌های اخیر دیده شده است که این حمله از طریق ترمینال macOS به Mac نیز سرایت می‌کند.

معمولاً از این حملات برای ارائه بدافزارهای سرقت اطلاعات استفاده می‌شود و از کوکی‌های نشست و اعتبارنامه‌های سرقت شده برای دسترسی به برنامه‌ها و خدمات تجاری استفاده می‌شود.

مانند فیشینگ مدرن اعتبارنامه و نشست، لینک‌ها به صفحات مخرب از طریق کانال‌های تحویل مختلف و با استفاده از انواع فریب‌ها، از جمله جعل هویت CAPTCHA، Cloudflare Turnstile، شبیه‌سازی خطا در بارگیری یک صفحه وب و بسیاری موارد دیگر، توزیع می‌شوند. بسیاری از همان محافظت‌هایی که برای مبهم‌سازی و جلوگیری از تجزیه و تحلیل صفحات فیشینگ استفاده می‌شوند، در مورد صفحات ClickFix نیز اعمال می‌شوند و تشخیص و مسدود کردن آنها را به همان اندازه چالش برانگیز می‌کنند.

۳. ادغام‌های مخرب OAuth

ادغام‌های مخرب OAuth راه دیگری برای مهاجمان است تا با فریب کاربر برای تأیید ادغام با یک برنامه مخرب و تحت کنترل مهاجم، به یک برنامه نفوذ کنند. این روش همچنین به عنوان فیشینگ رضایت شناخته می‌شود.

این یک روش مؤثر برای مهاجمان به منظور دور زدن فرآیندهای معمول ورود به سیستم برای تصاحب یک حساب کاربری، احراز هویت و کنترل‌های دسترسی سخت‌گیرانه است.

نوعی از این حمله اخیراً با نقض‌های مداوم Salesforce تیتر خبرها شده است. در این سناریو، مهاجم قربانی را فریب می‌دهد تا از طریق جریان  احراز هویت، کد دستگاه Salesforce را در یک برنامه OAuth تحت کنترل مهاجم مجاز کند و از کاربر می‌خواهد به جای رمز عبور یا MFA، یک کد ۸ رقمی وارد کند.

جلوگیری از مجاز شدن مجوزهای مخرب OAuth نیازمند مدیریت دقیق مجوزهای کاربر و تنظیمات امنیتی کاربر در داخل برنامه است. این کار با توجه به صدها برنامه‌ای که در سراسر سازمان‌های مدرن استفاده می‌شوند و بسیاری از آنها به طور مرکزی توسط تیم‌های فناوری اطلاعات و امنیت مدیریت نمی‌شوند (یا در برخی موارد، کاملاً برای آنها ناشناخته هستند)، کار ساده‌ای نیست. حتی در این صورت، شما توسط کنترل‌هایی که توسط سازنده برنامه در دسترس قرار می‌گیرد، محدود می‌شوید.

در این مورد، Salesforce اعلام کرده است که تغییرات برنامه‌ریزی‌شده‌ای را در مجوزدهی برنامه‌های OAuth اعمال خواهد کرد تا امنیت ناشی از این حملات را بهبود بخشد – اما برنامه‌های بسیار بیشتری با پیکربندی‌های ناامن وجود دارند که مهاجمان می‌توانند در آینده از آنها سوءاستفاده کنند.

۴. افزونه‌های مخرب مرورگر

افزونه‌های مخرب مرورگر، راه دیگری برای مهاجمان هستند تا با مشاهده و ثبت ورودها در حین انجام کار، و/یا استخراج کوکی‌های نشست و اعتبارنامه‌های ذخیره شده در حافظه پنهان مرورگر و مدیریت رمز عبور، برنامه‌های تجاری شما را به خطر بیندازند

مهاجمان این کار را با ایجاد افزونه مخرب خود و فریب کاربران برای نصب آن، یا تصاحب یک افزونه موجود برای دسترسی به مرورگرهایی که از قبل نصب شده‌اند، انجام می‌دهند. خرید و افزودن به‌روزرسانی‌های مخرب به افزونه‌های موجود برای مهاجمان به طرز شگفت‌آوری آسان است و به راحتی از بررسی‌های امنیتی فروشگاه وب افزونه عبور می‌کنند.

اخبار مربوط به نفوذهای مبتنی بر افزونه از زمان هک شدن افزونه Cyberhaven در دسامبر ۲۰۲۴، به همراه حداقل ۳۵ افزونه دیگر، رو به افزایش بوده است. از آن زمان، صدها افزونه مخرب با میلیون‌ها نصب شناسایی شده‌اند.

به طور کلی، کارمندان سازمان نباید به طور تصادفی افزونه‌های مرورگر را نصب کنند، مگر اینکه از قبل توسط تیم امنیتی سازمان تأیید شده باشند. با این حال، واقعیت این است که بسیاری از سازمان‌ها، دید بسیار کمی نسبت به افزونه‌هایی که کارمندانشان استفاده می‌کنند و خطرات بالقوه‌ای که در نتیجه‌ی این استفاده‌ها آنها را تهدید می‌کند، دارند.

۵. ارسال فایل‌های مخرب

فایل‌های مخرب سال‌هاست که بخش اصلی ارسال بدافزار و سرقت اطلاعات کاربری بوده‌اند. همانطور که از کانال‌های غیر ایمیلی مانند تبلیغات مخرب و حملات drive-by برای ارسال فیشینگ و فریب‌های ClickFix استفاده می‌شود، فایل‌های مخرب نیز از طریق روش‌های مشابه توزیع می‌شوند – تشخیص فایل‌های مخرب به بررسی‌های اولیه known-bad، تجزیه و تحلیل سندباکس با استفاده از پروکسی (که در زمینه بدافزارهای آگاه از سندباکس مفید نیست) یا تجزیه و تحلیل زمان اجرا در اندپوینت واگذار می‌شود.

این موارد فقط شامل فایل‌های اجرایی مخربی که مستقیماً بدافزار را روی دستگاه قرار می‌دهند، نیست. فایل‌ها دانلود شده همچنین می‌تواند حاوی لینک‌های اضافی باشد که کاربر را به محتوای مخرب هدایت می‌کند. در واقع، یکی از رایج‌ترین انواع محتوای قابل دانلود، برنامه‌های HTML (HTAs) است که معمولاً برای ایجاد صفحات فیشینگ محلی برای ضبط مخفیانه اطلاعات کاربری استفاده می‌شود. اخیراً، مهاجمان از فایل‌های SVG برای هدف مشابهی استفاده می‌کنند و به عنوان صفحات فیشینگ مستقل اجرا می‌شوند که پورتال‌های ورود جعلی را کاملاً در سمت کلاینت ارائه می‌دهند.

حتی اگر محتوای مخرب همیشه از طریق بازرسی سطحی یک فایل قابل تشخیص نباشد، ثبت دانلود فایل‌ها در مرورگر، افزونه‌ی مفیدی برای محافظت در برابر بدافزارهای مبتنی بر اندپوینت است و لایه‌ی دفاعی دیگری در برابر دانلود فایل‌هایی که حملات سمت کلاینت را انجام می‌دهند یا کاربر را به محتوای مخرب مبتنی بر وب هدایت می‌کنند، فراهم می‌کند.

۶. اعتبارنامه‌ها و مجوزهای به سرقت رفته

این مورد آخر یک حمله مبتنی بر مرورگر محسوب نمیشود، اما نتیجه این حملات است. وقتی اعتبارنامه‌ها از طریق فیشینگ یا بدافزارهای سرقت اطلاعات دزدیده می شود، می‌توانند برای تصاحب حساب‌هایی که MFA ندارند، مورد استفاده قرار گیرند.

این روش حمله پیچیده ای نیست، اما بسیار مؤثر است. کافی است به حملات حساب‌های کاربری Snowflake سال گذشته یا حملات Jira در اوایل 2025 نگاهی بیندازید تا ببینید مهاجمان چگونه اعتبارنامه‌های سرقت‌شده را در مقیاس بزرگ به کار می‌گیرند.

با توجه به اینکه سازمان‌های مدرن از صدها برنامه استفاده می‌کنند، احتمال اینکه رمزهای عبور را بدون نیاز به MFA بپذیرند، بسیار زیاد است.

سازمانها باید بتوانند در مورد نحوه ورود کارمندان، برنامه‌هایی که استفاده می‌کنند و اینکه آیا MFA وجود دارد یا خیر، اطلاعات کسب کرده و این کار تیم‌های امنیتی را قادر می‌سازد تا لاگین های آسیب‌پذیر را قبل از اینکه توسط مهاجمان مورد سوء استفاده قرار گیرند، پیدا و برطرف کنند.

حملات به طور فزاینده‌ای در مرورگر رخ می‌دهند و این امر آن را به مکانی ایده‌آل برای شناسایی و پاسخ به این حملات تبدیل می‌کند. در حال حاضر، مرورگر برای اکثر تیم‌های امنیتی یک نقطه کور است. استفاده از راهکارهای احراز هویت چندعاملی و ابزارهای مرورگر امن می تواند بخش زیادی از این حملات را کنترل نماید.

منبع: 

thehackernews