Les attaques qui ciblent les utilisateurs de leurs navigateurs Web ont vu une augmentation sans précédent ces dernières années. Dans cet article, nous explorerons ce qu’est une “attaque basée sur un navigateur” et pourquoi elles s’avèrent si efficaces.
Qu’est-ce qu’une attaque basée sur un navigateur?
Premièrement, il est important d’établir ce qu’est une attaque basée sur un navigateur.
Dans la plupart des scénarios, les attaquants ne se considèrent pas comme attaquant votre navigateur Web. Leur objectif final est de compromettre vos applications et données commerciales. Cela signifie aller après les services tiers qui sont désormais l’épine dorsale de l’informatique.
Le chemin d’attaque le plus courant voit aujourd’hui les attaquants se connecter à des services tiers, vider les données et les monétiser par l’extorsion. Vous n’avez qu’à regarder les infractions aux clients de Snowflake de l’année dernière ou les attaques de Salesforce encore en cours pour voir l’impact.
La façon la plus logique de le faire est de cibler les utilisateurs de ces applications. Et en raison des modifications des pratiques de travail, vos utilisateurs sont plus accessibles que jamais aux attaquants externes – et exposés à une gamme plus large de techniques d’attaque possibles.
 |
| Des attaques basées sur le navigateur comme AITM Phishing, Clickfix et Consensent Phishing ont connu une augmentation sans précédent ces dernières années. |
Il était une fois, le courrier électronique était le principal canal de communication avec le monde plus large, et le travail s’est produit localement – sur votre appareil et à l’intérieur de votre environnement de réseau verrouillé. Cela a fait du courrier électronique et du point final la plus haute priorité du point de vue de la sécurité.
Mais maintenant, avec des travaux modernes qui se produisent sur un réseau d’applications Internet décentralisées et des canaux de communication plus variés en dehors de l’e-mail, il est plus difficile d’empêcher les utilisateurs d’interagir avec un contenu malveillant (au moins, sans empêcher de manière significative leur capacité à faire leur travail).
Étant donné que le navigateur est l’endroit où les applications commerciales sont accessibles et utilisées, il est logique que les attaques jouent de plus en plus là-bas.
Les 6 attaques clés basées sur un navigateur que les équipes de sécurité doivent connaître
1. Phishing pour les références et les sessions
Le moyen le plus direct pour un attaquant de compromettre une application commerciale est de phisser un utilisateur de cette application. Vous ne considérez peut-être pas nécessairement le phishing comme une attaque basée sur un navigateur, mais c’est exactement ce qu’il est aujourd’hui.
L’outillage et les infrastructures de phishing ont beaucoup évolué au cours de la dernière décennie, tandis que les modifications des affaires cela signifient qu’il existe à la fois beaucoup plus de vecteurs pour la livraison d’attaques de phishing, et les applications et les identités à cibler.
Les attaquants peuvent livrer des liens sur des applications Messager instantanées, les médias sociaux, les SMS, les publicités malveillantes et utiliser la fonctionnalité de messager intégrée, ainsi que d’envoyer des e-mails directement des services SaaS pour contourner les chèques par e-mail. De même, il existe maintenant des centaines d’applications par entreprise à cibler, avec différents niveaux de configuration de sécurité du compte.
 |
| Le phishing est désormais multi- et transversal, ciblant une vaste gamme d’applications cloud et SaaS utilisant des kits d’outils AITM flexibles – mais toutes les routes conduisent inévitablement au navigateur. |
Aujourd’hui, le phishing opère à une échelle industrielle, en utilisant un éventail de techniques d’évasion d’obscurcissement et de détection. La dernière génération de kits de phishing en plein essor MFA entièrement personnalisés obscurcit dynamiquement le code qui charge la page Web, implémentant la protection personnalisée des bots (par exemple, CAPTCHA ou CloudFlare Turnique), en utilisant des fonctionnalités anti-analyse d’exécution, et en utilisant des services de saaS et de nuage légitimes pour héberger et fournir des liens de phishing pour couvrir leurs pistes. Vous pouvez en savoir plus sur les façons dont les attaques de phishing modernes contournent les contrôles de détection ici.
Ces changements rendent le phishing plus efficace que jamais, et de plus en plus difficile à détecter et à bloquer en utilisant des outils antiphishing par e-mail et en réseau.
2. Copie et pâte malveillante (aka. Clickfix, filefix, etc.)
L’une des plus grandes tendances de sécurité de l’année écoulée a été l’émergence de la technique d’attaque connue sous le nom de Clickfix.
Initialement connu sous le nom de “faux captcha”, ces attaques tentent de inciter les utilisateurs à exécuter des commandes malveillantes sur leur appareil – généralement en résolvant une forme de défi de vérification dans le navigateur.
En réalité, en résolvant le défi, la victime copie en fait du code malveillant à partir du presse-papiers de la page et l’exécute sur son appareil. Il donne généralement aux instructions de la victime qui impliquent de cliquer sur les invites et la copie, le collage et l’exécution des commandes directement dans la boîte de dialogue Exécuter Windows, le terminal ou le powerShell. Des variantes telles que FileFix ont également émergé, qui utilise plutôt la barre d’adresse de l’Explorateur de fichiers pour exécuter les commandes OS, tandis que les exemples récents ont vu cette branche d’attaque vers Mac via le terminal macOS.
Le plus souvent, ces attaques sont utilisées pour livrer des logiciels malveillants infosiner, en utilisant des cookies et des informations d’identification de session volés pour accéder aux applications et services commerciaux.
Comme les informations d’identification modernes et le phishing de session, les liens vers des pages malveillants sont distribués sur divers canaux de livraison et en utilisant une variété de leurres, notamment l’identité de CAPTCHA, CloudFlare Turnique, simulant une erreur de chargement d’une page Web, et bien d’autres. Beaucoup des mêmes protections utilisées pour obscurcir et empêcher l’analyse des pages de phishing s’appliquent également aux pages de clics, ce qui rend tout aussi difficile de les détecter et de les bloquer.
 |
| Exemples de leurres Clickfix utilisés par les attaquants dans la nature. |
3. Intégrations malveillantes OAUTH
Les intégrations OAuth malveurs sont un autre moyen pour les attaquants de compromettre une application en incitant un utilisateur à autoriser une intégration avec une application malveillante et contrôlée par un attaquant. Ceci est également connu sous le nom de phishing du consentement.
 |
| Exemples de phishing de consentement, où un attaquant incite la victime à autoriser une application contrôlée par un attaquant avec des autorisations risquées. |
Il s’agit d’un moyen efficace pour les attaquants de contourner les contrôles d’authentification et d’accès durcies en évitant le processus de connexion typique pour reprendre un compte. Cela inclut les méthodes MFA résistantes au phishing comme PassKeys, car le processus de connexion standard ne s’applique pas.
Une variante de cette attaque a récemment dominé les gros titres avec les violations de la force de vente en cours. Dans ce scénario, l’attaquant a incité la victime à l’autoriser une application OAuth contrôlée par l’attaquant via le flux d’autorisation de code de périphérique dans Salesforce, qui oblige l’utilisateur à entrer un code à 8 chiffres à la place d’un mot de passe ou d’un facteur MFA.
 |
| Les attaques en cours Salesforce impliquent des applications OAuth malveillantes qui ont accès à l’accès au locataire Salesforce de la victime. |
Empêcher les subventions malveillantes d’Oauth d’être autorisées nécessite une gestion étroite dans l’application des autorisations des utilisateurs et des paramètres de sécurité des locataires. Ce n’est pas une mince affaire lorsque l’on considère les 100 applications utilisées dans l’entreprise moderne, dont beaucoup ne sont pas gérées de manière centralisée par les équipes informatiques et de sécurité (ou dans certains cas, leur sont complètement inconnues). Même alors, vous êtes limité par les contrôles mis à disposition par le fournisseur d’application.
Dans ce cas, Salesforce a annoncé des modifications prévues à l’autorisation des applications OAuth afin d’améliorer la sécurité invitée à ces attaques – mais de nombreuses autres applications avec des configurations non sécurisées existent pour que les attaquants profitent à l’avenir.
4. Extensions de navigateur malveillant
Les extensions de navigateur malveillant sont un autre moyen pour les attaquants de compromettre vos applications commerciales en observant et en capturant les connexions au fur et à mesure qu’ils se produisent, et / ou en extraction des cookies et des informations d’identification de session enregistrés dans le Cache du navigateur et le gestionnaire de mots de passe.
Les attaquants le font en créant leur propre extension malveillante et en incitant vos utilisateurs à l’installer, ou en prenant en charge une extension existante pour accéder aux navigateurs où il est déjà installé. Il est étonnamment facile pour les attaquants d’acheter et d’ajouter des mises à jour malveillantes aux extensions existantes, en passant facilement des vérifications de sécurité de la boutique en ligne.
Les nouvelles autour des compromis basées sur la vulgarisation sont en augmentation depuis que l’extension Cyberhaven a été piratée en décembre 2024, avec au moins 35 autres extensions. Depuis lors, des centaines d’extensions malveillantes ont été identifiées, avec des millions d’installations.
Généralement, vos employés ne devraient pas installer au hasard les extensions de navigateur à moins que pré-approuvées par votre équipe de sécurité. La réalité, cependant, est que de nombreuses organisations ont très peu de visibilité des extensions que leurs employés utilisent et du risque potentiel auquel ils sont exposés en conséquence.
5. Livraison de fichiers malveillants
Les fichiers malveillants sont au cœur de la livraison de logiciels malveillants et du vol d’identification depuis de nombreuses années. Tout comme les canaux non-imail comme les attaques de malvertising et de lecteur sont utilisés pour délivrer des séances de phishing et de clics, les fichiers malveillants sont également distribués par moyens similaires – laissant une détection de fichiers malveillants aux vérifications de base du BAD connu, une analyse de bac à sable en utilisant un proxy (pas aussi utile dans le contexte de la caisse de division de bacs de sable) ou une analyse du temps d’exécution sur le point de terminaison.
Cela ne doit pas seulement être des exécutables malveillants qui laissent directement abandonner les logiciels malveillants sur l’appareil. Les téléchargements de fichiers peuvent également contenir des liens supplémentaires qui emmènent l’utilisateur à un contenu malveillant. En fait, l’un des types les plus courants de contenu téléchargeable est les applications HTML (HTAS), couramment utilisées pour engendrer des pages de phishing locales pour capturer furtivement les informations d’identification. Plus récemment, les attaquants ont armé des fichiers SVG à des fins similaires, fonctionnant en tant que pages de phishing autonomes qui rendent les faux portails de connexion entièrement côté client.
Même si le contenu malveillant ne peut pas toujours être signalé à partir de l’inspection au niveau de la surface d’un fichier, l’enregistrement des téléchargements de fichiers dans le navigateur est un ajout utile à la protection des logiciels malveillants basés sur les terminaux et fournit une autre couche de défense contre les téléchargements de fichiers qui effectuent des attaques côté client, ou rediriger l’utilisateur vers un contenu Web malveillant.
6. Contaliens volés et lacunes en MFA
Ce dernier n’est pas tant une attaque basée sur un navigateur, mais c’est un produit d’eux. Lorsque des informations d’identification sont volées par le biais de malwares de phishing ou d’infostealer, ils peuvent être utilisés pour reprendre les comptes MFA manquants.
Ce n’est pas l’attaque la plus sophistiquée, mais c’est très efficace. Vous n’avez qu’à examiner les compromis du compte Snowflake de l’année dernière ou les attaques de Jira plus tôt cette année pour voir comment les attaquants exploitent des références volées à grande échelle.
Avec l’entreprise moderne utilisant des centaines d’applications, la probabilité qu’une application n’ait pas été configurée pour le MFA obligatoire (si possible) est élevée. Et même lorsqu’une application a été configurée pour SSO et connectée à votre identité d’entreprise principale, les “connexions fantômes” locales peuvent continuer d’exister, en acceptant les mots de passe sans MFA requis.
Les connexions peuvent également être observées dans le navigateur – en fait, il est aussi proche d’une source universelle de vérité que vous allez comprendre comment vos employés se connectent réellement, quelles applications ils utilisent, et si le MFA est présent, permettant aux équipes de sécurité de trouver et de fixer des connexions vulnérables avant de pouvoir être exploitées par des attaquants.
Conclusion
Les attaques se produisent de plus en plus dans le navigateur. Cela en fait l’endroit idéal pour détecter et répondre à ces attaques. Mais en ce moment, le navigateur est un point mort pour la plupart des équipes de sécurité.
La plate-forme de sécurité basée sur le navigateur de Push Security offre des capacités de détection et de réponse complètes par rapport à la principale cause de violations. Push Blocks Attaques basées sur le navigateur comme le phishing AITM, la farce des informations d’identification, la pulvérisation de mot de passe et le détournement de session à l’aide de jetons de session volés. Vous pouvez également utiliser Push pour trouver et corriger les vulnérabilités sur les applications que vos employés utilisent, comme les connexions fantômes, les lacunes de couverture SSO, les lacunes MFA, les mots de passe vulnérables, les intégrations d’Oauth risquées, et plus encore pour durcir votre surface d’attaque d’identité.
Si vous voulez en savoir plus sur la façon dont Push vous aide à détecter et à arrêter les attaques dans le navigateur, consultez notre dernier aperçu de produit ou réservez un peu de temps avec l’une de nos équipes pour une démo en direct.
- Qu’est-ce qu’une attaque basée sur un navigateur?
- Les 6 attaques clés basées sur un navigateur que les équipes de sécurité doivent connaître
- 1. Phishing pour les références et les sessions
- 2. Copie et pâte malveillante (aka. Clickfix, filefix, etc.)
- 3. Intégrations malveillantes OAUTH
- 4. Extensions de navigateur malveillant
- 5. Livraison de fichiers malveillants
- 6. Contaliens volés et lacunes en MFA
- Conclusion
