- El aislamiento del navegador ejecuta todos los scripts en un entorno remoto o virtual, pero los códigos QR aún son capaces
- Si un dispositivo está infectado con malware, puede obtener comandos a través de códigos QR, lo que hace inútil el aislamiento del navegador.
- El método funciona, pero tiene sus limitaciones.
Investigadores de ciberseguridad de Mandiant afirman haber descubierto una nueva forma de obtener… malware Comunicarse con sus servidores C2 a través del navegador, incluso cuando el navegador está aislado en un sandbox.
Existe una forma relativamente nueva de protegerse contra ataques cibernéticos en la web, llamada “aislamiento del navegador”. Hace que el navegador de la víctima se comunique con otro navegador, ubicado en la nube, o con una máquina virtual. Cualquiera que sea el comando, la entrada de la víctima se transmite al navegador remoto y todo lo que obtiene a cambio es una vista visual de la página. El código, los scripts y los comandos se ejecutan en la máquina remota.
Se puede considerar como navegar a través de la lente de la cámara de un teléfono.
Límites y defectos
Pero ahora, Mandiant cree que los servidores C2 (Comando y Control) aún pueden comunicarse con el malware en el dispositivo infectado, independientemente de la imposibilidad de ejecutar el código a través del navegador, a través de códigos QR. Si una computadora está infectada, el malware puede leer los píxeles que se muestran en la pantalla, y si es un código QR, eso es suficiente para que el programa realice diversas acciones.
Mandiant ha preparado una prueba de concepto (PoC) que demuestra cómo funciona el método en la última versión de Mandiant. Google Chrome entrega malware a través de la función C2 externo de Cobalt Strike.
Los investigadores añadieron que el método es exitoso, pero está lejos de ser ideal. Dado que el flujo de datos está limitado a un máximo de 2189 bytes y que existe una latencia de aproximadamente 5 segundos, el método no se puede utilizar para enviar cargas útiles grandes ni facilitar un proxy SOCKS. Además, las medidas de seguridad adicionales, como el escaneo de URL o la prevención de pérdida de datos, pueden hacer que este método sea completamente inútil.
Sin embargo, hay formas en las que se puede abusar de este método para lanzar ataques de malware malicioso. Por lo tanto, se recomienda a los equipos de TI que continúen monitoreando el flujo de tráfico, especialmente de los navegadores sin cabeza que se ejecutan en modo de automatización.
a través de pitidocomputadora