Ransomware gốc trình duyệt có thể là mối đe dọa tỷ đô tiếp theo

Một báo cáo cảnh báo rằng, với số lượng ứng dụng ngày càng tăng có thể chạy trên trình duyệt, chúng ta có thể sớm chứng kiến ​​một chiến dịch tấn công bằng mã độc tống tiền (ransomware) quy mô lớn mà tin tặc thậm chí không cần chạm vào thiết bị.

Các cuộc tấn công ransomware đã trở thành một trong những mối đe dọa an ninh mạng phổ biến nhất. Theo công ty an ninh mạng Cyentia, chúng đã gây ra thiệt hại 276 tỷ đô la trong năm năm qua, tương đương với tổng sản phẩm quốc nội của Argentina vào năm 2024.

Theo truyền thống, các cuộc tấn công ransomware nhắm vào các thiết bị vì hầu hết thông tin đều nằm trong các ứng dụng hoặc chính thiết bị.

Tuy nhiên, việc áp dụng các giải pháp lưu trữ đám mây và phần mềm dưới dạng dịch vụ (SaaS) đã dẫn đến phần lớn quy trình làm việc và dữ liệu của doanh nghiệp được tạo, lưu trữ và chia sẻ trên trình duyệt. Các tác nhân đe dọa đã nhanh chóng nhận thức ra việc phần mềm độc hại gốc trình duyệt nổi lên như một rủi ro mới và nguy hiểm.

Theo báo cáo của công ty an ninh mạng SquareX, có một rủi ro hoặc phần thưởng cho những kẻ tấn công nhắm mục tiêu vào trình duyệt.

Tác động của ransomware gốc trình duyệt

So với ransomware truyền thống, ransomware gốc trình duyệt khó phát hiện hơn và có những tác động nghiêm trọng hơn.

"Ransomware gốc trình duyệt có thể nhắm mục tiêu vào danh tính của nạn nhân trong bất kỳ ứng dụng SaaS nào, bao gồm tài khoản cá nhân hoặc ứng dụng SaaS ẩn không do nhóm bảo mật quản lý", SquareX tuyên bố.

Công ty cũng lưu ý rằng, các công cụ bảo vệ hiện có hoạt động bằng cách kiểm tra các tệp và quy trình độc hại trên thiết bị, trong khi ransomware gốc trình duyệt hoạt động trong trình duyệt mà không liên quan đến bất kỳ tệp nào tải xuống và do đó sẽ không bao giờ kích hoạt bất kỳ cuộc kiểm tra nào đối với các công cụ phát hiện.

Theo công ty, từ các tiện ích mở rộng đa hình đến vụ vi phạm Cyberhaven gần đây, có khả năng ảnh hưởng đến hai triệu khách hàng, đã có rất nhiều ví dụ về việc tin tặc chuyển trọng tâm sang các cuộc tấn công gốc trình duyệt.

"Đây cũng là bằng chứng ban đầu cho thấy những kẻ tấn công đang bắt đầu phát hiện ra 'thành phần' cần thiết cho ransomware gốc trình duyệt và chỉ còn là vấn đề thời gian trước khi một kẻ thù thông minh ghép các thành phần này lại với nhau để tiến hành chiến dịch ransomware quy mô lớn đầu tiên mà không cần chạm vào thiết bị", báo cáo viết.

Ba kịch bản về việc trình duyệt bị chiếm đoạt

Trong báo cáo của mình, SquareX phân tích ba kịch bản giả định về cách một cuộc tấn công như vậy có thể diễn ra. Trên thực tế, cuộc tấn công có thể xảy ra dưới nhiều hình thức khác nhau nhưng nhìn chung sẽ bao gồm ba bước.

Trong một ví dụ, kẻ tấn công có thể truy cập vào Google Drive của nạn nhân bằng cách bắt chước một ứng dụng hợp pháp.

Kẻ tấn công sẽ xâm nhập và xóa tất cả các tệp được lưu trữ trong Google Drive của nạn nhân, bao gồm cả ổ đĩa dùng chung và yêu cầu tiền chuộc để ngăn chúng làm rò rỉ các tệp công ty nhạy cảm.

Tương tự như vậy, phần mềm tống tiền gốc trên trình duyệt có thể được sử dụng để xâm phạm các dịch vụ email.

"Thông qua lừa đảo đồng ý, kẻ tấn công có thể sử dụng một ứng dụng độc hại để đọc email của nạn nhân và tìm ra những dịch vụ SaaS mà họ đã đăng ký. Sau đó, kẻ tấn công sẽ sử dụng một tác nhân AI để đặt lại mật khẩu cho các ứng dụng này một cách có hệ thống, đăng xuất nạn nhân và xâm nhập tất cả dữ liệu được lưu trữ trong các ứng dụng SaaS của doanh nghiệp để đòi tiền chuộc", SquareX tuyên bố.

Trong ví dụ thứ ba, tin tặc có thể sử dụng phương pháp hack đồng bộ hóa trình duyệt, trong đó tiện ích mở rộng trình duyệt độc hại có thể biến trình duyệt của nạn nhân thành hồ sơ được quản lý và kẻ tấn công có thể kiểm soát trình duyệt.

SquareX cho biết, thông qua chức năng đồng bộ hóa của Google Workspace, tất cả mật khẩu được lưu trữ cục bộ sẽ được tải lên hồ sơ do kẻ tấn công quản lý, có thể được sử dụng để truy cập trái phép và đánh cắp dữ liệu từ các ứng dụng SaaS.