Sofisticirana tehnika krađe akreditiva, identifikovana kao T1555.003 u okviru MITRE ATT&CK , pojavila se kao značajna prijetnja organizacijama širom svijeta.
Ova tehnika omogućava napadačima da direktno iz web pretraživača izdvoje korisnička imena i lozinke, koji obično pohranjuju ove podatke kako bi pojednostavili prijavu korisnika i poboljšali praktičnost.
Kao rezultat toga, napadači mogu dobiti neovlašteni pristup i ličnim i poslovnim računima, povećavajući rizik od eskalacije privilegija i lateralnog kretanja unutar ciljanih mreža.
Napadači kradu lozinke iz web pretraživača
Tehnika T1555.003 iskorištava funkciju u modernim pretraživačima koja sprema podatke za prijavu.
Prema nedavnim istraživanjima, web pretraživači obično pohranjuju ove kredencijale u šifrovanom formatu unutar skladišta kredencijala, ali hakeri su razvili metode za njihovo izdvajanje u otvorenom tekstu.
Na Windows sistemima , napadači mogu pristupiti šifrovanim akreditivima Google Chrome-a ciljajući datoteku baze podataka koja se nalazi na adresi AppData\Local\Google\Chrome\User Data\Default\Login Data i izvršavajući SQL upit: SELECT action_url, username_value, password_value FROM logins;.
Šifrovani podaci se zatim dešifriraju pomoću Windows API funkcije CryptProtectData, koja koristi keširane podatke za prijavu žrtve kao ključ za dešifrovanje.
Slične ranjivosti postoje i u drugim popularnim pretraživačima, uključujući Firefox, Edge i Safari. Implikacije su ozbiljne jer kompromitovani podaci za pristup pretraživača često dovode do eskalacije privilegija kada se ti podaci preklapaju s administratorskim računima.
Hakeri aktivno iskorištavaju ranjivost
Podaci sigurnosne telemetrije pokazuju da sedam glavnih APT grupa aktivno primjenjuje ovu tehniku:
„Primjetili smo značajan porast operacija krađe podataka iz preglednika od početka 2025. godine“, objašnjava istraživač sajber sigurnosti Steven Lim.
„Rezultati upita prikazani na kontrolnoj ploči za obavještajne podatke o prijetnjama odražavaju preko 6.000 aktivnih indikatora povezanih s ovom tehnikom.“
Najistaknutija prijetnja je Agent Tesla, špijunski softver koji može prikupljati podatke o identitetu iz više pretraživača, a istovremeno prikuplja snimke zaslona i podatke iz međuskladišta.
Još jedan zabrinjavajući haker je APT41, kineska grupa za sajber prijetnje koja provodi i špijunažu koju sponzoriše država i finansijski motivirane operacije.
Drugi hakeri koji iskorišćavaju ovu ranjivost uključuju Ajax Security Team povezan s Iranom, APT3 sa sjedištem u Kini, APT33 povezan s iranskom vojskom, sjevernokorejsku grupu APT37 i APT42 povezan s iranskom IRGC-om.
Sigurnosni analitičari su identifikovali brojne uočljive pojave povezane s ovim napadom. Najčešći uključuju:
- Heširanja datoteka sa SHA-256 potpisima pokazuju 3.729 indikatora i SHA-1 sa 256 indikatora.
- MD5 heševi sa 859 instanci sa 75% pouzdanosti i 68 slučajeva sa 83% pouzdanosti.
- Indikatori URL-ova i domena pokazuju 584, odnosno 170 podudaranja.
- Reference izvora mrežnog prometa sa 154 indikatora.
Izvor: CyberSecurityNews
