从WannaCry到MGM Resorts黑客事件,勒索软件始终是企业面临最具破坏力的网络威胁之一。据Chainalysis估算,企业每年在赎金上的支出接近10亿美元,而更大的代价则来自品牌声誉的受损与业务系统的中断。
传统勒索软件攻击往往通过诱骗用户下载和执行恶意文件,对本地设备中的核心数据进行加密、复制或删除,并以解密为条件要求支付赎金。这种模式以设备为攻击核心。但随着云计算和SaaS服务的普及,员工的工作行为日益依赖浏览器,浏览器正逐渐取代设备,成为新的攻击终端(New Endpoint)。
浏览器原生勒索软件:新一代威胁已现雏形
SquareX长期专注于浏览器安全研究,此前曾披露“多态扩展(Polymorphic Extensions)”与“浏览器同步劫持(Browser Syncjacking)”等关键漏洞。近日,SquareX再度发出预警,指出浏览器原生勒索软件(Browser-Native Ransomware)正在悄然崛起。
SquareX 创始人 Vivek Ramachandran 表示:
“随着以 Chrome Store OAuth 攻击为代表的浏览器身份攻击不断增多,我们已经开始观察到‘浏览器勒索软件’的关键构件正在被攻击者逐步使用。随着技术拼图逐渐拼合,首次成型的攻击只是时间问题。传统的EDR与杀毒软件虽然在文件型勒索防御中发挥了巨大作用,但未来的勒索软件将不再依赖文件下载,必须依靠浏览器原生防护手段加以应对。”
攻击机制:从劫持身份到全面入侵
与传统勒索不同,浏览器原生勒索软件无需下载任何文件,几乎无法被终端安全工具检测。攻击核心不再是设备本身,而是用户的“数字身份”——尤其是浏览器中的登录状态与SaaS资源访问权限。
SquareX展示的案例显示,攻击者借助AI代理实现大部分自动化操作,几乎不再依赖复杂的社工手段:
-
诱导用户授权一个伪装成效率工具的恶意插件;
-
插件读取用户邮箱权限,进而识别所有已接入的SaaS应用;
-
使用AI自动重置各类SaaS密码,强制用户下线;
-
数据被锁定或删除,攻击者以此向企业勒索赎金。
在另一个攻击路径中,攻击者通过身份劫持登录Google Drive、Dropbox或OneDrive等文件共享平台,批量复制并删除用户所有文件,并获取用户所接触到的全部共享资源,进一步扩大入侵范围。
相较传统勒索影响仅限于单一设备,浏览器勒索攻击只需一名员工的操作失误,就可能波及整个企业的数据资产。
安全趋势:浏览器已成为“下一个防线”
随着越来越多企业文件直接存储于云端,文件下载行为逐年减少,勒索攻击也势必向浏览器迁移。SquareX指出,正如EDR在防御本地勒索软件中扮演关键角色,未来必须构建一套以浏览器为核心、具备身份感知能力的防护体系,以应对下一代威胁。
关于 SquareX
SquareX 是业内首个推出 浏览器检测与响应(BDR) 产品的安全厂商,专注于识别和阻断实时的客户端Web攻击。除勒索软件外,SquareX 还可防御身份劫持、恶意扩展、高级钓鱼攻击、生成式AI的数据泄露(GenAI DLP)及内部威胁等。
本次关于“浏览器原生勒索软件”的披露,属于 SquareX 启动的 “浏览器漏洞年”研究计划。该计划将每月发布一项影响广泛的浏览器架构漏洞,迄今已发布内容包括“多态扩展”与“浏览器同步劫持”。
原文链接
https://hackread.com/squarex-discloses-browser-native-ransomware-that-puts-millions-at-risk/
原文始发于微信公众号(solar应急响应团队):【文章转载】重大预警:浏览器成为下一个勒索战场,传统EDR将被绕过?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论