Home » El ataque de MarioNet permite a los hackers crear botnets desde los navegadores de los usuarios.
CIBERSEGURIDAD

El ataque de MarioNet permite a los hackers crear botnets desde los navegadores de los usuarios.

MarioNet

Los académicos de Grecia han ideado un nuevo ataque basado en el navegador que puede permitir a los piratas informáticos ejecutar códigos maliciosos dentro de los navegadores de los usuarios, incluso después de que los usuarios hayan cerrado o navegado fuera de la página web en la que se infectaron.

Este nuevo ataque, llamado MarioNet, abre la puerta para ensamblar redes gigantes desde los navegadores de los usuarios. Los investigadores dijeron que estas botnets se pueden usar para la extracción criptográfica en el navegador (cryptojacking), los ataques DDoS, el intercambio / intercambio de archivos maliciosos, el descifrado de contraseñas distribuidas, la creación de redes proxy, el fraude de clics y el aumento de las estadísticas de tráfico.

El ataque de MarioNet es una actualización de un concepto similar de crear una botnet basada en navegador que se describió en el documento de investigación de Puppetnets hace 12 años, en 2007.

La diferencia entre los dos es que MarioNet puede sobrevivir después de que los usuarios cierren la pestaña del navegador o se alejen del sitio web que aloja el código malicioso.

Esto es posible porque los navegadores web modernos ahora admiten una nueva API llamada Trabajadores de servicio . Este mecanismo permite que un sitio web aísle las operaciones que representan la interfaz de usuario de una página de las operaciones que manejan tareas informáticas intensas para que la IU de la página web no se congele cuando se procesan grandes cantidades de datos.

Técnicamente, los Trabajadores de Servicio son una actualización de una API más antigua llamada Trabajadores Web. Sin embargo, a diferencia de los trabajadores web, un trabajador de servicio, una vez registrado y activado, puede vivir y ejecutarse en el fondo de la página, sin requerir que el usuario continúe navegando por el sitio que cargó al trabajador de servicio.

MarioNet (una ingeniosa ortografía de “marioneta”) aprovecha los poderes proporcionados por los trabajadores de servicio en los navegadores modernos.

La rutina de ataque consiste en registrar a un trabajador del servicio cuando el usuario aterriza en un sitio web controlado por un atacante y luego abusar de la interfaz del Service Worker SyncManagerpara mantener vivo al trabajador del servicio después de que el usuario navega.

El ataque es silencioso y no requiere ningún tipo de interacción del usuario porque los navegadores no alertan a los usuarios ni piden permiso antes de registrar un trabajador de servicio. Todo sucede debajo del capó del navegador mientras el usuario espera a que se cargue el sitio web, y los usuarios no tienen ni idea de que los sitios web hayan registrado trabajadores de servicio ya que no hay ningún indicador visible en ningún navegador web.

Además, un ataque de MarioNet también es inconexo desde el punto de ataque. Por ejemplo, los atacantes pueden infectar a los usuarios en el sitio web A, pero luego controlan a todos los trabajadores del servicio del servidor B.

MarioNet
Imagen: Papadopoulos et al.

Esto permite a los atacantes colocar código malicioso durante un corto período de tiempo en sitios web de alto tráfico, obtener una base de usuarios enorme, eliminar el código malicioso, pero continuar controlando los navegadores infectados desde otro servidor central.

Además, el ataque de MarioNet también puede persistir en los reinicios del navegador al abusar de la API Web Push. Sin embargo, esto requeriría que el atacante obtenga el permiso del usuario de los hosts infectados para acceder a esta API.

La posterior red de bots creada a través de la técnica MarioNet se puede usar para varios fines delictivos, como la criptografía en el navegador (cryptojacking), los ataques DDoS, el alojamiento / intercambio de archivos maliciosos, el descifrado de contraseñas distribuido, la creación de redes proxy, la publicidad de fraude de clics. , y el aumento de las estadísticas de tráfico.

Ni el ataque MarioNet original ni las operaciones de botnet posteriores requieren que los atacantes exploten las vulnerabilidades del navegador, sino que simplemente abusen de las capacidades de ejecución de JavaScript existentes y las nuevas API de HTML5.

Por ejemplo, el uso de bots MarioNet infectados para el alojamiento de archivos requiere el uso de API de almacenamiento de datos incorporadas que ya están disponibles en los navegadores que permiten a los sitios web almacenar y recuperar archivos de la computadora de un usuario. Esto hace que la detección de cualquier infección de MarioNet y los ataques posteriores sean casi imposibles.

Debido a que los trabajadores de servicio se han introducido hace unos años, el ataque de MarioNet también funciona en casi todos los navegadores de escritorio y móviles. Los únicos en los que un ataque de MarioNet no funcionará son IE (escritorio), Opera Mini (móvil) y Blackberry (móvil).

Compatibilidad con MarioNet
Imagen: Papadopoulos et al.

En su trabajo de investigación, el equipo de investigación también describe métodos a través de los cuales MarioNet podría evitar ser detectado por extensiones de navegador anti-malware y contramedidas anti-minería, y también presenta varias mitigaciones que los fabricantes de navegadores podrían tomar.

El ataque de MarioNet se presentará hoy en la conferencia NDSS 2019 en San Diego, EE. UU. Más detalles sobre MarioNet están disponibles en un documento de investigación adjunto titulado “Master of Web Puppets: Abuse Web Browsers for Persistent and Stealthy Computation”, disponible para descargar en formato PDF desde aquí .

Etiquetas
X