Su equipo de ciberseguridad ha sido alertado sobre una actividad sospechosa en la red de su organización. Varios empleados informaron de un comportamiento inusual en sus navegadores después de instalar lo que creían que era una extensión útil para navegadores llamada "ChatGPT". Sin embargo, empezaron a suceder cosas extrañas: se estaban comprometiendo cuentas y parecía que se estaba filtrando información confidencial.
Su tarea es realizar un análisis exhaustivo de esta extensión para identificar sus componentes maliciosos.1. ¿Qué método de codificación utiliza la extensión del navegador para ocultar las URL de destino, haciéndolas más difíciles de detectar durante el análisis?
Analizando los artefactos proporcionados por el desafío en el archivo app.js se encuentra la URL codificada.
2. ¿Qué sitio web monitorea la extensión para detectar el robo de datos y atacar cuentas de usuario para robar información confidencial?
Esta pregunta se puede responder decodificando el hash como se muestra en la pregunta número uno y en la siguiente imagen.
3. ¿Qué tipo de elemento HTML utiliza la extensión para enviar datos robados?
En el archivo app.js existe una función llamada sendToServer(encryptedData) en ella se implementa la instrucción document.body.appendChild().
4. ¿Cuál es la primera condición específica en el código que hace que la extensión se desactive?
Un poco de contexto, en la actualidad hay malware que puede detectar entornos virtualizado esto con el fin de evitar el análisis dinámico y estático como también evitar la ejecución en sandbox tales como AnyRun, Jotti, JoeSandbox, etc.
En el archivo loader.js se implementa una función que realiza la evaluación si se está ejecutando en un entorno virtual.
En el archivo de app.js se implementa la interface de navegador web EventTarget.
6. ¿Qué API o método utiliza la extensión para capturar y monitorear las pulsaciones de teclas del usuario?
Esta pregunta se puede responder con la pregunta número 5.
La implementación de la función sendToServer() en el archivo app.js se puede identificar el dominio donde se envían los datos exfiltrados.
8. ¿Qué función del código se utiliza para exfiltrar las credenciales del usuario, incluido el nombre de usuario y la contraseña?
La función utilizada para exfiltrar las credenciales de usuario se encuentra implementada en el archivo app.js.
9. ¿Qué algoritmo de cifrado se aplica para proteger los datos antes de enviarlos?
El algoritmo de encriptación que se utiliza para proteger los datos antes del envío se encuenta en el archivo app.js
10. ¿Qué API crítica del navegador utiliza la extensión para acceder y manipular las cookies?
En el archivo manifest.json podemos observar que los permisos que se deben otorgar a la extensión del navegador "ChatGPT".
Como se muestra en la imagen uno de los permisos son el acceso a las cookies del navegador. Para poder responder esta pregunta debemos entender algunas cosas previas. Sabemos que estamos analizando una extensión para navegadores web, una extensión agrega característica y funciones a un navegador web y se crean utilizando tecnologías basadas en web, tales como, HTML, CSS y JavaScript.
Ahora cada navegador web proporciona su propia API (Interfaz de Aplicación de Programación) basada en el lenguaje de programación Javascript, esto permite a los programadores poder crear dichas extensiones.
Para responder esta pregunta necesitaríamos tan solo investigar en la documentación de los diferentes navegadores web cual es la función de API nos permite tener acceso a las cookies del navegador.
Les comparto algunas documentaciones sobre API de navegadores web.
Happy Hack!!!
Comentarios
Publicar un comentario