El "hijacking de Browser", en español "Secuestro del Navegador" es un tipo de ataque informático en el que los atacantes modifican la redirección de los servidores DNS. Esto significa que cuando un usuario intenta acceder a un sitio web específico, el servidor DNS les proporciona una dirección IP diferente. Por lo general, estas direcciones IP redirigen a páginas web maliciosas llenas de malware y publicidad que están bajo el control de los atacantes.
Algunos ejemplos de técnicas de hijacking del navegador incluyen:
-
Redirección maliciosa: Los atacantes pueden alterar la configuración del navegador para redirigir al usuario a sitios web maliciosos, donde pueden intentar robar información personal o instalar malware en el sistema.
-
Secuestro de la página de inicio: Los atacantes pueden cambiar la página de inicio predeterminada del navegador a un sitio web no deseado, lo que obliga al usuario a visitar ese sitio cada vez que abre su navegador.
-
Extensiones maliciosas: Algunas extensiones o complementos del navegador pueden ser maliciosos y realizar actividades no deseadas en el navegador, como la recopilación de datos personales o la inyección de anuncios no deseados.
-
Phishing: Los atacantes pueden utilizar técnicas de phishing para engañar a los usuarios y hacer que ingresen información sensible, como contraseñas o información de tarjetas de crédito, en sitios web falsos que parecen legítimos.
La BeEF es la abreviatura de The Browser Exploitation Framework. Es una herramienta de pruebas de penetración que se centra en el navegador web. Se encuentra incluido de forma predeterminada en Kali Linux, cuyo enfoque principal recae en la identificación y explotación de debilidades presentes en los navegadores web. Como vía de ataque, se aprovecha una vulnerabilidad de tipo XSS (Cross-Site Scripting), que puede manifestarse en su forma reflejada o persistente. Mediante la inclusión de un iframe oculto o la ejecución de un archivo JavaScript (JS), es posible llevar a cabo acciones como la sustracción de credenciales. Adicionalmente, se pueden emplear tácticas de ingeniería social, tales como la solicitud de instalación de certificados de seguridad falsos, actualizaciones ficticias de Flash Player o incluso la simulación de una sesión de Facebook que aparenta haber expirado.
Instalar en Debian:
> git clone https://github.com/beefproject/beef
> cd beef
> sudo ./install
Como primer paso modificamos el archivo config.yaml.
nano config.yaml
Editamos las líneas de credenciales, en el usuario lo dejamos predeterminado "beef" y en la contraseña establecemos "12345". CTRL + O para guardar los cambios.
Iniciamos la herramienta con ./beef. En caso de que les arroje el siguiente error:
Deben editar el archivo de GemFile y remplazar la línea de gem 'otr-activerecord', '~> 2.1', '>= 2.1.2' por gem 'otr-activerecord', '~> 2.1.1'. Por último ejecutan bundle install y vuelven a iniciar la herramienta.
Error solucionado: beefproject/beef#2954
Comenzará a generarse un servidor web local, solo aquellos dispositivos que estén conectados a nuestra red pueden acceder a ese enalce. Por ello, se debe ser cuidadoso cuando se conecte a una Wi-Fi pública.
Aquí debemos de ingresar las credenciales del archivo de configuración.
Este es el panel de administración de BeEF (lado del atacante), para extraer información por medio de un link hay que copiar el enlace que genera la herramienta (here) y enviarlo a la víctima.
Una vez que la víctima acceda al link, automáticamente nos aparecerá los navegadores "enganchados" en la parte superior a la izquierda. Los navegadores enganchados aparecerán en estado en línea o fuera de línea, dependiendo de qué tan recientemente hayan sondeado el marco. Captura la información de su sistema operativo, dirección IP, ubicación geográfica, entre otras.
En el apartado de commands es donde podemos "juguetear" con el navegador de la víctima. A modo de ejemplo enviaré un diálogo de alerta para dar una advertencia o aviso.
Con el módulo de "Redirect Browser" podemos redireccionar al usuario hacia otra URL, generalmente los atacantes se apropian de está función para cargar malware o phishing.
El módulo "Get Cookie" roba la cookie de la página actual en la que se encuentre el usuario.
Otro módulo importante es "Get Geolocation" de la categoría de "Hosts", como su nombre lo indica, sirve para obtener la ubicación de la víctima a través del uso de una API.
El módulo "Lcamtuf Download" de la categoría de "Social Engineering" permite cargar un archivo malicioso para que la víctima lo descargue desde su navegador, se debe especificar la ruta del mismo.
BeEF utiliza una plantilla de ejemplo para realizar el ataque, lo conveniente en este caso es copiar el código fuente de una web legítima y guardarla como "index.html" en el directorio de /beef/extensions/demos/html/butcher.
Yo en mi caso utilicé la plantilla de login de Facebook. Además de copiar su código HTML, también es preciso hacerlo con los estilos CSS y especificar su ruta dentro del <head>.
Es importante importar el script hook.js dentro del código HTML para ejecutar los módulos.
➤ Link de las plantillas: https://github.com/htr-tech/zphisher/tree/master/.sites/
Por otro lado, recomiendo utilizar un acortador de URL antes de enviarle el link a la víctima, esto último incrementa la confianza del usuario. Uno de los scripts que suelo utilizar es MaskPhish.
Instalar en Debian:
> git clone https://github.com/jaykali/maskphish
> cd maskphish
> bash maskphish.sh
Si lo prefieren pueden optar por acortadores online como n9.cl
Como mencione al principio, este ataque es contra la red local pero existen servicios como Ngrok, Cloudflare o LocalXpose que permiten convertir tu servidor local a uno público desde cualquier parte del mundo. Si desean saber como hacerlo tengo un artículo de Phishing contra Facebook donde muestro el procedimiento.
A continuación te recomiendo algunas contramedidas que puedes tomar para prevenir o remediar el secuestor del navegador:
-
Mantenga su software actualizado: Asegúrese de tener la última versión de su sistema operativo, navegador web y todas las extensiones y complementos que utilice.
-
Utilice protección antivirus y antimalware: Instale software de seguridad confiable que incluya protección contra malware y spyware.
-
Descargue software únicamente de fuentes confiables: Evite descargar programas y extensiones de sitios web no verificados o cuestionables.
-
Configura correctamente los ajustes de seguridad de tu navegador: La mayoría de los navegadores ofrecen configuraciones de seguridad que le permiten bloquear ventanas emergentes, desactivar scripts no deseados y controlar la instalación de extensiones.
-
Restablecer la configuración del navegador: Si sospecha que su navegador se ha visto comprometido, intente restablecer la configuración predeterminada de su navegador.
-
Utilice contraseñas seguras y cámbielas periódicamente: Asegúrese de que su navegador y las cuentas en línea asociadas tengan contraseñas seguras. Cambie sus contraseñas con regularidad y utilice un administrador de contraseñas para administrarlas de forma segura.
-
Considere el uso de extensiones de seguridad: Existen extensiones de seguridad del navegador, como Adblock Plus o uBlock Origin, que pueden ayudar a evitar que su navegador sea pirateado bloqueando anuncios y secuencias de comandos maliciosos.
-
Mantenga copias de seguridad: Haga copias de seguridad periódicamente de datos importantes, como marcadores y configuraciones del navegador, para poder restaurarlos si su navegador es pirateado.