I ricercatori di SquareX hanno individuato un nuovo tipo di attacco, denominato “browser syncjacking“, che permette ai cybercriminali di prendere il controllo del dispositivo, sfruttando un’estensione per Chrome. La tecnica prevede diversi passi e quasi nessuna interazione da parte della vittima.
Descrizione dell’attacco
L’attacco inizia con la creazione di un dominio Google Workspace e la registrazione di un account. Vengono quindi creati numerosi profili utente con le funzionalità di sicurezza disattivate, tra cui l’autenticazione multi-fattore. Successivamente i cybercriminali creano e pubblicano un’estensione, apparentemente legittima, sul Chrome Web Store.
Tramite tecniche di ingegneria sociale, la vittima viene spinta ad installare l’estensione con permessi di lettura e scrittura che funziona in background. L’utente non si accorge che effettua l’accesso ad uno dei profili Workspace creati in precedenza. L’estensione apre quindi una pagina del supporto di Google, modifica il contenuto e mostra un popup per chiedere di attivare la sincronizzazione del browser.
Se l’utente cade nel tranello, tutti i dati conservati in Chrome (password, cronologia e altri) finiscono nelle mani dei cybercriminali. Successivamente inviano all’utente un falso invito di Zoom che porta ad una pagina fake del servizio. Viene quindi chiesto di installare un aggiornamento per Zoom, ma in realtà l’ignara vittima scarica un file contenente un token che collega il browser al dominio Google Workspace.
A questo punto, i cybercriminali prendono il controllo di Chrome, accedono a tutte le web app, installano estensioni infette e portano l’utente su siti di phishing. Sfruttando l’API Native Messaging del browser viene inoltre effettuata una comunicazione diretta tra l’estensione e il sistema operativo.
L’ultimo passo dell’attacco è quindi il controllo del dispositivo. I cybercriminali possono eseguire qualsiasi attività, tra cui l’accesso ai file, l’installazione di malware, il furto delle credenziali, la registrazione di audio e video tramite microfoni e webcam.