Эксперты по безопасности из SquareX обнаружили новую атаку под названием Browser Syncjacking, которая позволяет злоумышленникам захватывать устройства жертв с помощью вредоносного расширения для Chrome. Атака включает этапы захвата профиля Google, контроля браузера и полного управления устройством жертвы.
Несмотря на сложную многоступенчатую структуру, метод остаётся незаметным, требует минимальных разрешений и почти не требует взаимодействия со стороны жертвы. Достаточно лишь установки расширения, которое на первый взгляд кажется легитимным.
Несмотря на сложную многоступенчатую структуру, метод остаётся незаметным, требует минимальных разрешений и почти не требует взаимодействия со стороны жертвы. Достаточно лишь установки расширения, которое на первый взгляд кажется легитимным.
Этапы атаки Syncjacking
- Создание управляемого Google Workspace профиля
Злоумышленники создают вредоносный домен Google Workspace и настраивают несколько профилей пользователей без многофакторной аутентификации и других стандартных мер безопасности. Этот домен будет использоваться для создания управляемого профиля на устройстве жертвы. - Публикация вредоносного расширения
Злоумышленник публикует расширение на Chrome Web Store, оформленное как полезный инструмент с легитимной функциональностью. - Установка и скрытая авторизация
При помощи методов социальной инженерии жертву убеждают установить расширение. В скрытом окне браузера оно автоматически авторизует пользователя в одном из профилей Google Workspace злоумышленника. - Включение синхронизации Chrome
Расширение открывает страницу поддержки Google. Имея разрешения на чтение и запись контента, оно внедряет сообщение с инструкцией о необходимости включения синхронизации Chrome.
После включения синхронизации злоумышленник получает доступ ко всей информации, связанной с профилем пользователя, включая пароли, историю браузера и сохранённые данные. - Захват браузера и установка фальшивого обновления
Следующим шагом злоумышленник устанавливает контроль над браузером. В демонстрации SquareX показан сценарий, когда жертва получает приглашение на Zoom-встречу и переходит на официальный сайт Zoom. Однако расширение подменяет контент и сообщает о необходимости обновления клиента.
Это "обновление" представляет собой исполняемый файл с токеном регистрации, который предоставляет злоумышленникам полный контроль над браузером жертвы.
Возможности злоумышленников
Получив контроль над браузером, атакующий может осуществить:- Доступ к веб-приложениям и конфиденциальной информации
- Установку дополнительных вредоносных расширений
- Перенаправление пользователей на фишинговые сайты
- Мониторинг и модификация загрузок
- Выполнение произвольных команд
- Управление файлами и доступ к директориям
- Активацию веб-камеры и микрофона
- Кражу паролей и других конфиденциальных данных
Почему атака опасна?
В отличие от большинства атак через расширения, Browser Syncjacking требует минимальных разрешений и практически не привлекает внимания пользователя."Жертве трудно заметить, что её браузер был взломан, если только она не является опытным пользователем и не проверяет настройки Chrome на наличие управляемых профилей," — отмечают исследователи из SquareX.
Меры защиты
Чтобы защититься от подобных угроз, рекомендуется:- Внимательно проверять расширения перед их установкой
- Отключать синхронизацию Chrome при подозрениях на взлом
- Ограничить использование административных функций в Google Workspace
- Регулярно проверять настройки Chrome на наличие подозрительных профилей
Последнее редактирование модератором: