Browser Syncjacking: новая угроза для пользователей Chrome

Переводчик Google

Эксперты по безопасности из SquareX обнаружили новую атаку под названием Browser Syncjacking, которая позволяет злоумышленникам захватывать устройства жертв с помощью вредоносного расширения для Chrome. Атака включает этапы захвата профиля Google, контроля браузера и полного управления устройством жертвы.

Несмотря на сложную многоступенчатую структуру, метод остаётся незаметным, требует минимальных разрешений и почти не требует взаимодействия со стороны жертвы. Достаточно лишь установки расширения, которое на первый взгляд кажется легитимным.


Этапы атаки Syncjacking

  1. Создание управляемого Google Workspace профиля
    Злоумышленники создают вредоносный домен Google Workspace и настраивают несколько профилей пользователей без многофакторной аутентификации и других стандартных мер безопасности. Этот домен будет использоваться для создания управляемого профиля на устройстве жертвы.
  2. Публикация вредоносного расширения
    Злоумышленник публикует расширение на Chrome Web Store, оформленное как полезный инструмент с легитимной функциональностью.
  3. Установка и скрытая авторизация
    При помощи методов социальной инженерии жертву убеждают установить расширение. В скрытом окне браузера оно автоматически авторизует пользователя в одном из профилей Google Workspace злоумышленника.
  4. Включение синхронизации Chrome
    Расширение открывает страницу поддержки Google. Имея разрешения на чтение и запись контента, оно внедряет сообщение с инструкцией о необходимости включения синхронизации Chrome.
    1738395037130.webp

    После включения синхронизации злоумышленник получает доступ ко всей информации, связанной с профилем пользователя, включая пароли, историю браузера и сохранённые данные.
  5. Захват браузера и установка фальшивого обновления
    Следующим шагом злоумышленник устанавливает контроль над браузером. В демонстрации SquareX показан сценарий, когда жертва получает приглашение на Zoom-встречу и переходит на официальный сайт Zoom. Однако расширение подменяет контент и сообщает о необходимости обновления клиента.
    1738395066295.webp

    Это "обновление" представляет собой исполняемый файл с токеном регистрации, который предоставляет злоумышленникам полный контроль над браузером жертвы.

Возможности злоумышленников

Получив контроль над браузером, атакующий может осуществить:
  • Доступ к веб-приложениям и конфиденциальной информации
  • Установку дополнительных вредоносных расширений
  • Перенаправление пользователей на фишинговые сайты
  • Мониторинг и модификация загрузок
  • Выполнение произвольных команд
  • Управление файлами и доступ к директориям
  • Активацию веб-камеры и микрофона
  • Кражу паролей и других конфиденциальных данных
1738395160733.webp


Почему атака опасна?

В отличие от большинства атак через расширения, Browser Syncjacking требует минимальных разрешений и практически не привлекает внимания пользователя.

"Жертве трудно заметить, что её браузер был взломан, если только она не является опытным пользователем и не проверяет настройки Chrome на наличие управляемых профилей," — отмечают исследователи из SquareX.

Меры защиты

Чтобы защититься от подобных угроз, рекомендуется:

  • Внимательно проверять расширения перед их установкой
  • Отключать синхронизацию Chrome при подозрениях на взлом
  • Ограничить использование административных функций в Google Workspace
  • Регулярно проверять настройки Chrome на наличие подозрительных профилей
По мотивам
 
Последнее редактирование модератором:
Назад
Сверху Снизу