Un nuevo ataque llamado ‘Browser Syncjacking’ demuestra la posibilidad de usar una extensión de Chrome aparentemente benigna para tomar el control del dispositivo de una víctima.
El nuevo método de ataque, descubierto por investigadores de seguridad en SquareX, implica varios pasos, incluyendo el secuestro del perfil de Google, el secuestro del navegador y, finalmente, la toma de control del dispositivo.
A pesar del proceso de múltiples etapas, el ataque es sigiloso, requiere permisos mínimos y casi ninguna interacción de la víctima, más allá de instalar lo que parece ser una extensión legítima de Chrome.
Fases de Syncjacking
El ataque comienza con la creación de un dominio malicioso de Google Workspace donde el atacante configura múltiples perfiles de usuario con características de seguridad como la autenticación multifactor deshabilitada.
Este dominio de Workspace se utilizará en segundo plano para crear un perfil administrado en el dispositivo de la víctima.
Luego, se publica una extensión de navegador, hecha para aparecer como una herramienta útil con funcionalidad legítima, en Chrome Web Store.
Usando ingeniería social, el atacante engaña a la víctima para que instale la extensión, que luego la registra silenciosamente en uno de los perfiles administrados de Google Workspace del atacante en una ventana de navegador oculta que se ejecuta en segundo plano.
La extensión luego abre una página de soporte legítima de Google.
Como tiene privilegios de Lectura y Escritura en las páginas web, inyecta contenido en la página, diciéndole al usuario que habilite la sincronización de Chrome.
Una vez sincronizados, todos los datos almacenados, incluidas las contraseñas y el historial de navegación, se vuelven accesibles para el atacante, quien ahora puede usar el perfil comprometido en su propio dispositivo.
Inscripción de la víctima en un espacio de trabajo administrado de Google
Con el perfil de la víctima bajo control, el atacante se mueve para tomar el control del navegador, lo que, en la demostración de SquareX, se realiza a través de una actualización falsa de Zoom.
En el escenario destacado por los investigadores, una persona puede recibir una invitación de Zoom, y cuando hace clic en ella y va a la página web de Zoom, la extensión inyectará contenido malicioso que indica que el cliente de Zoom necesita ser actualizado.
Sin embargo, esta descarga es un archivo ejecutable que contiene un token de inscripción, lo que da a los atacantes el control completo sobre el navegador de la víctima.
«Una vez inscrito, el atacante obtiene el control total sobre el navegador de la víctima, lo que le permite acceder silenciosamente a todas las aplicaciones web, instalar extensiones maliciosas adicionales, redirigir a los usuarios a sitios de phishing, monitorear/modificar descargas de archivos y mucho más», explican los investigadores de SquareX.
Al aprovechar la API de Mensajería Nativa de Chrome, el atacante puede establecer un canal de comunicación directo entre la extensión maliciosa y el sistema operativo de la víctima.
Esto les permite explorar directorios, modificar archivos, instalar malware, ejecutar comandos arbitrarios, capturar pulsaciones de teclas, extraer datos confidenciales e incluso activar la cámara web y el micrófono.
Acceso al contenido de Drive de la víctima
SquareX destaca la naturaleza sigilosa y potente del ataque, subrayando lo difícil que sería para la mayoría de los usuarios darse cuenta de que algo anda mal.
«A diferencia de los ataques de extensión anteriores que involucran ingeniería social elaborada, los adversarios necesitan solo permisos mínimos y un pequeño paso de ingeniería social, con casi ninguna interacción del usuario requerida para ejecutar este ataque», describe el informe.
«A menos que la víctima sea extremadamente paranoica con la seguridad y tenga los conocimientos técnicos suficientes para navegar constantemente por la configuración de Chrome para buscar etiquetas de navegador administrado, no hay una indicación visual real de que un navegador haya sido secuestrado».
Las extensiones de Chrome a menudo se perciben como riesgos aislados, pero eventos recientes como una ola de secuestros que impactaron a extensiones legítimas utilizadas por millones demostraron lo contrario.