Un nuovo attacco chiamato Browser Syncjacking mostra la possibilità di sfruttare un’estensione di Chrome, apparentemente innocua, per prendere il controllo del dispositivo della vittima.
“L’attacco dimostra”, commenta Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser, “come sia possibile partire da una minima compromissione (nello specifico, una estensione del browser Chrome) per fare escalation di privilegi fino a ottenere le password memorizzate dall’utente e arrivare persino a prendere il controllo dell’intero browser“.
“La nuova tecnica di attacco”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “evidenzia quanto possa essere complesso proteggere un sistema da attacchi attraverso il browser nonostante gli sforzi continui dei principali produttori di questo software”.
Ecco come mitigare il rischio.
Indice degli argomenti
Browser Syncjacking: come dirotta i dispositivi
Il metodo di attacco, scoperto dai ricercatori di sicurezza di SquareX, prevede varie fasi, tra cui il dirottamento del profilo Google, quello del browser e, infine, l’acquisizione del dispositivo.
Nonostante il processo in più fasi, l’attacco è subdolo. “L’attacco è dunque particolarmente insidioso per la sua natura stealth“, conferma Paganini: “richiede autorizzazioni minime e quasi nessuna interazione con la vittima, a parte l’installazione di quella apparentemente legittima”. Per la maggior parte degli utenti è quasi impossibile accorgersi che qualcosa non va.
Infatti, “nel caso specifico è addirittura possibile prendere il controllo del dispositivo della vittima utilizzando un’estensione apparentemente innocua di Chrome“, continua Paganini.
Le tre fasi dell’attacco
L’attacco inizia con la creazione di un dominio Google Workspace malevolo in cui l’aggressore imposta più profili utente con funzioni di sicurezza come l’autenticazione a più fattori disabilitata. Gli aggressori usano questo dominio Workspace in background per realizzare un profilo gestito sul dispositivo della vittima.
Un’estensione del browser, fatta apparire come uno strumento utile con funzionalità legittime, viene quindi pubblicata sul Chrome Web Store.
Utilizzando l’ingegneria sociale, l’aggressore induce la vittima a installare l’estensione, che le permette di accedere silenziosamente a uno dei profili Google Workspace gestiti dall’aggressore, in una finestra nascosta del browser in esecuzione in background.
“Ancora una volta la componente social engineering è determinante per il successo dell’attacco”, spiega Paganini.
L’estensione apre dunque una pagina di supporto legittima di Google. Avendo i privilegi di lettura e scrittura delle pagine web, inietta contenuti nella pagina, dicendo all’utente di abilitare la sincronizzazione di Chrome.
Una volta sincronizzati, tutti i dati memorizzati, comprese le password e la cronologia di navigazione, diventano accessibili all’aggressore, che può a quel punto sfruttare il profilo compromesso sul proprio dispositivo.
Con il profilo della vittima sotto controllo, l’attaccante riesce a guadagnare il controllo del browser.
“Fortunatamente, gli step da percorrere per arrivare al culmine dell’infezione sono diversi e possono dare il tempo alla vittima di capire che è in corso un attacco, anche se tali indicatori possono emergere in momenti distanti nel tempo e quindi conferire minore evidenza di anomalie in corso”, avverte Dal Checco.
La demo su SquareX con il fasullo update di Zoom
Nella demo di SquareX, ciò avviene attraverso un falso aggiornamento di Zoom. In questo caso, un utente può ricevere un invito a Zoom e quando digita, va alla pagina web di Zoom. Intanto l’estensione inietta un contenuto dannoso che indica che il client Zoom deve ricevere un aggiornamento.
Tuttavia, questo download è un file eseguibile contenente un token di iscrizione, che offre agli aggressori il controllo completo del browser della vittima.
“Una volta iscritto, l’attaccante ottiene il pieno controllo del browser della vittima, consentendogli di accedere silenziosamente a tutte le applicazioni Web, installare ulteriori estensioni malevole, reindirizzare gli utenti a siti di phishing, monitorare/modificare i download di file e molto altro”, illustrano i ricercatori di SquareX.
Attraverso l’API di messaggistica nativa di Chrome, l’aggressore può stabilire un canale di comunicazione diretto tra l’estensione malevola e il sistema operativo della vittima.
Ciò permette di sfogliare directory, modificare file, installare malware, eseguire comandi arbitrari, catturare sequenze di tasti, estrarre dati sensibili e persino attivare la webcam e il microfono.
“L’installazione dell’estensione, seguita dalla richiesta di sincronizzazione dei dati del profilo, poi dal popup di aggiornamento Zoom potrebbero sollevare dei sospetti, soprattutto se dovessero verificarsi nell’arco di pochi minuti”, mette in guardia Dal Checco.
Come proteggersi dal Browser Syncjacking
La componente di ingegneria sociale dell’attacco dimostra, ancora una volta che “la conoscenza delle minacce e la formazione degli utenti assumono un ruolo essenziale nel contrasto a questi attacchi”, sottolinea Paganini.
Però, “per verificare se si è infetti è necessario accedere alle impostazioni di Google per ricercare eventuali associazioni con account Google Workspace non riconosciuti, dato che il primo vettore del malware è proprio la sincronizzazione dei dati tramite i profili Google”, evidenzia Dal Checco.
Come attività di prevenzione, invece, può essere importante evitare d’installare estensioni Chrome che non abbiano una storicità sufficiente, visionando le recensioni, il numero di utenti che hanno scaricato e anche i permessi che l’estensione richiede al momento dell’installazione.
La consapevolezza e formazione continua si confermano i migliori alleati nella cyber difesa, insieme a un approccio zero trust. “Questa minaccia dimostra infine quanto le estensioni di Chrome possano essere insidiose, e quanto sia importante prestare attenzione a quello che si installa sui nostri dispositivi“, conclude Paganini: “Limitiamo la nostra superficie di attacco, installiamo sono estensioni di cui abbiamo realmente bisogno e che siano sviluppate da aziende attendibili e distribuite attraverso canali ufficiali”.
Nell’attacco Browser Syncjacking, a meno che la vittima non sia paranoica in materia di sicurezza e abbastanza esperta dal punto di vista tecnico da navigare costantemente nelle impostazioni di Chrome, per cercare le etichette gestite del browser, niente mostra visivamente che il browser abbia subito il dirottamento.
“Come attività di prevenzione, dunque, può essere importante evitare d’installare estensioni Chrome che non abbiano una storicità sufficiente, visionando le recensioni, il numero di utenti che hanno scaricato e anche i permessi che l’estensione richiede al momento dell’installazione”, conclude Dal Checco.