LOGIN
In Breve (TL;DR)
- Il browser syncjacking è un attacco malware che compromette Google Chrome tramite estensioni malevole, permettendo agli hacker di rubare dati e controllare il dispositivo.
- Per difendersi, è fondamentale installare solo estensioni verificate, evitare sincronizzazioni sospette e attivare l’autenticazione a due fattori (MFA) per proteggere l’account.
C’è un nuovo attacco informatico che minaccia la sicurezza di Google Chrome e lo fa sfruttando una sofisticata strategia che permette ai criminali informatici di prendere il controllo da remoto dei dispositivi infettati.
Questa minaccia è stata identificata dagli esperti di sicurezza di SquareX ed è stata denominata browser syncjacking. Ecco cosa sappiamo al riguardo
Come funziona il browser syncjacking
Un attacco di browser syncjacking si articola in più fasi: la prima consiste nella creazione di un dominio Google Workspace con i cybercriminali che creano diversi profili utente, disattivando le principali misure di sicurezza, come l'autenticazione a due fattori, ad esempio.
Fatto questo passano alla fase successiva che consiste nello sviluppare un’estensione per Google Chrome, che viene poi caricata sul Chrome Web Store come se fosse un tool qualsiasi per il browser.
L’estensione in questione viene sviluppata con permessi di lettura e scrittura ed è in grado di funzionare in background, senza destare sospetti.
Per diffondere l’estensione malevola, i malintenzionati digitali si affidano a tecniche di ingegneria sociale, spingendo gli utenti a installarla con l’inganno. Una volta scaricato questo tool attiva una serie di meccanismi che silenziosamente vanno a compromettere il dispositivo della vittima.
Quando l’estensione viene installata e inizia a funzionare, l’utente viene reindirizzato a una pagina identica a quella del supporto ufficiale di Google e gli viene mostrato un popup che lo invita a sincronizzare il browser, spingendolo a collegarsi a uno dei falsi account Google Workspace creati dagli hacker.
L’ultima fase di questo elaborato attacco informatico consiste nell’inviare alla vittima unfinto invito Zoom, dove viene richiesta l’installazione di un aggiornamento. Il file scaricato, però, non è un update ma è un malware contenente un token che collega il browser al dominio Google Workspace degli hacker.
Questo attacco estremamente sofisticato consente ai criminali informatici di accedere a tutti i dati sincronizzati su Chrome, incluse password, cronologia di navigazione e qualsiasi altro tipo di informazione sensibile. Inoltre tramite l’API Native Messaging possono anche ottenere il pieno controllo del browser e del dispositivo della vittima.
Come difendersi da questo attacco informatico
Come evidente, si tratta di una tipologia di attacco subdola ed estremamente complessa che ha spinto gli esperti di cyber sicurezza a dare agli utenti alcuni consigli pratici per non cadere nella trappola degli hacker.
Il primo consiglio è quello di evitare di installare estensioni non verificate, scaricandole solo dallo store ufficiale di Chrome e verificando recensioni, il numero di download e l’autenticità dello sviluppatore.
In secondo luogo è fondamentale non sincronizzare il browser con account sconosciuti e se una pagina o un’estensione richiede di attivare la sincronizzazione di Chrome prima di concedere i permessi è sempre bene verificare la fonte.
Poi è consigliabile diffidare degli aggiornamenti software non ufficiali e scaricare update solamente dai canali ufficiali di Google.
Molto importante anche proteggere il proprio account attivando l’autenticazione a due fattori (MFA), un sistema che rende notevolmente più difficile per i malintenzionati accedere agli account.
Infine è consigliabile sempre monitorare l’attività del proprio account Google, verificando accessi sospetti e, in caso, modificare immediatamente la password.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
