Специалисты по кибербезопасности из компании SquareX обнаружили новую технику атаки под названием Syncjacking, которая использует легитимно выглядящие расширения Chrome для получения полного контроля над устройствами жертв. Особую опасность представляет минимальное требование к привилегиям расширения и практически незаметное выполнение вредоносных действий.
Механизм проведения атаки Syncjacking
Атака начинается с создания злоумышленником вредоносного домена в Google Workspace. В рамках этого домена настраиваются специальные профили пользователей с отключенной многофакторной аутентификацией. Далее атакующий публикует в Chrome Web Store расширение, замаскированное под полезный инструмент с реальной функциональностью.
После установки пользователем такого расширения, оно незаметно активирует один из подготовленных профилей Google Workspace в фоновом режиме. Используя права на чтение и запись веб-страниц, расширение внедряет вредоносный код на страницу поддержки Google, который инициирует процесс синхронизации Chrome.
Последствия успешной атаки
При активации синхронизации злоумышленник получает доступ ко всем конфиденциальным данным жертвы, включая:
— Сохраненные пароли
— Историю просмотров
— Закладки и другие данные браузера
Расширенные возможности для атакующих
Исследователи продемонстрировали, как после получения контроля над профилем злоумышленники могут использовать Native Messaging API Chrome для установки прямого канала связи с операционной системой. Это открывает широкие возможности для проведения вредоносных действий:
— Установка дополнительного вредоносного ПО
— Выполнение произвольных системных команд
— Перехват нажатий клавиш
— Несанкционированный доступ к веб-камере и микрофону
— Кража конфиденциальных данных
Сложности обнаружения атаки
Эксперты SquareX подчеркивают, что обнаружить Syncjacking крайне сложно из-за отсутствия явных визуальных признаков компрометации браузера. В отличие от традиционных атак, использующих сложные схемы социальной инженерии, данный метод требует минимального взаимодействия с пользователем и практически незаметен для большинства жертв.
Для защиты от подобных атак специалисты рекомендуют тщательно проверять устанавливаемые расширения Chrome, регулярно проводить аудит установленных дополнений и использовать многофакторную аутентификацию для всех учетных записей Google. Также важно следить за появлением новых управляемых профилей в настройках браузера и немедленно сообщать о подозрительной активности в службу поддержки Google.
