Nell'ambito della navigazione online, Google Chrome si è affermato come il browser più utilizzato su desktop, rendendolo un obiettivo privilegiato per i cybercriminali. La questione si fa seriamente preoccupante considerando la quantità di dati personali e sensibili che l'utente medio conserva all'interno del browser. Recentemente, sono emersi attacchi sofisticati mirati a rubare informazioni e a prendere il controllo dei computer degli utenti. Questo evento allerta su quanto sia cruciale prestare attenzione alla sicurezza informatica.
Come avviene l'attacco
Un nuovo tipo di attacco, noto come "Browser Syncjacking", è stato identificato da esperti della sicurezza informatica della società SquareX. Questo attacco si articola in più fasi, risultando particolarmente insidioso grazie al suo approccio furtivo che richiede pochissimi permessi. A prima vista, potrebbe risultare facile cadere vittima di tale minaccia, specialmente per l'utente medio che naviga senza una protezione adeguata.
I criminali informatici iniziano creando un dominio Google Workspace malevolo, popolato da più profili utente in cui le misure di sicurezza, come l'autenticazione a più fattori, sono disattivate intenzionalmente. Questo dominio viene utilizzato in background per generare profili gestiti sui dispositivi delle vittime. Da qui, i malintenzionati realizzano e lanciano un'estensione malevola sul Chrome Web Store, presentandola come uno strumento utile per attrarre le loro potenziali vittime.
Successivamente, attraverso tecniche di ingegneria sociale, gli aggressori convincono gli utenti a installare questa nuova estensione. Una volta completata l'installazione, l'estensione utilizza una finestra del browser invisibile per autenticare l'utente in uno dei profili di Workspace gestiti dai criminali. Per indurre la vittima a attivare la sincronizzazione su questo nuovo profilo, l'estensione apre una pagina di assistenza Google il cui contenuto è stato manomesso, fornendo istruzioni su come procedere.
Le conseguenze del furto di dati
Se la vittima segue le istruzioni e attiva la sincronizzazione, all'improvviso tutti i suoi dati di Chrome, comprese le password e la cronologia di navigazione, diventano accessibili ai criminali. Una volta ottenuto l'accesso al profilo compromesso, queste entità cercano di esercitare un dominio completo sul browser della vittima. In un recente articolo della SquareX, è emerso che una delle tecniche utilizzate è attraverso l'invio di un falso aggiornamento di Zoom.
In questo frangente, la vittima potrebbe ricevere un invito Zoom legittimo. Tuttavia, una volta cliccato, l'estensione in questione introduce contenuti malevoli nell'invito, simulando che vi sia la necessità di un aggiornamento. In realtà, il file scaricato è un eseguibile contenente un token di registrazione. Se l'utente esegue questo file sotto l'impressione di un normale aggiornamento, concede ai criminali il controllo totale del suo browser.
Dopo aver ottenuto il controllo, gli attaccanti possono accedere silenziosamente a tutte le applicazioni web della vittima, installare ulteriori estensioni malevole, dirottare l’utente verso siti phishing e monitorare o modificare file. Inoltre, grazie all’API di messaggistica nativa di Chrome, possono stabilire un canale di comunicazione diretto tra la loro estensione e il sistema operativo della vittima. Ciò permette l'installazione di malware, la registrazione di tasti digitati, l'estrazione di dati sensibili e perfino l'attivazione delle webcam e dei microfoni.
Misure di sicurezza per proteggersi da attacchi
Gli attacchi tramite estensioni malevoli non sono una novità, ma quello attuale presenta peculiarità che lo rendono particolarmente subdolo. I criminali necessitano di pochi consensi, una certa abilità nell'ingegneria sociale e un’interazione limitata da parte dell'utente per avere successo. Inoltre, a meno che la vittima non controlli continuamente le impostazioni del browser per etichette di gestione, non ci sono indicazioni visive evidenti di un browser compromesso.
Per difendersi meglio, un primo passo fondamentale è evitare di installare estensioni nuove, limitando ulteriormente quelle già presenti. È essenziale esaminare attentamente qualsiasi estensione e il suo sviluppatore per individuare segnali di comportamento sospetto. Ogni utente dovrebbe interrogarsi se è davvero necessario l'uso di una determinata estensione o se esiste una app alternativa per soddisfare la stessa esigenza.
Per quanto riguarda la protezione da malware, è consigliabile utilizzare software antivirus di alta qualità, sia per computer Windows che per Mac. Meglio ancora, gestire le password e le credenziali sensibili attraverso un gestore di password affidabile, evitando di affidare tali dati al browser. È chiaro che i criminali continueranno a ideare nuove forme di attacco, ma con attenzione e responsabilità online, e limitando l'installazione di estensioni non necessarie, gli utenti possono ridurre il rischio di cadere vittima di tali minacce.