Browser Syncjacking: esse é o nome de um novo ataque que utiliza extensões falsas do Google Chrome para roubar credenciais e informações sensíveis de dispositivos infectados. Descoberto no final de janeiro de 2025, o método foi revelado por pesquisadores da empresa de cibersegurança SquareX e tem potencial para causar estragos na vida digital de milhares de usuários Chrome que costumam utilizar extensões.
São vários passos de atuação desse método: ele começa roubando credenciais de perfil Google, depois toma controle do navegador e termina com acesso completo ao computador da vítima. Um dos pontos mais preocupantes é que praticamente não existe interação da vítima para permitir o trabalho malicioso, apenas a instalação da extensão.
O modus operandi
A trilha desse ataque começa com um cibercriminoso desenvolvendo um domínio Google Workspace malicioso que contenha diversos perfis de usuários — e sem ativar o segundo fator de autenticação dessas contas, como nota o Bleeping Computer.
Por meio desse trabalho, uma extensão Chrome falsa que chame atenção de vítimas é criada e publicada na Chrome Web Store. Peça instalada no computador, a vítima é silenciosamente logada no Google Workspace criminoso.
“Utilizando diversas técnicas de engenharia social, o usuário acaba descobrindo a extensão maliciosa na Chrome Store”, explicam os pesquisadores.
“Vendo que essa extensão possui apenas recursos básicos de leitura/gravação disponíveis de extensões mais populares, como Grammarly, Zoom, Calendly, a vítima instala a extensão. A extensão fornece a funcionalidade que promete, eliminando ainda mais qualquer suspeita de que a extensão seja maliciosa. Com o tempo, a presença da extensão fica em segundo plano à medida que a vítima retorna à sua rotina diária. É aí que a extensão se conecta ao domínio do invasor, recupera as credenciais e conclui as etapas relevantes do OAuth para registrar a vítima em uma das contas de usuário criadas”.
O programa criminoso continua sua ação ao injetar conteúdo em uma página de suporte legítima do Google (abusando de privilégios de leitura e gravação): ele pede ao usuário para realizar sincronização do Chrome.
Fonte: TecMundo
