Account di Google Chrome a rischio con il nuovo attacco informatico lanciato dai cybercriminali. Come segnalato dai ricercatori di SquareX, specilizzati nelle operazioni di sicurezza dei browser, è in corso una campagna malevola portata avanti da un gruppo di hacker in grado di prendere da remoto il controllo di qualsiasi dispositivo avvalendosi di un'estensione per Chrome. Il nuovo pericolo identificato è stato ribattezzato browser syncjacking.
Per entrare più nel dettaglio, i malviventi creano un dominio Google Workspace, con tanto di registrazione di un account. A quel punto procedono con il creare diversi profili utente con le funzionalità di sicurezza disattivate, come quella, importante, dell'autenticazione multi-fattore. Come secondo passaggio, gli hacker provvedono a creare e a proporre su Chrome Web Store un'estensione che pare del tutto credibile.
Il passo successivo è quella di trarre in inganno gli altri utenti, incoraggiandoli a installare l'estensione con permessi di lettura e scrittura in grado di funzionare in background. Facendo ciò, la vittima non si rende conto che in realtà sta accedendo a uno dei profili falsi creati in precedenza su Google Workspace. L'estensione scaricata permette l'apertura di una pagina del supporto di Google, procede col modificare il contenuto e porta all'apertura di un popup che chiede la sincronizzazione del browser. Chi segue l'intera procedura, affida nelle mani dei criminali tutti i dati sensibili registrati su Chrome, anche le password. Come se ciò non bastasse, i cybercriminali inviano alla vittima un invito su Zoom (che poi si rivelerà falso), dove verrà choesto all'utente di installare un aggiornamento del programma. Il file scaricato, però, contiene un token che permette il collegamento fra il browser e il dominio Google Workspace. In questo modo gli hacker riescono a impossessarsi del Chrome della vittima, prendendone il pieno controllo.
Una volta ottenuto il controllo del dispositivo della vittima anche grazie all'API Native Messaging, i malviventi possono effettuare qualsiasi operazione. Possono accedere ai file contenuti, oppure installare dei malware per rubare i dati.
Gli esperti di cybersicurezza consigliano di non scaricare e installare estensioni di Chrome non garantite, e di controllare sempre le recensioni e il numero di utenti che hanno scaricato. Il consulente informatico Paolo Dal Checco ha spiegato al portale Cybersecurity360.
it: "Per verificare se si è infetti è necessario accedere alle impostazioni di Google per ricercare eventuali associazioni con account Google Workspace non riconosciuti, dato che il primo vettore del malware è proprio la sincronizzazione dei dati tramite i profili Google".- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
