Syncjacking de navegador: essa é a denominação de um novo tipo de ataque que se aproveita de extensões falsificadas do Google Chrome para capturar credenciais e informações sensíveis de dispositivos comprometidos.
Identificado no final de janeiro de 2025, esse método foi revelado por pesquisadores da empresa de cibersegurança SquareX e apresenta potencial para afetar severamente a vida digital de inúmeros usuários do Chrome que fazem uso de extensões.
Malware que visa usuários do macOS disfarça-se de Google Chrome e Telegram.
O processo desse ataque é executado em várias etapas: inicialmente se apropria das credenciais do perfil Google do usuário, em seguida assume o controle do navegador e, finalmente, obtém acesso integral ao computador da vítima.
Um dos aspectos mais alarmantes é que o ataque praticamente não requer interação do alvo, sendo a instalação da extensão o suficiente para que o processo mal-intencionado seja ativado.
A sequência desse ataque inicia com um cibercriminoso criando um domínio Google Workspace mal-intencionado que contém diversos perfis de usuários — crucialmente, sem ativar a verificação em duas etapas dessas contas, como destacado pelo Bleeping Computer.
Através dessa estratégia, uma extensão Chrome falsa é desenvolvida e disponibilizada na Chrome Web Store, chamando a atenção de potenciais vítimas.
Uma vez instalada no dispositivo, a extensão realiza acesso silencioso ao Google Workspace criminoso.
"Com a utilização de várias táticas de engenharia social, o usuário acaba encontrando a extensão maliciosa na Chrome Store", explicam os especialistas.
Ao perceber que essa extensão oferece apenas funcionalidades básicas de leitura e escrita, semelhantes às encontradas em extensões populares como Grammarly, Zoom, Calendly, a vítima procede com a instalação.
A extensão cumpre com o prometido, dissipando quaisquer suspeitas de sua natureza maliciosa.
Com o tempo, a presença da extensão torna-se secundária à medida que a vítima retoma sua rotina diária.
É neste momento que a extensão se conecta ao domínio do atacante, recupera as credenciais e executa as etapas necessárias do OAuth para registrar o usuário em uma das contas criadas.
A ação maliciosa prossegue ao injetar conteúdo em uma página legítima de suporte do Google (explorando privilégios de leitura e escrita), solicitando ao usuário que realize a sincronização do Chrome.
No final, com o Chrome sincronizado, o cibercriminoso obtém acesso aos dados armazenados, senhas, histórico, emails, além de escalar para outros ataques que resultam no roubo das informações listadas a seguir:
- Arquivos armazenados no Google Drive/OneDrive
- Qualquer dado copiado para a área de transferência do dispositivo
- Todas as inserções do usuário, incluindo senhas e informações financeiras
- Redirecionamento de usuários para páginas maliciosas
- Autenticação silenciosa de terceiros em aplicativos corporativos
- Instalação de extensões maliciosas
- Acesso a sistemas de arquivos
- Modificação de sistemas
- Captura de teclas digitadas, gravação de áudio pelo microfone, acesso à webcam, capturas de tela, monitoramento da área de transferência e rastreamento de envios de formulários em todos os navegadores
- Controle remoto do dispositivo
"Diferentemente de ataques anteriores que envolviam uma engenharia social mais elaborada, os cibercriminosos agora precisam apenas de permissões mínimas e de uma pequena intervenção de engenharia social, quase sem qualquer necessidade de interação por parte da vítima para executar este ataque", declararam os pesquisadores.
A não ser que a vítima seja extremamente cuidadosa com a segurança e possua conhecimento técnico suficiente para revisar constantemente as configurações do Chrome em busca de indícios de um navegador comprometido, não existe uma sinalização visual clara de que o navegador tenha sido sequestrado.
Casos como este ressaltam a importância de ferramentas que nos protejam na internet, como antivírus.
Há várias soluções eficazes disponíveis no mercado — inclusive gratuitas — que podem oferecer uma primeira linha de defesa.
Entre elas, vale conferir os softwares da Avast, Kaspersky, ESET, MalwareBytes, entre outros.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...