ハッカーは、Google Chrome Webブラウザーを通じて、コンピューターをリモートで制御する新しい方法を発見しました。
サイバーセキュリティ会社からのレポートsquarex会社が吹き替えた新しいマルチファセットのサイバー攻撃をレイアウトします「ブラウザSyncJacking。」
クロムプロファイルテイクオーバー
悪意のある俳優は最初にユーザーにChrome拡張機能をダウンロードするよう説得しなければならないため、攻撃の中核はソーシャルエンジニアリング要素です。 Chrome拡張機能は通常、公式のChromeストアからダウンロードできる有用なツールに偽装されています。最小限の権限が必要であり、ユーザーに認識された正当性をさらに固めます。 Squarexによると、ユーザーからの攻撃のソースをさらに偽装するために、実際には拡張機能が宣伝されているように機能します。
一方、密かにバックグラウンドで、Chrome Extensionは、攻撃者が事前に設定した管理されたGoogleワークスペースプロファイルに接続します。ユーザーが無意識のうちにマネージプロファイルに署名されたため、攻撃者はユーザーをChrome拡張機能を介して修正されたコンテンツを注入する正当なGoogleサポートページに送信し、ユーザーにプロファイルを同期する必要があると伝えます。
ユーザーが同期に同意すると、保存されたパスワード、ブラウジング履歴、Autofill情報など、ローカルブラウザデータをすべてハッカーの管理プロファイルに無意識のうちに送信します。ハッカーは、独自のデバイスでこの管理されたプロファイルにサインインし、その機密情報をすべてアクセスできます。
マッシャブルなライトスピード
この時点までの攻撃は、すでにハッカーに詐欺やその他の違法な活動を犯すのに十分な資料を提供しています。ただし、ブラウザSyncJackingは、ハッカーにさらに進む機能を提供します。
Teleconferencing Platform Zoom Zoomを例として使用して、Squarexは、悪意のあるChrome拡張機能を使用して、攻撃者がユーザーにアップデートをインストールするように促す公式であるが変更されたズームWebページに被害者を送信できると説明しています。ただし、提供されているZoomのダウンロードは、実際には、ハッカーのGoogleワークスペースからChromeブラウザー登録トークンをインストールする実行可能ファイルです。
これが発生した後、ハッカーは追加の機能にアクセスし、ユーザーのGoogleドライブ、クリップボード、電子メールなどにアクセスできます。
デバイステイクオーバー
ブラウザの同期攻撃は止まりません。ハッカーは、被害者のChromeプロファイルとChromeブラウザーだけでなく、デバイス全体を引き継ぐために、さらに1つのステップを踏むことができます。
以前に使用されていたズームアップデーターのインストーラーの例など、同じ違法ダウンロードを使用すると、攻撃者は、Chromeのネイティブメッセージングプロトコルを武器化することにより、「ネイティブアプリへのレジストリエントリ」を挿入できます。これを行うことにより、攻撃者は基本的に「悪意のある拡張機能とローカルバイナリの間に」接続を設定します。基本的に、ハッカーのChrome拡張機能とコンピューターの間に情報の流れを作成します。これを使用して、ハッカーはデバイスにコマンドを送信できます。
ここからハッカーは何ができますか?彼らが望むほとんど何でも。攻撃者は、ユーザーのコンピューターファイルと設定に完全にアクセスできます。彼らはシステムにバックドアを作成することができます。パスワード、暗号通貨ウォレット、Cookieなどのデータを盗むことができます。さらに、ウェブカメラを制御してユーザーを追跡し、スクリーンショットを撮影し、オーディオを記録し、デバイスへのすべての入力を監視できます。
ご覧のとおり、ブラウザのSyncJackingは、ほとんどのユーザーにとって攻撃としてほぼ完全に認識できません。今のところ、このようなサイバー攻撃から身を守るためにできる最も重要なことは、ダウンロードしたものを認識し、信頼できるChrome拡張機能のみをインストールすることです。