Browser Syncjaking: esse é o nome de um novo ataque que utiliza extensões falsas do Google Chrome para roubar credenciais e informações sensíveis de dispositivos infectados.
Descoberto no final de janeiro de 2025, o método foi revelado por pesquisadores da empresa de cibersegurança SquareX e tem potencial para causar estragos na vida digital de milhares de usuários Chrome que costumam utilizar extensões.
São vários passos de atuação desse método: ele começa roubando credenciais de perfil Google, depois toma controle do navegador e termina com acesso completo ao computador da vítima. Um dos pontos mais preocupantes é que praticamente não existe interação da vítima para permitir o trabalho malicioso, apenas a instalação da extensão.
Extensão falsa
O modus operandi
A trilha desse ataque começa com um cibercriminoso desenvolvendo um domínio Google Workspace malicioso que contenha diversos perfis de usuários — e sem ativar o segundo fator de autenticação dessas contas, como nota o Bleeping Computer.
Por meio desse trabalho, uma extensão Chrome falsa que chame atenção de vítimas é criada e publicada na Chrome Web Store. Peça instalada no computador, a vítima é silenciosamente logada no Google Workspace criminoso.
“Utilizando diversas técnicas de engenharia social, o usuário acaba descobrindo a extensão maliciosa na Chrome Store”, explicam os pesquisadores.
“Vendo que essa extensão possui apenas recursos básicos de leitura/gravação disponíveis de extensões mais populares, como Grammarly, Zoom, Calendly, a vítima instala a extensão. A extensão fornece a funcionalidade que promete, eliminando ainda mais qualquer suspeita de que a extensão seja maliciosa. Com o tempo, a presença da extensão fica em segundo plano à medida que a vítima retorna à sua rotina diária. É aí que a extensão se conecta ao domínio do invasor, recupera as credenciais e conclui as etapas relevantes do OAuth para registrar a vítima em uma das contas de usuário criadas”.
O programa criminoso continua sua ação ao injetar conteúdo em uma página de suporte legítima do Google (abusando de privilégios de leitura e gravação): ele pede ao usuário para realizar sincronização do Chrome.
Ao final, com o Chrome sincronizado, o cibercriminoso tem acesso aos dados armazenados, senhas, histórico, emails e escalar para outros ataques que geram o roubo dos tópicos listados abaixo.
- Arquivos armazenados no Google Drive/One Drive
- Qualquer informação copiada para a área de transferência do dispositivo
- Todas as entradas do usuário, incluindo senhas e informações financeiras
- Redirecionar usuários para páginas maliciosas
- Autenticar silenciosamente o acesso de terceiros a aplicativos corporativos
- Instalar extensões maliciosas
- Acessar sistemas de arquivos
- Modificar sistemas
- Capturar pressionamentos de teclas, gravar áudio pelo microfone, acessar a webcam, capturas de tela, monitorar o conteúdo da área de transferência e rastrear envios de formulários em todos os navegadores
- Controlar remotamente o dispositivo
Extensão falsa do Zoom
“Ao contrário dos ataques de extensão anteriores que envolvem engenharia social elaborada, os cibercriminosos agora precisam apenas de permissões mínimas e de uma pequena etapa de engenharia social, quase sem necessidade de interação do usuário para executar este ataque”, escrevem os pesquisadores. “A menos que a vítima seja extremamente paranóica em termos de segurança e seja tecnicamente experiente o suficiente para navegar constantemente nas configurações do Chrome em busca de rótulos de navegadores gerenciados, não há indicação visual real de que um navegador foi sequestrado”.
O Bleeping Computer, que primeiro relatou o caso, entrou em contato com o Google e ainda não recebeu uma resposta.
Casos como esses reforçam a necessidade de ferramentas que nos auxiliem na internet, como os antivírus. Existem diversas soluções interessantes no mercado — e até gratuitas já irão lhe ajudar. Entre elas, você pode dar uma olhada nos softwares da Avast, Kaspersky, ESET, MalwareBytes e outros.
