Investigadores de seguridad han descubierto un nuevo método de ataque llamado Browser Syncjacking, que permite a los ciberdelincuentes tomar el control total de un dispositivo utilizando una extensión de Chrome aparentemente inofensiva. Este método, aunque sofisticado en su ejecución, requiere permisos mínimos y apenas necesita interacción del usuario, más allá de instalar la extensión maliciosa.
Fases del Ataque Syncjacking
- Creación de un Dominio Malicioso en Google Workspace
El ataque comienza con la configuración de un dominio de Google Workspace manipulado por el atacante, donde se crean perfiles de usuario con funciones de seguridad desactivadas, como la autenticación multifactor. - Publicación de la Extensión Maliciosa
Luego, el atacante lanza una extensión en la Chrome Web Store, disfrazada de herramienta útil. Mediante técnicas de ingeniería social, convence a la víctima de instalarla. - Secuestro del Perfil de Google
Una vez instalada, la extensión inicia sesión silenciosamente en uno de los perfiles gestionados por el atacante, usando una ventana oculta en segundo plano. - Activación de la Sincronización de Chrome
La extensión abre una página de soporte de Google legítima e inyecta contenido que solicita al usuario habilitar la sincronización de Chrome. Al hacerlo, todos los datos almacenados (contraseñas, historial de navegación) quedan accesibles para el atacante.
Del Navegador al Dispositivo: La Escalada del Ataque
Una vez que el atacante controla el perfil de Google, procede a secuestrar el navegador. En el ejemplo presentado por SquareX, la víctima recibe una supuesta invitación de Zoom. Al hacer clic, la extensión inyecta contenido malicioso en la página, indicando que es necesario actualizar el cliente de Zoom. Sin embargo, esta “actualización” es un archivo ejecutable que contiene un token de inscripción, otorgando al atacante el control total del navegador.
Control Total del Navegador y Más Allá
Mediante la API de Native Messaging de Chrome, el atacante establece un canal de comunicación directo con el sistema operativo de la víctima, permitiendo:
- Navegar por directorios y modificar archivos.
- Instalar malware y ejecutar comandos arbitrarios.
- Capturar pulsaciones de teclas y extraer datos sensibles.
- Activar la cámara y el micrófono sin el conocimiento del usuario.
Una Amenaza Silenciosa Difícil de Detectar
Lo más preocupante del Browser Syncjacking es su sigilo. A diferencia de ataques anteriores que requerían tácticas complejas de ingeniería social, este método necesita permisos mínimos y poca interacción del usuario. SquareX advierte que, a menos que la víctima tenga conocimientos técnicos avanzados y revise constantemente la configuración de Chrome, es improbable que note alguna señal de que su navegador ha sido comprometido.
Lecciones Aprendidas y Recomendaciones
Este ataque subraya la importancia de ser cauteloso al instalar extensiones de navegadores, incluso aquellas que parecen legítimas. Se recomienda:
- Verificar la procedencia de las extensiones y revisar los permisos solicitados.
- Mantener habilitadas las funciones de seguridad como la autenticación multifactor.
- Realizar auditorías periódicas de las configuraciones del navegador y perfiles asociados.
La aparente inocuidad de las extensiones de Chrome ha sido puesta en tela de juicio con este hallazgo, demostrando que incluso herramientas cotidianas pueden convertirse en puertas de entrada para ataques sofisticados.