Novo ataque ao Google Chrome rouba senhas de usuários

Um novo ataque cibernético, chamado Browser Syncjacking, está explorando extensões maliciosas do Google Chrome para capturar credenciais e dados sigilosos de dispositivos comprometidos.

Identificado no final de janeiro de 2025 por pesquisadores da empresa de segurança SquareX, esse método representa uma ameaça significativa para usuários do Chrome que fazem uso frequente de extensões, podendo resultar em graves violações de privacidade e segurança digital.

O ataque ocorre em várias etapas: primeiro, as credenciais do perfil Google da vítima são roubadas; em seguida, o invasor assume o controle do navegador e, por fim, obtém acesso total ao computador. O aspecto mais alarmante desse método é que ele exige pouca ou nenhuma ação por parte do usuário — basta a instalação da extensão maliciosa para que o golpe seja efetivado.

Profile Hijacking

O objetivo principal da primeira fase é logar uma vítima em um perfil do Chrome gerenciado pelo invasor. O exploit se desdobra pela seguinte sequência:

Fase 1: Preparação do invasor

O invasor cria um domínio e registra uma conta do Google Workspace no domínio.

2. O invasor cria vários perfis de usuário na conta do Google Workspace e desabilita recursos de segurança como MFA para esses perfis.

3. O invasor cria uma extensão de navegador funcional (por exemplo, AI marketer) e a publica na Chrome Store. Essa extensão será usada mais tarde como um meio para recuperar as credenciais desses perfis.

Fase 2: Instalação da extensão

Usando várias técnicas de engenharia social, o usuário acaba descobrindo a extensão maliciosa na Chrome Store.

Vendo que ela só tem recursos básicos de leitura/gravação disponíveis para extensões mais populares como Grammarly, Loom, Calendly, a vítima instala a extensão.

A extensão fornece a funcionalidade que promete, removendo ainda mais qualquer suspeita de que a extensão seja maliciosa. Com o tempo, a presença da extensão desaparece em segundo plano conforme a vítima retorna à sua rotina diária.

Fase 3: Sequestro de perfil

É quando a extensão se conecta ao domínio do invasor, recupera as credenciais e conclui as etapas relevantes do OAuth para fazer login da vítima em uma das contas de usuário criadas na etapa 2.

2. O usuário agora está logado em um perfil gerenciado totalmente controlado pelo invasor. Neste estágio, o invasor já pode aplicar políticas que desabilitam medidas de segurança, tornando o navegador mais suscetível a ataques.

Fase 4: Escalação de privilégios

O invasor abre a página de suporte legítima do Chrome na sincronização e usa a extensão maliciosa para modificar o conteúdo da página, convencendo a vítima a concluir a sincronização.

2. Uma vez que o perfil é sincronizado, todos os dados armazenados localmente, incluindo senhas, histórico de navegação e informações de preenchimento automático, são carregados para a conta gerenciada. Isso permite que o invasor faça login no mesmo perfil gerenciado em seu próprio dispositivo e acesse todos os dados associados ao perfil gerenciado.

Diferente de ataques anteriores que dependiam de estratégias complexas de engenharia social, os criminosos agora precisam apenas de permissões básicas e de uma mínima etapa de manipulação, tornando a interação do usuário quase desnecessária para que o golpe ocorra”, explicam os pesquisadores. “A menos que a vítima tenha um nível elevado de preocupação com segurança e conhecimento técnico suficiente para monitorar constantemente as configurações do Chrome em busca de sinais de controle externo, não há qualquer indicação visual clara de que o navegador foi comprometido.”

Esse tipo de ameaça reforça a importância de ferramentas de proteção digital, como antivírus. Há diversas opções disponíveis no mercado, inclusive gratuitas, que podem oferecer uma camada extra de segurança. Algumas das soluções recomendadas incluem Avast, Kaspersky, ESET, MalwareBytes, entre outras.

fonte: https://labs.sqrx.com/browser-syncjacking-cc602ea0cbd0
fonte2 https://www.tecmundo.com.br/seguranca/402078-novo-ataque-ao-google-chrome-rouba-senhas-de-usuarios-e-controla-pc.htm