La nouvelle cyberattaque «Syncjacking» du navigateur permet aux pirates de prendre le contrôle de votre ordinateur via Chrome

Les pirates ont découvert une nouvelle façon de prendre le contrôle à distance de votre ordinateur – tout au long du navigateur Web Google Chrome.

Un rapport de la société de cybersécurité Carréx présente la nouvelle cyberattaque multiforme, que l’entreprise a surnommée “Syncjacking du navigateur.”

Take-over de profil chromé

Au cœur de l’attaque se trouve un élément d’ingénierie sociale, car l’acteur malveillant doit d’abord convaincre l’utilisateur de télécharger une extension chromée. L’extension Chrome est généralement déguisée en un outil utile qui peut être téléchargé via le magasin Chrome officiel. Il nécessite des autorisations minimales, cimentant davantage sa légitimité perçue à l’utilisateur. Selon Squarex, l’extension fonctionne généralement comme annoncé, afin de déguiser davantage la source de l’attaque de l’utilisateur.

Pendant ce temps, secrètement en arrière-plan, l’extension Chrome se connecte à un profil Google Workspace géré que l’attaquant a mis en place à l’avance. Avec l’utilisateur maintenant signé sans le savoir dans un profil géré, l’attaquant envoie l’utilisateur à une page d’assistance Google légitime qui est injectée avec du contenu modifié via l’extension Chrome, indiquant à l’utilisateur qu’il a besoin de synchroniser son profil.

Lorsque l’utilisateur accepte la synchronisation, il envoie involontairement toutes ses données locales de navigateur, telles que les mots de passe enregistrés, l’historique de la navigation et les informations de mise au point automatique, au profil géré du pirate. Le pirate peut ensuite se connecter à ce profil géré sur son propre appareil et accéder à toutes ces informations sensibles.

Reprise du navigateur Chrome

L’attaque jusqu’à ce point fournit déjà au pirate suffisamment de matériel pour commettre une fraude et d’autres activités illicites. Cependant, le syncjacking du navigateur offre au pirate la capacité d’aller encore plus loin.

En utilisant le zoom de plate-forme de téléconférençage à titre d’exemple, Squarex explique qu’à l’aide de l’extension chromée malveillante, l’attaquant peut envoyer la victime à une page Web zoom officielle mais modifiée qui exhorte l’utilisateur à installer une mise à jour. Cependant, le téléchargement de zoom fourni est en fait un fichier exécutable qui installe un jeton d’inscription Chrome Browser à partir de l’espace de travail Google du pirate.

Après cela, le pirate a ensuite accès à des capacités supplémentaires et peut accéder à la lecteur Google de l’utilisateur, le presse-papiers, les e-mails et plus encore.

Takeing de l’appareil

L’attaque de synchronisation du navigateur ne s’arrête pas là. Le pirate peut faire une nouvelle étape afin non seulement de reprendre le profil Chrome de la victime et le navigateur Chrome, mais aussi tout leur appareil.

Grâce à ce même téléchargement illicite, tel que l’exemple d’installation de mise à jour Zoom précédemment utilisé, l’attaquant peut injecter une “entrée de registre pour message des applications natives” en armez le protocole de messagerie natif de Chrome. Ce faisant, l’attaquant établit essentiellement une connexion “entre l’extension malveillante et le binaire local”. Fondamentalement, cela crée un flux d’informations entre l’extension Chrome du pirate et votre ordinateur. En utilisant cela, le pirate peut envoyer des commandes à votre appareil.

Que peut faire le pirate d’ici? À peu près tout ce qu’ils veulent. L’attaquant aura un accès complet aux fichiers et paramètres de l’ordinateur de l’utilisateur. Ils peuvent créer des dérives dans le système. Ils peuvent voler des données telles que des mots de passe, des portefeuilles de crypto-monnaie, des cookies, etc. De plus, ils peuvent suivre l’utilisateur en contrôlant leur webcam, en prenant des captures d’écran, en enregistrant l’audio et en surveillant tout l’entrée dans l’appareil.

Comme vous pouvez le voir, le syncjacking du navigateur est presque complètement méconnaissable en tant qu’attaque pour la plupart des utilisateurs. Pour l’instant, la chose la plus importante que vous puissiez faire pour vous protéger d’une telle cyberattaque est d’être conscient de ce que vous téléchargez et n’installez que des extensions de chrome de confiance.