Browser syncjacking: il nuovo attacco hacker che usa Chrome per rubare dati

Browser Syncjacking può essere tradotto in italiano come dirottamento della sincronizzazione e si tratta di una nuova minaccia online. Tramite un’estensione innocua per Google Chrome o una richiesta di sincronizzazione del profilo che sembra arrivare direttamente da Google, gli hacker stanno riuscendo ad ottenere accesso completo ai dati di navigazione, alle password salvate e, nei casi più gravi, persino al computer della vittima. Il nuovo attacco informatico, chiamato “browser syncjacking”, è stato individuato dai ricercatori di SquareX, che lo definiscono un sistema di hacking sofisticato e in crescita esponenziale.

Browser synckjacking, cos’è

Il meccanismo è subdolo e si basa su un mix di ingegneria sociale e vulnerabilità nei sistemi di sincronizzazione del browser. L’attacco inizia con il download di un’estensione, che spesso viene pubblicata sul Chrome Web Store e riesce a superare i controlli di sicurezza di Google. Mentre l’utente la utilizza, in background stabilisce una connessione con un profilo Google Workspace controllato dall’hacker.
A questo punto entra in gioco la fase più insidiosa dell’attacco. L’estensione modifica il contenuto di una pagina di supporto ufficiale di Google e convince l’utente a sincronizzare il proprio profilo. Il messaggio appare credibile, con lo stesso design e la stessa interfaccia di Google. Quando la vittima accetta, il suo browser trasferisce automaticamente tutti i dati locali al profilo gestito dall’attaccante. Cronologia di navigazione, credenziali memorizzate, cookies e informazioni di compilazione automatica finiscono nelle mani dell’hacker, che può accedere a questi dati da qualsiasi altro dispositivo.

Come gli hacker controllano i computer con il Browser synckjacking

Il browser syncjacking non si limita a rubare informazioni: può portare al controllo completo del dispositivo. L’hacker, attraverso la stessa estensione malevola, reindirizza la vittima su una pagina apparentemente legittima; a quel punto, suggerisce di scaricare un aggiornamento, che in realtà contiene un file eseguibile dannoso. Il malware installato modifica le impostazioni del browser, inserendo un enrollment token che lega Chrome a un altro profilo Google Workspace controllato dall’attaccante.
A partire da questo momento, il cybercriminale ottiene poteri ancora maggiori. Può accedere ai documenti su Google Drive, leggere le email, copiare gli appunti, monitorare ogni attività online. Ma soprattutto, può spingersi oltre il browser e colpire il sistema operativo stesso. Utilizzando il protocollo Native Messaging di Chrome, il malware apre un canale diretto tra il browser compromesso e il sistema locale, permettendo all’hacker di eseguire comandi da remoto. In questo modo può estrarre file sensibili, installare backdoor per un accesso futuro e persino attivare il microfono o la webcam per sorvegliare la vittima.

Come evitare  il Browser synckjackingle

Google ha introdotto controlli più rigidi per le estensioni pubblicate sul Chrome Web Store, ma il problema persiste perché molte di queste riescono comunque a passare inosservate per settimane o mesi prima di essere rimosse. Evitare il syncjacking non è impossibile, ma richiede maggiore attenzione. Installare solo estensioni sviluppate da fonti affidabili, verificare i permessi richiesti e diffidare da richieste di sincronizzazione inaspettate sono le prime difese contro questa minaccia. Anche l’utilizzo di soluzioni di cybersecurity avanzate, come antivirus con protezione in tempo reale e sistemi di monitoraggio delle attività sospette, può ridurre il rischio.