A extensão maliciosa abusa de sincronização do Chrome para roubar dados do usuário

Os agentes de ameaças podem usar indevidamente o recurso Google Chrome Sync para coletar informações de computadores comprometidos usando extensões maliciosas do navegador Chrome.

A infraestrutura do Google também pode ser usada indevidamente como um canal de comunicação de comando e controle (C2) para extrair dados roubados de servidores controlados por invasores, descobriu o consultor de segurança Bojan Zdrnja.

O Chrome Sync é um recurso do navegador projetado para sincronizar automaticamente os favoritos, o histórico, as senhas e outras configurações de um usuário depois que ele fizer login com a conta do Google.

índice

  1. Ignorar as verificações de segurança da Chrome Web Store
  2. as chaves do reino

Ignorar as verificações de segurança da Chrome Web Store

Embora haja uma dúzia de extensões maliciosas do Chrome e o Google remova centenas a cada ano da Chrome Web Store, esta foi especial na forma como foi distribuída.

O plug-in malicioso do invasor foi disfarçado como uma extensão Forcepoint Endpoint do Chrome para Windows e instalado diretamente do Chrome (ignorando o canal de instalação da Chrome Web Store) depois que o modo de desenvolvedor foi ativado.

Extensão Maliciosa do Chrome ( Bojan Zdrnja )

Uma vez instalada, a extensão lançou um script em segundo plano projetado para verificar o oauth_token na memória do Chrome, que sincronizaria automaticamente com o armazenamento em nuvem do Google do usuário.

Para obter acesso a dados confidenciais sincronizados, o agente da ameaça só precisa fazer login na mesma conta do Google em outro sistema executando o navegador Chrome, pois navegadores de terceiros baseados no Chromium não podem usar a API de sincronização privada do Google Chrome.

Isso permitiria que eles "se comunicassem com o navegador Chrome na rede da vítima, abusando da infraestrutura do Google", revelou Zdrnja.

"Embora existam algumas limitações no tamanho dos dados e no número de solicitações, isso é realmente perfeito para comandos C&C (que geralmente são pequenos) ou para roubar dados pequenos, mas confidenciais, como tokens de autenticação."

Código de extensão malicioso ( Bojan Zdrnja)

as chaves do reino

O agente da ameaça concentrou o ataque na manipulação de dados do aplicativo da Web de dados e não tentou estender sua atividade maliciosa ao sistema subjacente. O raciocínio para este comportamento é bastante simples de acordo com Zdrnja.

“Embora eles também quisessem expandir seu acesso, na verdade limitaram as atividades nesta estação de trabalho àquelas relacionadas a aplicativos da Web, o que explica por que eles apenas descartaram a extensão maliciosa do Chrome e nenhum outro binário”, explicou Zdrnja.

Dito isto, também faz sentido: hoje quase tudo é gerido através de uma aplicação web, seja o CRM interno, o sistema de gestão de documentos, o sistema de gestão de direitos de acesso ou outro. [..]. "

Bloquear a extensão maliciosa de exfiltração de dados também exigiria o bloqueio de servidores usados ​​pelo Google para vários fins legítimos (como clients4.google.com), portanto, essa não é a maneira correta de se defender contra ataques semelhantes.

"Agora, se você está pensando em bloquear o acesso a clients4.google.com, cuidado: este é um site muito importante para o Chrome, que também é usado para verificar se o Chrome está conectado à Internet (entre outras coisas)", ele disse Zdrnja. .

Para bloquear invasores que abusam da API de sincronização do Google Chrome para coletar e vazar dados de ambientes corporativos, Zdrnja recomenda que a Política de Grupo crie uma lista de extensões aprovadas do Chrome e bloqueie todas as outras que não foram verificadas no Google Chrome. procure sinais de alerta.

  • Incrível extensão Lash Lifter Freeze está morta, mas você não precisa dela de qualquer maneira
  • Microsoft alerta para aumento nos ataques de phishing do Office 365 OAuth

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Como mudar o Chrome OS para Windows?

O método que usaremos para obter o Windows 10 inicializável e totalmente operacional em seu Chromebook será instalando uma ferramenta chamada Parallels Desktop for Chrome OS . Este software é um wrapper para Windows 10, ou seja, permite executar a versão completa do Windows em um Chromebook .

Como remover o Chrome OS?

  1. No computador, feche todas as janelas e guias do Chrome .
  2. Clique no menu Iniciar.
  3. Clique em Aplicativos.
  4. Em "Aplicativos e recursos", clique em Google Chrome .
  5. Clique em Desinstalar.
  6. Para confirmar esta ação, clique em Desinstalar.

O que pode ser feito com o Chrome OS?

Como encontrar aplicativos para o Chromebook

Tarefa Aplicativo Chromebook recomendado
Encontre, salve e organize arquivos Arquivos do Google Drive Dropbox Microsoft® OneDrive
Criar um documento Documentos Google Microsoft® Word
Criar uma planilha Planilhas Google Microsoft® Excel®

Como formatar um PC com o Chrome OS?

Redefinir seu Chromebook de fábrica

  1. Saia do seu Chromebook.
  2. Mantenha pressionadas as teclas Ctrl + Alt + Shift + r.
  3. Selecione Reiniciar.
  4. Na caixa exibida, selecione Powerwash e, em seguida, Continue.
  5. Siga as etapas que aparecem e faça login com sua conta do Google.
  6. Depois de redefinir seu Chromebook:
Ir arriba