Gli specialisti della sicurezza informatica affermano che un gruppo di hacker dannosi ha scoperto che è possibile abusare della funzione di sincronizzazione di Google Chrome per inviare comandi infetti a firewall e altri meccanismi di sicurezza della rete. Come gli utenti ricorderanno, questa funzione consente di archiviare copie dei segnalibri di Chrome, cronologia di navigazione, password e impostazioni del browser sui server cloud di Google.
Lo specialista Bojan Zdrnja afferma che, durante un recente processo di risposta a un incidente, ha scoperto che un’estensione dannosa stava abusando della funzione di sincronizzazione di Chrome per comunicare con un server C&C, estraendo i dati dalle vittime attraverso browser infetti.
L’esperto afferma che nella loro indagine gli attori delle minacce hanno avuto accesso a dati sensibili sul sistema compromesso, scaricando un’estensione di Chrome che è stata caricata tramite la modalità sviluppatore nel browser. Questa estensione, mascherata da plug-in di sicurezza sviluppato dalla società di sicurezza Forcepoint, includeva codice dannoso per abusare della funzione di sincronizzazione al fine di consentire agli autori delle minacce di assumere il controllo del browser compromesso.
“Gli autori delle minacce cercano di utilizzare questa estensione per manipolare i dati in un’applicazione Web interna a cui le vittime hanno accesso”, afferma Zdrnja.
Il codice dannoso trovato nell’estensione suggerisce che gli autori delle minacce hanno utilizzato il componente aggiuntivo dannoso per creare un campo basato su testo in cui archiviare le chiavi token, che si sarebbero poi sincronizzate con i server cloud di Google come parte della funzione di sincronizzazione: “Per configurare, leggere o eliminare queste chiavi, i criminali informatici devono solo accedere con lo stesso account Google in un altro browser Chrome per comunicare sulla rete della vittima compromettendo l’infrastruttura di Google”, afferma il ricercatore.
In questo modo i criminali utilizzano l’estensione dannosa come canale di estrazione dalle reti aziendali all’istanza del browser Chrome di un utente malintenzionato o come un modo per controllare il browser infetto da lontano, evitando le difese di sicurezza locali.
Poiché il contenuto rubato o i comandi successivi vengono inviati tramite l’infrastruttura di Chrome, nessuna di queste operazioni verrà rilevata come attività dannosa sulla maggior parte delle reti aziendali, dove Chrome generalmente opera senza limitazioni. Il ricercatore ha completato il suo rapporto chiedendo alle aziende esposte a utilizzare le funzionalità aziendali di Chrome e il supporto dei criteri di gruppo di bloccare e controllare estensioni potenzialmente dannose.