W ciągu ostatnich 17 lat, odkąd Google wypuściło pierwszą wersję swojej przeglądarki, zaobserwowaliśmy znaczny odsetek złośliwych rozszerzeń przeglądarki Chrome. Od fałszywych rozszerzeń VPN i całkowicie złośliwych rozszerzeń po wyrafinowane złośliwe oprogramowanie odtwarzające sesję.
Oto co się stało:nowy złośliwy typ rozszerzenia, zwany rozszerzeniem polimorficznym, jest obecnie używany do atakowania użytkowników na wolności.
Dowiedz się więcej:Apple wycofuje aplikacje zainfekowane złośliwym oprogramowaniem, które mogą ukraść Twoje prywatne dane
Co to jest rozszerzenie polimorficzne?Złośliwe rozszerzenie, które fałszuje ikonę i zachowanie innych rozszerzeń w celu kradzieży danych użytkownika.
Rozszerzenia polimorficzne na pierwszy rzut oka zachowują się jak legalne rozszerzenia. Wyglądają jak nieszkodliwe rozszerzenia zapewniające pewną funkcjonalność. Ich prawdziwym celem jest fałszowanie innych rozszerzeń zainstalowanych w przeglądarce użytkownika w celu kradzieży danych.
Fałszywe inne rozszerzenia, aby uzyskać dostęp do danych użytkownika
Badacze bezpieczeństwa wLaboratoria SquareXodkrył nowy typ złośliwego oprogramowania. Podstawowy proces jest zawsze taki sam. Rozpoczyna się od instalacji legalnie wyglądającego, ale złośliwego rozszerzenia do przeglądarki Chrome. Może się to zdarzyć za pośrednictwem oficjalnego sklepu Chrome Web Store lub innych kanałów.
Rozszerzenie prosi użytkownika o przypięcie jego ikony do paska narzędzi Chrome. Wiele rozszerzeń tego wymaga, ponieważ zapewnia szybszy dostęp do funkcjonalności.
Chociaż rozszerzenie działa zgodnie z reklamą, skanuje w poszukiwaniu wartościowych rozszerzeń zainstalowanych przez użytkownika. Mogą to być menedżery haseł, rozszerzenia finansowe lub wszelkiego rodzaju rozszerzenia, które mogą zapewnić dostęp do cennych danych.
Chociaż Chrome uniemożliwia rozszerzeniom wyliczanie innych zainstalowanych rozszerzeń, istnieją techniki pozwalające pokonać te ograniczenia. Według badaczy jednym ze sposobów jest sprawdzenie, czy docelowe rozszerzenia korzystają z określonych zasobów sieciowych.
Po znalezieniu rozszerzeń wykonywany jest złośliwy kod, który podszywa się pod legalne rozszerzenie. Badacze podają przykład zaatakowanego rozszerzenia menedżera haseł.
Gdy użytkownik odwiedza stronę zawierającą formularz logowania, złośliwe rozszerzenie tymczasowo wyłącza menedżera haseł i podszywa się pod ikonę menedżera haseł na pasku narzędzi Chrome. Podpowiedź HTML żąda nowego logowania do menedżera haseł, co wygląda tak, jakby pochodziło z menedżera haseł.
Gdy użytkownik wprowadza informacje uwierzytelniające, są one przekazywane podmiotowi zagrażającemu. Szkodliwe rozszerzenie ponownie zmienia swoją ikonę i ponownie włącza menedżera haseł. Po ponownym włączeniu legalny menedżer haseł wypełnia pola haseł, aby zalogować użytkownika, co utrudnia wykrycie, co się właśnie stało.
Dysponując danymi uwierzytelniającymi, osoba zagrażająca może uzyskać dostęp do magazynu haseł użytkownika w celu uzyskania danych.
Badacze zwracają uwagę na kilka kluczowych ataków, które można przeprowadzić przy użyciu rozszerzeń polimorficznych:
- Nieautoryzowany transfer kryptowalut przy użyciu portfeli kryptowalutowych
- Nieautoryzowane transakcje przy użyciu aplikacji bankowych
- Nieautoryzowany dostęp do monitorowania, pisania i wysyłania poufnych dokumentów/e-maili za pomocą narzędzi zwiększających produktywność (np. sprawdzania gramatyki, narzędzi do automatyzacji)
- Nieautoryzowany dostęp do odczytu i modyfikowania bazy kodu za pomocą narzędzi programistycznych
SquareX poinformowało Google o tym nowym typie złośliwego rozszerzenia. Chociaż nie ma bezpośredniej ochrony przed rozszerzeniami polimorficznymi, użytkownicy mogą zweryfikować rozszerzenia Chrome przed ich zainstalowaniem.
Inną opcją jest używanie różnych profili, a nawet przeglądarek do różnych działań. Używaj jednej przeglądarki lub profilu do zadań wymagających najwyższego bezpieczeństwa. Oddziela to aktywność od zwykłych sesji przeglądania, aby zwiększyć bezpieczeństwo.
Teraz twoja kolej. Czy weryfikujesz rozszerzenia przed ich instalacją? Daj nam znać w sekcji komentarzy poniżej.