Um novo ataque "polimórfico" permite que extensões maliciosas do Chrome se transformem em outras extensões de navegador, incluindo gerenciadores de senhas, carteiras de criptomoedas e aplicativos de bancos, para roubar informações sensíveis.
O ataque foi desenvolvido pela SquareX Labs, que alerta sobre sua praticidade e viabilidade na versão mais recente do Chrome.
Os pesquisadores divulgaram responsavelmente o ataque ao Google.
O ataque começa com o envio da extensão polimórfica maliciosa para a Chrome Web Store.
A SquareX utiliza como exemplo uma ferramenta de marketing com IA, que oferece a funcionalidade prometida, enganando as vítimas para instalarem e fixarem a extensão em seu navegador.
Para obter uma lista de outras extensões instaladas, a extensão maliciosa abusa da API 'chrome.management', à qual foi concedido acesso durante a instalação.
Se a extensão maliciosa não tiver essa permissão, a SquareX diz que há uma segunda maneira, mais furtiva, de alcançar o mesmo objetivo, envolvendo a injeção de recursos nas páginas web que a vítima visita.
O script malicioso tenta carregar um arquivo específico ou URL única para as extensões alvo, e se carrega, pode-se concluir que a extensão está instalada.
A lista de extensões instaladas é enviada de volta para um servidor controlado pelo atacante, e se uma desejada for encontrada, os atacantes comandam a extensão maliciosa a se transformar na visada.
Na demonstração da SquareX, os atacantes se passam pela extensão do gerenciador de senhas 1Password, inicialmente desabilitando a legítima usando a API 'chrome.management', ou, se as permissões não estiverem disponíveis, táticas de manipulação da interface do usuário para escondê-la do usuário.
Simultaneamente, a extensão maliciosa muda seu ícone para imitar o do 1Password, altera seu nome de acordo e exibe um falso popup de login que combina com a aparência do real.
Para forçar o usuário a inserir suas credenciais, ao tentar fazer login em um site, um falso aviso de "Sessão Expirada" é apresentado, fazendo a vítima pensar que foi desconectada.
Isso levará o usuário a fazer login novamente no 1Password através de um formulário de phishing que envia as credenciais inseridas de volta aos atacantes.
Uma vez que as informações sensíveis são enviadas aos atacantes, a extensão maliciosa retorna à sua aparência original, e a extensão real é reativada, para que tudo pareça normal novamente.
Uma demonstração deste ataque pode ser vista abaixo, onde a extensão maliciosa se passa pelo 1Password.
A SquareX recomenda que o Google implemente defesas específicas contra esse ataque, como bloquear mudanças abruptas de ícones de extensões e mudanças de HTML em extensões instaladas ou, pelo menos, notificar os usuários quando isso acontecer.
Contudo, no momento da escrita, não há medidas para prevenir esse tipo de imitação enganosa.
Os pesquisadores da SquareX também observaram que o Google classifica erroneamente a API 'chrome.management' como de "médio risco", e ela é amplamente acessada por extensões populares, como estilizadores de página, bloqueadores de anúncios e gerenciadores de senhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...