Un attacco "polimorfico" di recente ideazione consente alle estensioni dannose di Chrome di trasformarsi in altre estensioni del browser, tra cui gestori di password, portafogli crittografici e app bancarie, per rubare informazioni sensibili.
L'attacco è stato ideato da SquareX Labs, che mette in guardia sulla sua praticità e fattibilità sull'ultima versione di Chrome. I ricercatori hanno responsabilmente comunicato l'attacco a Google.
Estensioni Chrome che cambiano forma
L'attacco inizia con l'invio dell'estensione polimorfica dannosa al Web Store di Chrome.
SquareX utilizza come esempio uno strumento di marketing basato sull'intelligenza artificiale, che offre la funzionalità promessa, inducendo le vittime a installare e aggiungere l'estensione al proprio browser.
Per ottenere un elenco delle altre estensioni installate, l'estensione dannosa sfrutta abusa dell'API 'chrome.management', alla quale ha avuto accesso durante l'installazione.
Se l'estensione dannosa non ha questa autorizzazione, SquareX afferma che esiste un secondo modo, più subdolo, per ottenere lo stesso risultato, che prevede l'iniezione di risorse nelle pagine web visitate dalla vittima.
Lo script dannoso tenta di caricare un file specifico o un URL univoco per le estensioni prese di mira e, se il caricamento riesce, si può concludere che l'estensione è installata.
L'elenco delle estensioni installate viene inviato a un server controllato dall'aggressore e, se ne viene trovata una, l'aggressore ordina all'estensione dannosa di trasformarsi in quella presa di mira.
Nella dimostrazione di SquareX, gli aggressori impersonano l'estensione del gestore password 1Password disattivando prima quella legittima tramite l'API 'chrome.management' oppure, se le autorizzazioni non sono disponibili, ricorrendo a tattiche di manipolazione dell'interfaccia utente per nasconderla all'utente.
Contemporaneamente, l'estensione dannosa modifica la sua icona per imitare quella di 1Password, cambia di conseguenza il suo nome e visualizza un falso popup di accesso che assomiglia per aspetto a quello reale.
Per costringere l'utente a inserire le proprie credenziali, quando tenta di accedere a un sito, viene visualizzato un falso messaggio di "Sessione scaduta", inducendo la vittima a credere di aver effettuato il logout.
Questo indurrà l'utente ad accedere nuovamente a 1Password tramite un modulo di phishing che invierà le credenziali immesse agli aggressori.
Una volta che le informazioni sensibili vengono inviate agli aggressori, l'estensione dannosa torna al suo aspetto originale e l'estensione reale viene riattivata, così tutto torna a funzionare normalmente.
Di seguito è riportata una dimostrazione di questo attacco, in cui l'estensione dannosa impersona 1Password.
Misure di mitigazione
SquareX consiglia a Google di implementare misure di difesa specifiche contro questo attacco, come il blocco delle icone delle estensioni e delle modifiche HTML improvvise nelle estensioni installate o almeno la notifica agli utenti quando ciò accade.
Tuttavia, al momento in cui scriviamo, non esistono misure per prevenire questo tipo di impersonificazione ingannevole.
I ricercatori di SquareX hanno anche notato che Google classifica erroneamente l'API 'chrome.management' come "rischio medio" e che questa è ampiamente utilizzata da estensioni popolari come gli strumenti per lo stile di pagina, gli ad blocker e i gestori di password.
BleepingComputer ha contattato Google per richiedere un commento sull'argomento e aggiorneremo questo post non appena riceveremo risposta.
Nessun commento:
Posta un commento