Специалисты по кибербезопасности из SquareX Labs выявили новую серьезную угрозу для пользователей браузера Chrome. Исследователи обнаружили технику полиморфной атаки, позволяющую вредоносным расширениям имитировать легитимные приложения, включая популярные менеджеры паролей, криптокошельки и банковские сервисы.
Механизм проведения атаки
Атака начинается с внедрения вредоносного расширения в официальный Chrome Web Store под видом легитимного инструмента. Исследователи продемонстрировали пример с маркетинговым ИИ-приложением, которое, помимо заявленной функциональности, содержало скрытый вредоносный код. После установки расширение получает доступ к API chrome.management, что позволяет ему идентифицировать другие установленные расширения.
Методы обнаружения целевых расширений
Эксперты описывают два основных способа выявления установленных расширений. Первый метод использует прямой доступ через chrome.management API. Второй метод, более скрытный, основан на инъекции ресурсов в посещаемые пользователем веб-страницы для определения наличия конкретных расширений по уникальным идентификаторам.
Процесс трансформации и кражи данных
После обнаружения целевого расширения вредоносный код инициирует процесс трансформации. На примере атаки на 1Password исследователи продемонстрировали, как малварь деактивирует оригинальное расширение, копирует его внешний вид и создает поддельное окно авторизации. Пользователю демонстрируется сообщение об истечении сессии, принуждающее к повторному вводу учетных данных через фишинговую форму.
Технические особенности маскировки
Вредоносное расширение тщательно имитирует визуальные элементы оригинального приложения, включая название, иконку и интерфейс. После успешного перехвата конфиденциальных данных расширение возвращается к исходному состоянию, восстанавливая работу легитимного приложения, что затрудняет обнаружение компрометации.
Рекомендации по защите
Эксперты SquareX Labs предлагают усилить механизмы безопасности Chrome путем внедрения системы контроля за изменениями в расширениях. Рекомендуется ограничить возможности динамического изменения иконок и HTML-кода, а также пересмотреть уровень опасности API chrome.management, который сейчас классифицируется как инструмент «среднего риска», несмотря на его потенциальную опасность.
В свете обнаруженной уязвимости пользователям Chrome рекомендуется проявлять повышенную бдительность при установке новых расширений, даже если они размещены в официальном магазине. Особое внимание следует уделять запрашиваемым разрешениям и регулярно проверять список установленных расширений на предмет подозрительной активности.
