Команда дослідників з SquareX Labs виявила критичну вразливість у системі безпеки браузера Chrome, яка дозволяє зловмисникам проводити витончені полиморфні атаки на користувацькі розширення. Особливу небезпеку становить можливість компрометації менеджерів паролів, криптогаманців та банківських додатків через механізм підміни легітимних розширень.
Анатомія полиморфної атаки
Процес атаки починається з впровадження шкідливого розширення через офіційний Chrome Web Store. Дослідження показало, що зловмисники маскують малварь під корисні інструменти, наприклад, маркетингові ШІ-додатки. Після встановлення шкідливе розширення отримує доступ до критичного API chrome.management, що дозволяє йому ідентифікувати та взаємодіяти з іншими встановленими розширеннями.
Методологія виявлення цільових розширень
Технічний аналіз демонструє два основні вектори ідентифікації встановлених розширень. Перший метод базується на прямому доступі через chrome.management API, тоді як другий метод використовує більш витончений підхід з інжекцією ресурсів у веб-сторінки для визначення присутності конкретних розширень за їх унікальними ідентифікаторами.
Механізм компрометації та викрадення даних
Після виявлення цільового розширення активується процес полиморфної трансформації. На прикладі атаки на популярний менеджер паролів 1Password експерти продемонстрували, як малварь деактивує оригінальне розширення та створює його точну візуальну копію. Користувачу демонструється фальшиве повідомлення про закінчення сесії, змушуючи повторно ввести облікові дані через фішингову форму.
Технології маскування
Шкідливе розширення використовує передові техніки імітації, копіюючи не лише візуальні елементи оригінального додатка, але й його поведінкові патерни. Після успішного перехоплення конфіденційних даних відбувається автоматичне відновлення роботи легітимного розширення, що суттєво ускладнює виявлення факту компрометації.
Рекомендації щодо посилення безпеки
Експерти рекомендують впровадити багаторівневу систему захисту, включаючи: обмеження можливостей динамічної модифікації розширень, посилений контроль за API chrome.management та впровадження механізмів верифікації змін у розширеннях. Користувачам Chrome наполегливо рекомендується регулярно проводити аудит встановлених розширень та критично оцінювати запити на надання дозволів новим додаткам.
Зважаючи на серйозність виявленої загрози, необхідно посилити пильність при використанні браузерних розширень. Рекомендується встановлювати лише необхідні додатки з перевірених джерел, регулярно оновлювати браузер та використовувати додаткові засоби захисту, такі як антивірусне програмне забезпечення з функцією моніторингу веб-активності.
