Abbiamo visto la nostra giusta dose di estensioni Chrome dannose negli ultimi 17 anni circa, da quando Google ha rilasciato la versione iniziale del suo browser. Dalle estensioni VPN false alle estensioni completamente dannose fino ai sofisticati malware di riproduzione delle sessioni.
Questo è quello che è successo:un nuovo tipo di estensione dannosa, chiamata estensione polimorfica, viene attualmente utilizzata per attaccare gli utenti in natura.
Saperne di più:Apple rimuove le app infestate da malware che potrebbero rubare i tuoi dati privati
Cos'è un'estensione polimorfica?Un'estensione dannosa che falsifica l'icona e il comportamento di altre estensioni per rubare i dati dell'utente.
Le estensioni polimorfiche si comportano come estensioni legittime a prima vista. Sembrano estensioni innocue che forniscono alcune funzionalità. Il loro vero scopo è falsificare altre estensioni installate nel browser dell'utente per rubare dati.
Falsificare altre estensioni per ottenere l'accesso ai dati dell'utente
Ricercatori di sicurezza pressoSquareX Labsscoperto il nuovo tipo di malware. Il processo di base è sempre lo stesso. Si inizia con l'installazione dell'estensione Chrome dall'aspetto legittimo, ma dannosa. Ciò può avvenire tramite il Chrome Web Store ufficiale o tramite altri canali.
L'estensione richiede all'utente di aggiungere la sua icona alla barra degli strumenti di Chrome. Molte estensioni lo richiedono, poiché fornisce un accesso più rapido alla funzionalità.
Sebbene l'estensione funzioni come pubblicizzato, esegue la scansione delle estensioni di alto valore installate dall'utente. Possono essere gestori di password, estensioni finanziarie o qualsiasi altro tipo di estensione che possa fornire accesso a dati preziosi.
Sebbene Chrome impedisca alle estensioni di enumerare altre estensioni installate, esistono tecniche per superare queste limitazioni. Un modo, secondo i ricercatori, è verificare la presenza di determinate risorse web utilizzate dalle estensioni target.
Una volta trovate le estensioni, viene eseguito codice dannoso per impersonare l'estensione legittima. I ricercatori forniscono un esempio di un'estensione del gestore password che viene attaccata.
Quando l'utente visita una pagina Web con un modulo di accesso, l'estensione dannosa disabilita temporaneamente il gestore delle password e sostituisce l'icona dei gestori delle password sulla barra degli strumenti di Chrome. Una richiesta HTML richiede un nuovo accesso al gestore delle password, che sembra provenire dal gestore delle password.
Quando l'utente inserisce le informazioni di autenticazione, queste vengono passate all'autore della minaccia. L'estensione dannosa cambia nuovamente la sua icona e abilita nuovamente il gestore password. Una volta riattivato, il gestore password legittimo compila i campi della password per far accedere l'utente, rendendo difficile rilevare cosa è appena successo.
Con le credenziali in mano, l’autore della minaccia può accedere all’archivio password dell’utente per ottenere dati.
I ricercatori evidenziano diversi attacchi chiave che possono essere eseguiti utilizzando estensioni polimorfiche:
- Trasferimento non autorizzato di criptovalute utilizzando portafogli crittografici
- Transazioni non autorizzate tramite app bancarie
- Accesso non autorizzato per monitorare, scrivere e inviare documenti/e-mail riservati con strumenti di produttività (ad esempio correttori grammaticali, strumenti di automazione)
- Accesso non autorizzato per leggere e modificare la codebase tramite strumenti di sviluppo
SquareX ha informato Google di questo nuovo tipo di estensione dannosa. Sebbene non esista una difesa diretta contro le estensioni polimorfiche, gli utenti possono verificare le estensioni di Chrome prima di installarle.
Un'altra opzione è utilizzare profili diversi o addirittura browser per attività diverse. Utilizza un browser o un profilo per attività che richiedono la massima sicurezza. Ciò separa l'attività dalle normali sessioni di navigazione per aumentare la sicurezza.
Ora è il tuo turno. Verifichi le estensioni prima di installarle? Fatecelo sapere nella sezione commenti qui sotto.