Az új polimorf támadás böngésző bővítményeket klónoz a hitelesítő adatok megszerzéséhez
A SquareX Labs kutatói olyan új támadási technikát mutattak be, amely lehetővé teszi, hogy egy rosszindulatú webböngésző-bővítmény megszemélyesítse bármely telepített böngésző bővítményt. „A polimorf bővítmények létrehozzák a pixelpontos másolatát a megcélzott bővítmény ikonjának, HTML felugró ablakának, munkafolyamatainak, sőt, átmenetileg még a legitim bővítményt is kikapcsolják, így rendkívül meggyőzően elhitetik az áldozatokkal, hogy a valódi bővítménynek adják meg hitelesítő adataikat. A begyűjtött hitelesítő adatokkal ezután visszaélhetnek a kiberszereplők, többek között átvehetik az irányítást online fiókok felett és jogosulatlan hozzáférést szerezhetnek érzékeny személyes és pénzügyi adatokhoz. A támadás az összes Chromium-alapú webböngészőt érinti, beleértve a Google Chrome-ot, a Microsoft Edge-et, a Brave-ot, az Operát is.
A megközelítés arra a tényre épít, hogy a felhasználók általában a kitűzik a bővítményeket az eszköztárba, hogy mindig látható legyen böngészés közben. Egy hipotetikus támadási forgatókönyv szerint a fenyegető szereplők közzétehetnek egy polimorf bővítményt a Chrome Web Store-ban (vagy bármelyik bővítmény-piactéren), és azt segédprogramnak álcázhatják. Amint a polimorf kód azonosított egy célbővítményt, legitim bővítmény másolatává alakítja magát. Kicserélik az eredeti bővítmény ikonját (elsősorban ami rögzítve van az eszköztárban, tehát a felhasználó szemel előtt van) és a „chrome.management” API-n keresztül ideiglenesen letiltják a legitim bővítményt, így az eltávolításra kerül az eszköztárból.
Ezután megjelenik egy HTML felugró ablak, amely szerint a felhasználó kijelentkezett az adott bővítményből, ezért újra be kell jelentkeznie a bővítményen keresztül. Az áldozat rákattint a hamis bővítmény ikonjára, amely megnyitja a bejelentkezési oldal pixelpontos másolatát. A gyanútlan áldozat ezután megadja felhasználónevét, jelszavát és titkos kulcsát, amelyet továbbít a kártékony bővítmény a támadó szerverére. A hitelesítő adatok elküldése után a polimorf bővítmény visszaállítja az eredeti bővítményt. A valódi bővítmény automatikusan kitölti az áldozat hitelesítő adatait, és lehetővé teszi a bejelentkezést anélkül, hogy gyanút keltene a felhasználóban, hogy ismét meg kell adnia a hitelesítő adatait.
