Vi har set vores rimelige andel af ondsindede Chrome-udvidelser i de sidste 17 år, siden Google udgav den første version af sin browser. Fra falske VPN-udvidelser og direkte ondsindede udvidelser til sofistikeret session-replay-malware.
Dette er hvad der skete:en ny ondsindet type udvidelse, kaldet polymorf udvidelse, bruges i øjeblikket til at angribe brugere i naturen.
Få flere oplysninger:Apple trækker malware-inficerede apps, der kan stjæle dine private data
Hvad er en polymorf forlængelse?En ondsindet udvidelse, der forfalsker ikonet og adfærden for andre udvidelser for at stjæle brugerdata.
Polymorfe udvidelser opfører sig som legitime udvidelser ved første øjekast. De ligner harmløse udvidelser, der giver noget funktionalitet. Deres sande formål er at falske andre udvidelser installeret i brugerens browser for at stjæle data.
Falske andre udvidelser for at få adgang til brugerdata
Sikkerhedsforskere påSquareX Labsopdagede den nye type malware. Den grundlæggende proces er altid den samme. Det begynder med installationen af den lovligt udseende, men ondsindede Chrome-udvidelse. Dette kan ske via den officielle Chrome Webshop eller via andre kanaler.
Udvidelsen beder brugeren om at fastgøre sit ikon til Chrome-værktøjslinjen. Mange udvidelser efterspørger det, da det giver hurtigere adgang til funktionaliteten.
Mens udvidelsen fungerer som annonceret, scanner den efter udvidelser af høj værdi, der er installeret af brugeren. Disse kan være adgangskodeadministratorer, økonomiske udvidelser eller enhver anden type udvidelse, der kan give adgang til værdifulde data.
Selvom Chrome forhindrer udvidelser i at opregne andre installerede udvidelser, findes der teknikker til at overvinde disse begrænsninger. En måde, ifølge forskerne, er at tjekke for bestemte webressourcer, som måludvidelserne bruger.
Når udvidelser er blevet fundet, udføres ondsindet kode for at efterligne den legitime udvidelse. Forskerne giver et eksempel på en password manager-udvidelse, der er angrebet.
Når brugeren besøger en webside med en loginformular, deaktiverer den ondsindede udvidelse adgangskodeadministratoren midlertidigt og efterligner adgangskodeadministratorikonet på Chrome-værktøjslinjen. En HTML-prompt anmoder om et nyt login til adgangskodemanageren, der ser ud som om den kom fra adgangskodemanageren.
Når brugeren indtaster godkendelsesoplysningerne, videregives de til trusselsaktøren. Den ondsindede udvidelse ændrer sit ikon igen og aktiverer adgangskodehåndteringen igen. Når den er genaktiveret, udfylder den legitime adgangskodeadministrator adgangskodefelterne for at logge brugeren ind, hvilket gør det svært at opdage, hvad der lige er sket.
Med legitimationsoplysningerne i hånden kan trusselsaktøren få adgang til brugerens adgangskodeboks for at få data.
Forskerne fremhæver flere nøgleangreb, der kan udføres ved hjælp af polymorfe udvidelser:
- Uautoriseret overførsel af cryptocurrencies ved hjælp af crypto wallets
- Uautoriserede transaktioner ved hjælp af bankapps
- Uautoriseret adgang til at overvåge, skrive og sende fortrolige dokumenter/e-mails med produktivitetsværktøjer (f.eks. grammatikkontrol, automatiseringsværktøjer)
- Uautoriseret adgang til at læse og ændre kodebase via udviklerværktøjer
SquareX informerede Google om denne nye type ondsindet udvidelse. Selvom der ikke er noget direkte forsvar mod polymorfe udvidelser, kan brugere bekræfte Chrome-udvidelser, før de installerer dem.
En anden mulighed er at bruge forskellige profiler eller endda browsere til forskellige aktiviteter. Brug én browser eller profil til opgaver, der kræver den højeste sikkerhed. Dette adskiller aktiviteten fra almindelige browsersessioner for at øge sikkerheden.
Nu er det din tur. Bekræfter du udvidelser, før du installerer dem? Fortæl os det i kommentarfeltet nedenfor.