Attenzione all'attacco polimorfico che colpisce le estensioni di Chrome

Un gruppo di ricercatori ha dimostrato che è possibile aggredire un’ampia varietà di estensioni per Google Chrome piuttosto popolari, come gestori di password, i portafogli crypto e app bancarie, con l’obiettivo di rubare informazioni personali e riservate degli utenti. L’attacco sfrutta un approccio innovativo che consente alle estensioni malevoli di trasformarsi in estensioni fidate e quindi esfiltrare i dati degli utenti tramite tattiche ingannevoli. L’attacco polimorfico si chiama così perché prevede un improvviso cambiamento del comportamento di un’estensione che si presenta come quello che non è.

Meccanismo dell’attacco polimorfico

Gli esperti di SquareX Labs spiegano che l’aggressione inizia con il caricamento di un’estensione nel Chrome Web Store. I ricercatori utilizzano l’esempio di uno strumento di marketing basato sull’AI che promette funzionalità utili, attirando gli utenti a installarlo e inserirlo nella barra degli strumenti del browser, accanto alla barra degli indirizzi.

Una volta installata, l’estensione maligna sfrutta l’API chrome.management, il cui utilizzo è accordato da Chrome durante l’installazione, per ottenere un elenco di tutte le altre estensioni installate. Se il permesso per questa API non è disponibile, l’estensione utilizza un metodo più discreto, iniettando risorse nelle pagine Web visitate dalla vittima.

Dopo aver identificato le altre estensioni installate, l’estensione invia queste informazioni a un server controllato dagli attaccanti. Se viene trovata un'”estensione bersaglio”, come un gestore di password o un portafoglio crypto, l’estensione si trasforma in una copia dell’estensione bersaglio. Ad esempio, l’estensione potrebbe impersonare 1Password disabilitando l’estensione legittima tramite l’API chrome.management o utilizzando manipolazioni sull’interfaccia utente per nasconderla. L’estensione maligna quindi copia l’icona, il nome e l’interfaccia di 1Password, visualizzando un falso popup di login progettato per rubare le credenziali dell’utente.

Finte richieste di login

Per ingannare ulteriormente l’utente, l’estensione maligna attiva un prompt “Sessione scaduta” quando la vittima tenta di accedere a un sito, spingendo la vittima a effettuare nuovamente il login tramite un falso modulo di accesso. Neanche a dirlo, le credenziali inserite dall’utente-vittima sono poi automaticamente trasferite agli aggressori remoti.

Una volta che l’estensione ha esfiltrato i dati d’interesse, può ritornare alla sua forma originale, provvedendo anche alla riattivazione dell’estensione legittima. In modo da non destare sospetti.

Misure di difesa e raccomandazioni pratiche

SquareX ha consigliato a Google di implementare misure specifiche per difendersi da questi tipi di attacchi, ad esempio bloccare cambiamenti improvvisi sulle icone e sugli elementi HTML delle estensioni o, almeno, notificare gli utenti quando ciò accade.

Al momento, però, non sono in essere misure di contrasto contro gli attacchi polimorfici. Inoltre, SquareX sollecita Google a rivedere le sue politiche di sicurezza riguardo all’API chrome.management, introducendo difese specifiche.

Nel frattempo, gli utenti dovrebbero rimanere vigili ed evitare di installare estensioni da fonti non affidabili.