Ricercatori di cybersecurity hanno dimostrato una tecnica innovativa che consente a un’estensione del browser web malevola di impersonare qualsiasi add-on installato. “Le estensioni polimorfiche creano una replica perfetta dell’icona del target, del popup HTML, dei flussi di lavoro e persino disabilitano temporaneamente l’estensione legittima, rendendo estremamente convincente per le vittime credere di fornire credenziali all’estensione reale,” ha dichiarato SquareX in un rapporto pubblicato la scorsa settimana.
Le credenziali raccolte potrebbero poi essere sfruttate dagli attori malevoli per dirottare account online e ottenere accesso non autorizzato a informazioni personali e finanziarie sensibili. L’attacco colpisce tutti i browser web basati su Chromium, inclusi Google Chrome, Microsoft Edge, Brave, Opera e altri.
L’approccio si basa sul fatto che gli utenti comunemente fissano le estensioni sulla barra degli strumenti del browser. In uno scenario di attacco ipotetico, gli attori malevoli potrebbero pubblicare un’estensione polimorfica sul Chrome Web Store (o su qualsiasi marketplace di estensioni) e mascherarla come un’utilità.
Mentre l’add-on fornisce la funzionalità pubblicizzata per non destare sospetti, attiva le funzionalità malevole in background scansionando attivamente la presenza di risorse web che corrispondono a specifiche estensioni target utilizzando una tecnica chiamata “web resource hitting”.
Una volta identificata un’estensione target adatta, l’attacco passa alla fase successiva, facendola trasformare in una replica dell’estensione legittima. Questo viene realizzato cambiando l’icona dell’estensione malevola per farla corrispondere a quella del target e disabilitando temporaneamente l’add-on reale tramite l’API “chrome.management”, che porta alla sua rimozione dalla barra degli strumenti.
“L’attacco delle estensioni polimorfiche è estremamente potente poiché sfrutta la tendenza umana a fare affidamento su indizi visivi come conferma,” ha affermato SquareX. “In questo caso, le icone delle estensioni su una barra fissata vengono utilizzate per informare gli utenti degli strumenti con cui stanno interagendo.”
Queste scoperte arrivano un mese dopo che la società ha anche divulgato un altro metodo di attacco chiamato “Browser Syncjacking” che rende possibile prendere il controllo del dispositivo di una vittima tramite un’estensione del browser apparentemente innocua.
Fonte: The Hackers News
