自Google發布其瀏覽器的初始版本以來,我們已經看到了過去17年左右的惡意鍍鉻擴展。從虛假的VPN擴展和徹底的惡意擴展到復雜的會話重播惡意軟件。
建議閱讀:蘋果拉動了可能竊取您的私人數據的惡意軟件的應用程序
這就是發生的事情:目前,一種稱為多態性擴展的新型惡意擴展名,用於攻擊野外用戶。
什麼是多態擴展?惡意擴展,偽造了其他擴展程序的圖標和行為,以竊取用戶數據。
乍一看,多態性擴展的行為就像合法的擴展。它們看起來像無害的擴展,可以提供一些功能。他們的真正目的是偽造用戶瀏覽器中安裝的其他擴展程序以竊取數據。
偽造其他擴展程序,以訪問用戶數據
安全研究人員Squarex實驗室發現了新型惡意軟件。基本過程始終相同。它始於合法的外觀但惡意鍍鉻擴展的安裝。這可能通過官方的Chrome網絡商店或其他渠道發生。
擴展名提示用戶將其圖標固定在Chrome工具欄上。許多擴展要求,因為它可以更快地訪問該功能。
儘管擴展名按照廣告作用,但它掃描了用戶安裝的高價值擴展。這些可以是密碼管理器,財務擴展名或任何其他類型的擴展程序,可以提供對有價值數據的訪問。
儘管Chrome阻止擴展列舉其他安裝的擴展,但仍存在克服這些局限性的技術。研究人員認為,一種方法是檢查目標擴展使用的某些Web資源。
一旦找到擴展,將執行惡意代碼以模仿合法的擴展。研究人員舉了一個攻擊密碼管理器擴展程序的示例。
當用戶訪問登錄表單的網頁時,惡意擴展程序正在暫時禁用密碼管理器,並在Chrome工具欄上模擬密碼管理器圖標。 HTML提示符向密碼管理器請求新的登錄名,看起來它來自密碼管理器。
當用戶輸入身份驗證信息時,它將傳遞給威脅行為者。惡意擴展再次更改其圖標,並再次啟用密碼管理器。重新啟用後,合法的密碼管理器會填寫密碼字段以簽署用戶,從而難以檢測剛剛發生的事情。
借助憑據,威脅參與者可以訪問用戶的密碼庫以獲取數據。
研究人員強調了可能使用多態擴展進行的幾項關鍵攻擊:
- 未經授權使用加密貨幣的加密貨幣轉移
- 使用銀行應用程序未經授權的交易
- 未經授權訪問使用生產力工具的監視,編寫和發送機密文檔/電子郵件(例如語法檢查器,自動化工具)
- 通過開發人員工具未經授權訪問閱讀和修改代碼庫
Squarex通知Google這種新型的惡意擴展。雖然沒有直接防禦多態性擴展,但用戶可以在安裝鍍鉻擴展。
另一個選擇是使用不同的配置文件甚至瀏覽器進行不同的活動。使用一個瀏覽器或配置文件進行要求最高安全性的任務。這將活動與常規瀏覽會話區分開來,以提高安全性。
現在輪到你了。在安裝擴展程序之前,您是否驗證它們?在下面的評論部分中讓我們知道。