Разработчики разработали новый «полиморфный» вектор активации, позволяющий управлять расширениями для Chrome и предоставлять себе менеджеры паролей, криптовалютные кошельки и банковские приложения. Задача таких аддонов — перехватить конфиденциальные данные пользователя.
По словам специалистов SquareX Labs, которые выявили киберугрозу, тактика злоумышленников позволяет Chrome-расширению в режиме реального времени изменять внешний вид и функциональность.
Что самое опасное — такой аддон может подстраиваться под уже установленные расширения на устройствах.
Атакующие первым делом загружают традиционное расширение в Chrome Web Store, а затем, окопавшись в системе, Аддон получает список уже существующих в пользовательских приложениях через API Chrome под названием «chrome.management».
Если доступ к API невозможен, злоумышленники используют альтернативный метод, загружая используемый ресурс на посещаемые жертвой веб-страницы. Именно так приоритет узнаёт, какие популярные расширения установлены у пользователя.
Далее злонамеренный аддон «превращается» в одном из законных расширений, полностью копируя его иконку и имя. Исследователи изучили одну вариацию режима, в которой аддон-вредонос копировал менеджер паролей 1Password.
Пользователю пришло сообщение о том, что «сессия закончилась» и предложил заново ввести учётные данные. Последние, сами собой, отправлялись злоумышленникам. После кражи входа в систему и входа в систему зловред вернулся к исходному состоянию и повторил стандарт оригинального расширения, чтобы пользователь ничего не заподозрил.
По словам специалистов SquareX Labs, которые выявили киберугрозу, тактика злоумышленников позволяет Chrome-расширению в режиме реального времени изменять внешний вид и функциональность.
Что самое опасное — такой аддон может подстраиваться под уже установленные расширения на устройствах.
Атакующие первым делом загружают традиционное расширение в Chrome Web Store, а затем, окопавшись в системе, Аддон получает список уже существующих в пользовательских приложениях через API Chrome под названием «chrome.management».
Если доступ к API невозможен, злоумышленники используют альтернативный метод, загружая используемый ресурс на посещаемые жертвой веб-страницы. Именно так приоритет узнаёт, какие популярные расширения установлены у пользователя.
Далее злонамеренный аддон «превращается» в одном из законных расширений, полностью копируя его иконку и имя. Исследователи изучили одну вариацию режима, в которой аддон-вредонос копировал менеджер паролей 1Password.
Пользователю пришло сообщение о том, что «сессия закончилась» и предложил заново ввести учётные данные. Последние, сами собой, отправлялись злоумышленникам. После кражи входа в систему и входа в систему зловред вернулся к исходному состоянию и повторил стандарт оригинального расширения, чтобы пользователь ничего не заподозрил.