Un ataque «polimórfico» recientemente ideado permite que las extensiones maliciosas de Chrome se transformen en otras extensiones del navegador, incluidos administradores de contraseñas, billeteras de criptomonedas y aplicaciones bancarias, para robar información confidencial.
El ataque fue ideado por SquareX Labs, que advierte sobre su practicidad y viabilidad en la última versión de Chrome. Los investigadores han revelado responsablemente el ataque a Google.
El ataque comienza con el envío de la extensión polimórfica maliciosa en la Web Store de Chrome.
SquareX usa una herramienta de marketing de IA como ejemplo, que ofrece la funcionalidad prometida, engañando a las víctimas para que instalen y fijen la extensión en su navegador.
Para obtener una lista de otras extensiones instaladas, la extensión maliciosa abusa de la API ‘chrome.management’, a la que se le dio acceso durante la instalación.
Si la extensión maliciosa no tiene este permiso, SquareX dice que hay una segunda forma, más sigilosa, de lograrlo, que implica la inyección de recursos en las páginas web que visita la víctima.
El script malicioso intenta cargar un archivo o URL específico exclusivo de las extensiones seleccionadas y, si se carga, se puede concluir que la extensión está instalada.
La lista de extensiones instaladas se envía de vuelta a un servidor controlado por el atacante y, si se encuentra una seleccionada, los atacantes ordenan a la extensión maliciosa que se transforme en la seleccionada.
En la demostración de SquareX, los atacantes se hacen pasar por la extensión del administrador de contraseñas 1Password deshabilitando primero la legítima mediante la API ‘chrome.management’ o, si los permisos no están disponibles, mediante tácticas de manipulación de la interfaz de usuario para ocultársela al usuario.
Simultáneamente, la extensión maliciosa cambia su icono para imitar el de 1Password, cambia su nombre en consecuencia y muestra una ventana emergente de inicio de sesión falsa que coincide con la apariencia de la real.
Para obligar al usuario a ingresar sus credenciales, cuando intenta iniciar sesión en un sitio, se muestra un mensaje falso que dice «Sesión expirada», lo que hace que la víctima piense que ha cerrado la sesión.
Esto le pedirá al usuario que vuelva a iniciar sesión en 1Password a través de un formulario de phishing que envía las credenciales ingresadas a los atacantes.
Una vez que se envía la información confidencial a los atacantes, la extensión maliciosa vuelve a su apariencia original y la extensión real se vuelve a habilitar, por lo que todo parece normal nuevamente.
SquareX recomienda que Google implemente defensas específicas contra este ataque, como bloquear los íconos de extensión abruptos y los cambios HTML en las extensiones instaladas o al menos notificar a los usuarios cuando esto sucede.
Sin embargo, no existen medidas para prevenir este tipo de suplantación de identidad engañosa.
Los investigadores de SquareX también notaron que Google clasifica erróneamente la API ‘chrome.management’ como de «riesgo medio», y que es ampliamente utilizada por extensiones populares como estilizadores de páginas, bloqueadores de anuncios y administradores de contraseñas.