top of page

Extensões maliciosas do Chrome podem se passar por gerenciadores de senhas

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 7 de mar.
  • 2 min de leitura

Um novo ataque "polimórfico" permite que extensões maliciosas do Chrome se transformem em outras extensões legítimas, como gerenciadores de senhas, carteiras de criptomoedas e aplicativos bancários, para roubar informações sensíveis.


Essa técnica foi desenvolvida e demonstrada pela SquareX Labs, que alerta sobre sua viabilidade nas versões mais recentes do Chrome. Os pesquisadores já notificaram o Google sobre o problema de forma responsável.


Extensões do Chrome que mudam de forma

O ataque começa com a publicação da extensão maliciosa na Chrome Web Store. A SquareX usou como exemplo uma ferramenta de marketing baseada em IA, que oferece funcionalidades legítimas para enganar as vítimas e incentivá-las a instalar e fixar a extensão no navegador.


Para identificar outras extensões instaladas, a extensão maliciosa explora a API 'chrome.management', que recebe permissão de acesso durante a instalação. Caso essa permissão não esteja disponível, há uma alternativa ainda mais discreta: a injeção de recursos nas páginas visitadas pela vítima.


Esse script tenta carregar arquivos ou URLs específicos de extensões-alvo e, caso consiga, confirma que a extensão está instalada. Em seguida, a lista das extensões da vítima é enviada para um servidor controlado pelos hackers. Se uma das extensões-alvo for encontrada, o hacker ordena que a extensão maliciosa se transforme na original.


Na demonstração feita pela SquareX, os hackers imitaram o gerenciador de senhas 1Password. O ataque desativou a extensão legítima usando a API 'chrome.management' ou, caso não fosse possível, manipulou a interface do navegador para escondê-la do usuário.

Aviso falso (esquerda) e pop-up de phishing (direita) Fonte: SquareX
Aviso falso (esquerda) e pop-up de phishing (direita) Fonte: SquareX

Ao mesmo tempo, a extensão maliciosa mudou seu ícone para o do 1Password, alterou seu nome e exibiu uma janela de login falsa idêntica à original. Para enganar a vítima e forçá-la a inserir suas credenciais, foi exibida uma mensagem de "Sessão Expirada", simulando um logout inesperado.


Quando o usuário tentava fazer login novamente, as credenciais eram enviadas diretamente para os hackers. Após a captura dos dados, a extensão maliciosa retornava à sua aparência original e reativava a extensão verdadeira, tornando o golpe praticamente indetectável.


A SquareX disponibilizou uma demonstração desse ataque, mostrando como a extensão falsa se passava pelo 1Password.




Medidas de mitigação

A SquareX recomenda que o Google implemente mecanismos de defesa contra esse ataque, como bloquear mudanças bruscas de ícones e interfaces nas extensões instaladas ou, pelo menos, notificar os usuários quando essas alterações ocorrerem.


Até o momento, não há medidas para impedir esse tipo de ataque de falsificação.


Os pesquisadores também destacaram que o Google classifica erroneamente a API 'chrome.management' como um risco médio, permitindo que seja amplamente acessada por diversas extensões populares, como bloqueadores de anúncios, personalizadores de páginas e gerenciadores de senhas.


Via - BC

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page