Um novo ataque "polimórfico" permite que extensões maliciosas do Chrome se transformem em outras extensões legítimas, como gerenciadores de senhas, carteiras de criptomoedas e aplicativos bancários, para roubar informações sensíveis.

Essa técnica foi desenvolvida e demonstrada pela SquareX Labs, que alerta sobre sua viabilidade nas versões mais recentes do Chrome. Os pesquisadores já notificaram o Google sobre o problema de forma responsável.

Extensões do Chrome que mudam de forma

O ataque começa com a publicação da extensão maliciosa na Chrome Web Store. A SquareX usou como exemplo uma ferramenta de marketing baseada em IA, que oferece funcionalidades legítimas para enganar as vítimas e incentivá-las a instalar e fixar a extensão no navegador.

Para identificar outras extensões instaladas, a extensão maliciosa explora a API 'chrome.management', que recebe permissão de acesso durante a instalação. Caso essa permissão não esteja disponível, há uma alternativa ainda mais discreta: a injeção de recursos nas páginas visitadas pela vítima.

Esse script tenta carregar arquivos ou URLs específicos de extensões-alvo e, caso consiga, confirma que a extensão está instalada. Em seguida, a lista das extensões da vítima é enviada para um servidor controlado pelos hackers. Se uma das extensões-alvo for encontrada, o hacker ordena que a extensão maliciosa se transforme na original.

Na demonstração feita pela SquareX, os hackers imitaram o gerenciador de senhas 1Password. O ataque desativou a extensão legítima usando a API 'chrome.management' ou, caso não fosse possível, manipulou a interface do navegador para escondê-la do usuário.

Ao mesmo tempo, a extensão maliciosa mudou seu ícone para o do 1Password, alterou seu nome e exibiu uma janela de login falsa idêntica à original. Para enganar a vítima e forçá-la a inserir suas credenciais, foi exibida uma mensagem de "Sessão Expirada", simulando um logout inesperado.

Quando o usuário tentava fazer login novamente, as credenciais eram enviadas diretamente para os hackers. Após a captura dos dados, a extensão maliciosa retornava à sua aparência original e reativava a extensão verdadeira, tornando o golpe praticamente indetectável.

A SquareX disponibilizou uma demonstração desse ataque, mostrando como a extensão falsa se passava pelo 1Password.

Medidas de mitigação

A SquareX recomenda que o Google implemente mecanismos de defesa contra esse ataque, como bloquear mudanças bruscas de ícones e interfaces nas extensões instaladas ou, pelo menos, notificar os usuários quando essas alterações ocorrerem.

Até o momento, não há medidas para impedir esse tipo de ataque de falsificação.

Os pesquisadores também destacaram que o Google classifica erroneamente a API 'chrome.management' como um risco médio, permitindo que seja amplamente acessada por diversas extensões populares, como bloqueadores de anúncios, personalizadores de páginas e gerenciadores de senhas.

Via - BC