Estensioni polimorfiche: una nuova minaccia informatica che impersona i tuoi componenti aggiuntivi

In una recente rivelazione, ricercatori di sicurezza informatica di sqrx.com hanno scoperto un sofisticato metodo di attacco che consente alle estensioni del browser dannose di impersonare estensioni legittime, con rischi significativi per la sicurezza e la privacy degli utenti. Questo articolo descrive l'attacco e alcuni segnali rivelatori a cui prestare attenzione per proteggersi dai danni.

Comprensione dell'attacco di estensione polimorfica

Questa innovativa tecnica consente a un'estensione dannosa del browser web di trasformarsi in qualsiasi componente aggiuntivo installato in tempo reale. L'estensione fraudolenta crea una replica pixel-perfetta dell'icona, del popup HTML e dei flussi di lavoro della vittima, disattivando persino temporaneamente l'estensione legittima. Questo inganno è altamente convincente e induce le vittime a credere di interagire con l'estensione autentica.

L'attacco prende di mira principalmente i browser web basati su Chromium, tra cui Google Chrome, Microsoft Edge, Brave e Opera. Gli utenti spesso aggiungono estensioni alla barra degli strumenti del browser per accedervi facilmente. Gli aggressori sfruttano questo comportamento pubblicando un'estensione polimorfica mascherata da utility. Mentre il componente aggiuntivo fornisce la funzionalità pubblicizzata per evitare sospetti, attiva funzionalità dannose in background. Esegue la scansione per rilevare la presenza di risorse web correlate a specifiche estensioni target utilizzando una tecnica chiamata "web resource hitting".

Una volta identificata un'estensione target idonea, l'estensione dannosa si trasforma in una replica di quella legittima. Questo comporta la modifica dell'icona dell'estensione non autorizzata in modo che corrisponda a quella del target e la disattivazione temporanea del componente aggiuntivo tramite l'API "chrome.management", che ne determina la rimozione dalla barra degli strumenti.

Implicazioni dell'attacco

Le credenziali raccolte possono essere sfruttate dagli autori delle minacce per dirottare account online e ottenere accesso non autorizzato a informazioni personali e finanziarie sensibili. Questo attacco sfrutta la tendenza umana ad affidarsi a segnali visivi come conferma, rendendolo estremamente efficace. Nel video qui sotto, i ricercatori mostrano questo attacco che richiede all'utente di autenticarsi nuovamente al proprio gestore di password 1Password, e include la richiesta della chiave segreta (cosa che non si dovrebbe fare senza la certezza assoluta).

Misure di mitigazione

Per proteggersi da tali attacchi di estensione polimorfica, utenti e organizzazioni dovrebbero prendere in considerazione le seguenti misure:

• Limitare e analizzare le estensioni prima dell'installazione: Installa solo estensioni provenienti da fonti e sviluppatori affidabili. Esamina ogni estensione per verificarne la fattibilità e il feedback degli utenti. Non installare mai estensioni nuove di zecca, indipendentemente da ciò che promettono di fare.
• Esamina regolarmente le estensioni installate: Controlla periodicamente l'elenco delle estensioni installate e rimuovi quelle che non sono più necessarie o che ti sembrano sospette.
• Limitare i permessi di estensione: Fai attenzione alle estensioni che richiedono permessi estesi, in particolare quelle che possono leggere e modificare i dati sui siti web che visiti.​
• Utilizzare soluzioni di sicurezza: Impiegare Rilevamento e risposta degli endpoint (EDR) software di sicurezza come la soluzione EDR avanzata. Questi ora includono Controllo di sicurezza del browser servizi che rilevano e bloccano specificamente le estensioni dannose.
• Resta informato: Tieniti aggiornato sugli ultimi avvisi di sicurezza e sugli aggiornamenti relativi alle estensioni del browser e applica tempestivamente le patch necessarie.​
• Presta molta attenzione: Nel video di esempio di SQRX.com viene visualizzato un messaggio pop-up di 1Password che informa che l'utente è stato disconnesso dall'estensione, prima di richiedere credenziali di accesso anomale, tra cui la chiave di recupero. Questo è richiesto solo durante le nuove installazioni su nuovi dispositivi, e non è qualcosa che verrebbe richiesto da 1Password al di fuori di una nuova installazione. Prestate attenzione.

Gli sviluppatori di browser sono inoltre incoraggiati a migliorare le misure di sicurezza implementando restrizioni sulle modifiche improvvise alle icone delle estensioni e al codice HTML o almeno avvisando gli utenti quando tali modifiche si verificano. Questo approccio proattivo può contribuire a mitigare i rischi associati agli attacchi alle estensioni polimorfiche.

Poiché il panorama della sicurezza informatica continua a evolversi, restare informati e adottare solide pratiche di sicurezza sono essenziali per proteggersi dalle minacce emergenti come gli attacchi di estensione polimorfica.

Attacco di estensione polimorfica: gestore password 1Password

Proteggi il tuo business con CyberHoot oggi stesso!!!

Iscriviti ora

Non sei ancora pronto per registrarti, ma vuoi saperne di più? Partecipa al nostro webinar mensile per vedere una demo di CyberHoot, porre domande e scoprire le novità. Clicca sul riquadro verde qui sotto per registrarti. Lo senti, lo vuoi!

Registrazione al webinar

 Letture aggiuntive:

• The Hacker News: i ricercatori smascherano un nuovo attacco polimorfico che clona le estensioni del browser per rubare le credenziali
• BleepingComputer: le estensioni dannose di Chrome possono falsificare i gestori di password in un nuovo attacco