Siber güvenlik araştırmacıları, kötü niyetli bir web tarayıcısı uzantısının yüklü eklentileri taklit etmesine izin veren yeni bir teknik gösterdiler.
Square, geçen hafta yayınlanan bir raporda, “Polimorfik uzantılar, hedefin simgesinin, HTML açılır penceresinin, iş akışlarının piksel mükemmel bir kopyasını yaratıyor ve hatta meşru uzantıyı geçici olarak devre dışı bırakarak kurbanların gerçek uzantıya kimlik bilgileri sağladıklarına inanmasını son derece ikna ediyor.” Dedi.
Hasat edilen kimlik bilgileri daha sonra tehdit aktörleri tarafından çevrimiçi hesapları kaçırmaya ve hassas kişisel ve finansal bilgilere yetkisiz erişim elde etmek için istismar edilebilir. Saldırı, Google Chrome, Microsoft Edge, Brave, Opera ve diğerleri dahil olmak üzere tüm krom tabanlı web tarayıcılarını etkiler.
Yaklaşım, kullanıcıların yaygın olarak uzantıları tarayıcının araç çubuğuna sabitlediği gerçeği. Varsayımsal bir saldırı senaryosunda, tehdit aktörleri Chrome web mağazasına (veya herhangi bir uzatma pazarı) polimorfik bir uzatma yayınlayabilir ve bir faydası olarak gizleyebilir.
Eklenti, herhangi bir şüphe uyandırmamak için reklamı yapılan işlevselliği sağlarken, Web Resource isabet adı verilen bir teknik kullanarak belirli hedef uzantılarla ilişkili web kaynaklarının varlığını aktif olarak tarayarak arka plandaki kötü niyetli özellikleri etkinleştirir.
Uygun bir hedef uzatma tespit edildikten sonra, saldırı bir sonraki aşamaya geçer ve meşru uzatmanın bir kopyasına dönüşmesine neden olur. Bu, Rogue uzantının simgesini hedefinkine uyacak şekilde değiştirerek ve “Chrome.management” API üzerinden gerçek eklentiyi geçici olarak devre dışı bırakarak, araç çubuğundan çıkarılmasına yol açarak gerçekleştirilir.
https://www.youtube.com/watch?v=i5pifa3jhty
Squarex, “Polimorfik uzatma saldırısı, insanın bir onay olarak görsel ipuçlarına güvenme eğiliminden yararlandığı için son derece güçlü.” Dedi. “Bu durumda, sabitlenmiş bir çubuk üzerindeki uzatma simgeleri, kullanıcıları etkileşimde bulundukları araçlar hakkında bilgilendirmek için kullanılır.”
Bulgular, şirketin, görünüşte zararsız bir tarayıcı uzantısı ile bir kurbanın cihazının kontrolünü ele geçirmeyi mümkün kılan tarayıcı senkronizasyonu adı verilen başka bir saldırı yöntemini de açıklamasından bir ay sonra geliyor.