Attacco polimorfico con estensioni fasulle di Chrome
Topic
Approfondimenti
Trending
tutti

Attacco polimorfico con estensioni fasulle di Chrome

Alcune estensioni pubblicate sul Chrome Web Store possono imitare quelle legittime installate nel browser e rubare numerosi dati sensibili degli utenti.
Attacco polimorfico con estensioni fasulle di Chrome
Sicurezza
Alcune estensioni pubblicate sul Chrome Web Store possono imitare quelle legittime installate nel browser e rubare numerosi dati sensibili degli utenti.
Grok

Gli esperti di SquareX Labs hanno scoperto una tecnica avanzata che permette ai cybercriminali di rubare praticamente ogni dato da Chrome. Alcune estensioni fasulle pubblicate sul Chrome Web Store sfruttano il polimorfismo per impersonare le estensioni legittime installate nel browser. Al momento non è arrivato nessun commento da Google.

Attacco polimorfico contro Chrome

L’attacco polimorfico inizia con la pubblicazione delle estensioni fasulle sul Chrome Web Store. Apparentemente offrono le funzionalità descritte, ma dopo l’installazione si “trasformano” e diventano una copia delle estensioni già installate nel browser (Chrome e tutti gli altri basati su Chromium, tra cui Microsoft Edge).

Come esempio, gli esperti di SquareX Labs hanno scelto un tool AI di marketing. L’estensione viene suggerita sui social media, quindi l’ignara vittima cade nella trappola (ingegneria sociale). Dopo l’installazione viene usata l’API Chrome Management per ottenere l’elenco delle estensioni installate. Se questo metodo non è possibile viene sfruttata la tecnica denominata web resource hitting.

L’estensione fasulla inietta nelle pagine web visitate dall’utente un codice JavaScript che rileva la presenza di risorse web usate dalle estensioni legittime (ad esempio un URL o un’icona). L’elenco delle estensioni viene quindi inviato al server controllato dai cybercriminali. Se viene rilevata un’estensione specifica, principalmente password manager e wallet di criptovalute, l’estensione fasulla diventa una sua copia perfetta.

Nell’esempio mostrato dai ricercatori viene simulato il funzionamento di 1Password (l’estensione legittima viene disattivata). Quando la vittima clicca sull’icona accanto alla barra degli indirizzi si apre una pagina fake di login, in cui l’utente inserisce username, password e chiave segreta. Dopo l’invio dei dati al server remoto, l’estensione fasulla ritorna all’aspetto originale e quella legittima viene riattivata.

I cybercriminali possono così rubare le credenziali di tutti gli account, accedere alle email, trasferire criptovalute ed effettuare transazioni bancarie. SquareX Labs ha contattato Google, fornendo alcuni consigli, ma non è arrivata nessuna risposta.

Fonte: Bleeping Computer

Pubblicato il 10 mar 2025

Link copiato negli appunti

Ti potrebbe interessare

Smartphone e PC al sicuro con Malwarebytes: prova gratis il Prodotto dell'anno 2025

Smartphone e PC al sicuro con Malwarebytes: prova gratis il Prodotto dell'anno 2025
Norton 360 Advanced ti dà antivirus+VPN a 3,33€/mese (sconto del 70%)

Norton 360 Advanced ti dà antivirus+VPN a 3,33€/mese (sconto del 70%)
Telegram: vulnerabilità zero-day vale 4 milioni

Telegram: vulnerabilità zero-day vale 4 milioni
Con LastPass devi ricordare una sola password: provalo gratis

Con LastPass devi ricordare una sola password: provalo gratis
Smartphone e PC al sicuro con Malwarebytes: prova gratis il Prodotto dell'anno 2025

Smartphone e PC al sicuro con Malwarebytes: prova gratis il Prodotto dell'anno 2025
Norton 360 Advanced ti dà antivirus+VPN a 3,33€/mese (sconto del 70%)

Norton 360 Advanced ti dà antivirus+VPN a 3,33€/mese (sconto del 70%)
Telegram: vulnerabilità zero-day vale 4 milioni

Telegram: vulnerabilità zero-day vale 4 milioni
Con LastPass devi ricordare una sola password: provalo gratis

Con LastPass devi ricordare una sola password: provalo gratis
Luca Colantuoni
Pubblicato il
10 mar 2025
Link copiato negli appunti