![一种新的多态攻击允许恶意 Chrome 扩展程序窃取密码管理器中的敏感信息]( "一种新的多态攻击允许恶意 Chrome 扩展程序窃取密码管理器中的敏感信息")
一种新发明的“多态”攻击允许恶意 Chrome 扩展程序变形为其他浏览器扩展程序,包括密码管理器、加密钱包和银行应用程序,以窃取敏感信息。
该攻击由 SquareX Labs 设计,并警告称其在最新版本的 Chrome 上具有实用性和可行性。研究人员已负责任地向 Google 披露了该攻击。
攻击始于在 Chrome 网上应用店提交恶意多态扩展。
SquareX 以一款 AI 营销工具为例,该工具提供承诺的功能,诱骗受害者在其浏览器上安装并固定扩展程序。
为了获取其他已安装扩展程序的列表,该恶意扩展程序滥用了“chrome.management”API,它在安装期间被授予了访问权限。
如果恶意扩展没有此权限,SquareX 表示还有第二种更隐秘的方法来实现同样的目的,即向受害者访问的网页注入资源。
恶意脚本尝试加载目标扩展所特有的特定文件或URL,如果加载成功,则可以断定扩展已安装。
已安装的扩展列表被发送回攻击者控制的服务器,如果发现目标扩展,攻击者就会命令恶意扩展变为目标扩展。
在 SquareX 的演示中,攻击者首先使用“chrome.management”API 禁用合法扩展程序,从而冒充 1Password 密码管理器扩展程序,如果权限不可用,则使用用户界面操纵策略来向用户隐藏它。
同时,恶意扩展程序会切换其图标以模仿 1Password,相应地更改其名称,并显示与真实登录弹出窗口的外观相匹配的虚假登录弹出窗口。
为了强迫用户输入其凭证,当用户尝试登录网站时,会提供虚假的“会话已过期”提示,让受害者认为他们已被注销。
这将提示用户通过网络钓鱼表单重新登录 1Password,该表单将输入的凭据发送回攻击者。
![一种新的多态攻击允许恶意 Chrome 扩展程序窃取密码管理器中的敏感信息]( "一种新的多态攻击允许恶意 Chrome 扩展程序窃取密码管理器中的敏感信息")
一旦敏感信息发送给攻击者,恶意扩展就会恢复原来的样子,而真正的扩展则会重新启用,因此一切都会恢复正常。
SquareX 建议 Google 针对此攻击实施特定的防御措施,例如阻止已安装扩展程序上的突然扩展图标和 HTML 更改,或者至少在发生这种情况时通知用户。
然而,在撰写本文时,尚无措施防止这种欺骗性冒充行为。
SquareX 的研究人员还指出,谷歌错误地将“chrome.management”API 归类为“中等风险”,并且它被页面样式器、广告拦截器和密码管理器等流行的扩展程序广泛访问。
原文始发于微信公众号(犀牛安全):一种新的多态攻击允许恶意 Chrome 扩展程序窃取密码管理器中的敏感信息
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3818136.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论