El ataque afecta a todos los navegadores web basados en Chromium
Investigadores de ciberseguridad han demostrado una novedosa técnica que permite que una extensión de navegador web maliciosa se haga pasar por cualquier complemento instalado.
"Las extensiones polimórficas crean una réplica perfecta en píxeles del ícono del objetivo, la ventana emergente HTML, los flujos de trabajo e incluso deshabilitan temporalmente la extensión legítima, lo que hace que sea extremadamente convincente para las víctimas creer que están proporcionando credenciales a la extensión real", dijo SquareX en un informe publicado la semana pasada.
Los actores de amenazas podrían luego usar de forma indebida las credenciales obtenidas para secuestrar cuentas en línea y obtener acceso no autorizado a información personal y financiera confidencial. El ataque afecta a todos los navegadores web basados en Chromium, incluidos Google Chrome, Microsoft Edge, Brave, Opera y otros.
El enfoque se basa en el hecho de que los usuarios suelen fijar extensiones en la barra de herramientas del navegador. En un hipotético escenario de ataque, los actores de amenazas podrían publicar una extensión polimórfica en Chrome Web Store (o en cualquier tienda de extensiones) y disfrazarla como una utilidad.
Si bien el complemento proporciona la funcionalidad publicitada para no despertar ninguna sospecha, activa las características maliciosas en segundo plano escaneando activamente la presencia de recursos web que se correlacionan con extensiones de destino específicas utilizando una técnica llamada ataque a recursos web.
Una vez que se identifica una extensión de destino adecuada, el ataque pasa a la siguiente etapa, provocando que se transforme en una réplica de la extensión legítima. Esto se logra cambiando el ícono de la extensión maliciosa para que coincida con el del objetivo y deshabilitando temporalmente el complemento real a través de la API "chrome.management", lo que hace que se elimine de la barra de herramientas.
"El ataque de extensión polimórfica es extremadamente poderoso, ya que explota la tendencia humana a confiar en las señales visuales como confirmación", dijo SquareX. "En este caso, los íconos de extensión en una barra fija se utilizan para informar a los usuarios sobre las herramientas con las que están interactuando".
Los hallazgos llegan un mes después de que la compañía también revelara otro método de ataque llamado Browser Syncjacking que permite tomar el control del dispositivo de una víctima por medio de una extensión de navegador aparentemente inocua.
