Розроблена фахівцями SquareX Labs поліморфна атака дає змогу шкідливим розширенням для Chrome трансформуватися в інші розширення, включно з менеджерами паролів, криптовалютними гаманцями і банківськими додатками, а потім викрадати конфіденційну інформацію.

Дослідники попереджають, що таку атаку можна реалізувати навіть в останній версії Chrome, і вони вже повідомили про проблему розробників Google.

Атака починається з розміщення шкідливого поліморфного розширення в Chrome Web Store. Як приклад дослідники використовували маркетинговий ШІ-інструмент, який справді надавав заявлену функціональність, але обманом змушував жертву встановити і закріпити розширення у своєму браузері.

Щоб отримати список інших встановлених розширень, шкідливе розширення зловживає API chrome.management, доступ до якого отримує під час встановлення.

Якщо таких прав у шкідливого розширення немає, експерти пропонують використовувати інший, більш прихований спосіб, що передбачає ін’єкції ресурсів на веб-сторінки, які відвідує жертва. Так, шкідливий скрипт намагається завантажити певний файл або URL, унікальний для конкретних розширень, і якщо той завантажується, можна зробити висновок, що розширення встановлено.

Отриманий у підсумку список встановлених розширень відправляється на контрольований зловмисниками сервер, і якщо серед них знайдено цільове розширення, зловмисники дають своїй малварі команду трансформуватися в нього.

Для усунення загрози таких атак фахівці SquareX рекомендують Google використовувати спеціальні засоби захисту: блокувати різку зміну іконок і зміни HTML у встановлених розширеннях або, принаймні, повідомляти про таку активність користувачів.

Також експерти вважають, що Google помилково відносить API chrome.management до категорії «середнього ризику», хоча до нього активно звертаються такі популярні розширення, як блокувальники реклами та менеджери паролів.