Зловредные «полиморфные» расширения для Chrome могут маскироваться под другие инструменты, чтобы обманывать жертв

Исследователи обнаружили злонамеренные расширения браузера, способные принимать вид любого другого установленного в браузере. Эти расширения также могут отключать другие расширения и полностью обманывать пользователя. Расширение может красть конфиденциальные пароли, криптовалюту и многое другое.

Исследователи из SquareX сообщили о злонамеренных изменчивых расширениях браузера Google Chrome, способных менять свой внешний вид на любой другой установленный в браузере. Это открывает возможности для кражи учетных данных и криптовалюты, а также возможного мошенничества.

При первом установке расширение выглядит вполне безобидным — оно может быть “неприметным инструментом на основе ИИ” или чем-то еще. Сначала оно ведет себя так, как и ожидалось, в течение некоторого времени анализируя установленные другие расширения. Если оно обнаруживает что-то особенно интересное (например, кошелек криптовалюты), то полностью изменяет свой внешний вид, включая интерфейс, значок и все остальное, чтобы выглядеть точно так же.

Затем расширение отключает легитимное расширение, делая себя единственным предлагающим ту функциональность. Это означает, что жертва практически не сможет понять, что подвергается атаке.

Недостаток или особенность?

Чтобы усугубить ситуацию, исследователи отметили, что вредоносное ПО просто злоупотребляет дизайном браузеров и расширений. Здесь нет ошибки или уязвимости, которую можно было бы использовать для обнаружения или удаления вредоносного кода. Антивирусные программы и другие средства защиты конечных точек не могут определить или удалить такое ПО.

Ситуация становится еще хуже: расширения требуют только среднего уровня разрешений, такие же необходимы для менеджеров паролей и подобных инструментов. Поэтому вредоносное ПО не может быть обнаружено даже на основе анализа кода Chrome Store и других команд безопасности.

Исследователи называют эти расширения “полиморфными” и считают, что они представляют собой совершенно новую категорию вредоносного программного обеспечения. Вредоносное ПО затрагивает “большинство крупных браузеров, включая Chrome и Edge”.

“Расширения браузера сегодня представляют значительный риск для предприятий и пользователей”, — отметил основатель SquareX Вивек Рамачандран (Vivek Ramachandran). “К сожалению, большинство организаций не имеют способов аудита своих текущих расширений и проверки их на наличие вредоносного ПО. Это подчеркивает необходимость использования нативных средств безопасности браузера, таких как Browser Detection and Response (BDR), аналогичные Endpoint Detection and Response (EDR) для операционной системы”.

Google был оповещен о проблеме, но пока не дал ответа.