Palo Alto, Singapūra, 2025. gada 6. marts, Cybernewswire
Ar nesenām uzbrukuma atklājumiem, piemēram, pārlūka sinhronizācijas un paplašināšanas infostealers, pārlūka paplašinājumi daudzās organizācijās ir kļuvuši par galveno drošības problēmu. Squarex pētījumu grupa atklāj jaunu ļaunprātīgu pagarinājumu klasi, kas var uzdoties par jebkuru upura pārlūkprogrammas uzstādīto paplašinājumu, ieskaitot paroļu pārvaldītājus un kripto makus. Šie ļaunprātīgie paplašinājumi var sevi morfēt, lai būtu tieši tāda pati lietotāja saskarne, ikonas un teksts kā likumīgais paplašinājums, padarot to par ārkārtīgi pārliecinošu gadījumu upuriem ievadīt viņu akreditācijas datus un citu sensitīvu informāciju. Šis uzbrukums ietekmē lielāko daļu galveno pārlūkprogrammu, ieskaitot Chrome un Edge.
Polimorfie paplašinājumi darbojas, izmantojot faktu, ka lielākā daļa lietotāju mijiedarbojas ar paplašinājumiem, izmantojot pārlūkprogrammas rīkjoslu. Uzbrukums sākas ar to, ka lietotājs instalē ļaunprātīgo paplašinājumu, kas sevi maskē, piemēram, kā nenozīmīgu AI rīku. Lai uzbrukums būtu vēl pārliecinošāks, paplašinājums veic AI funkcionalitāti kā reklamēts un paliek labdabīgs uz noteiktu laiku.
Tomēr, kamēr tas viss notiek, ļaunprātīgais pagarinājums sāk izdomāt, kādi citi pagarinājumi ir uzstādīti upura pārlūkprogrammā. Pēc identificēšanas polimorfais paplašinājums pilnībā maina savu izskatu, lai izskatās pēc mērķa, ieskaitot ikonu, kas parādīta uz piespraustās rīkjoslas. Tas var pat īslaicīgi atspējot mērķa pagarinājumu, noņemot to no piespraustās joslas. Ņemot vērā to, ka vairums lietotāju izmanto šīs ikonas kā vizuālu apstiprinājumu, lai informētu, ar kuru paplašinājumu viņi mijiedarbojas, pašas ikonas maiņa, iespējams, ir pietiekama, lai pārliecinātu vidējo lietotāju, ka viņi noklikšķina uz likumīgā paplašinājuma. Pat ja upuris nav Lai izvairītos no aizdomām, ļaunprātīgais pagarinājums var pat īslaicīgi atspējot mērķa pagarinājumu tā, ka tie ir vienīgie ar mērķa ikonu piespraustajā cilnē.
Kritiski, ka polimorfais paplašinājums var uzdoties par pārlūka pagarinājumu. Piemēram, tas var atdarināt populāros paroļu vadītājus, lai pievilinātu upurus, lai ievadītu viņu galveno paroli. Pēc tam uzbrucējs var izmantot šo paroli, lai pieteiktos reālajā paroļu pārvaldniekā un piekļūtu visiem akreditācijas datiem, kas saglabāti paroles velvē. Līdzīgi polimorfiskais pagarinājums var arī atdarināt populāros kriptogrāfijas makus, ļaujot tiem izmantot nozagtos akreditācijas datus, lai pilnvarotu darījumus, lai uzbrucējam nosūtītu kriptovalūtu. Citi potenciālie mērķi ir izstrādātāju rīki un banku paplašinājumi, kas uzbrucējam var nodrošināt neatļautu piekļuvi lietotnēm, kur tiek glabāti sensitīvi dati vai finanšu aktīvi.
Turklāt uzbrukumam ir vajadzīgas tikai vidēja riska atļaujas, kuru pamatā ir Chrome Store klasifikācija. Ironiski, ka daudzas no šīm atļaujām izmanto paši paroļu vadītāji, kā arī citi populāri rīki, piemēram, reklāmas blokatori un lapu stilisti, padarot īpaši grūti Chrome Store un drošības komandām identificēt ļaunprātīgu nodomu, vienkārši apskatot paplašinājuma kodu.
SquareX dibinātājs Viveks Ramachandran brīdina, ka “pārlūka paplašinājumi šodien rada lielu risku uzņēmumiem un lietotājiem. Diemžēl lielākajai daļai organizāciju nav iespējas auditēt to pašreizējo pagarinājuma pēdas nospiedumu un pārbaudīt, vai tās ir ļaunprātīgas. Tas vēl vairāk uzsver nepieciešamību pēc pārlūka vietējās drošības risinājuma, piemēram, pārlūka noteikšanas un reakcijas, līdzīgi kā EDR ir operētājsistēmai. ”
Šie polimorfie paplašinājumi izmanto esošās iezīmes hromā, lai veiktu uzbrukumu. Kā tāds nav iesaistīta programmatūras kļūda, un to nevar izlabot. Squarex ir rakstījis Chrome par atbildīgu atklāšanu, iesakot aizliegt vai ieviest lietotāju brīdinājumus par visām HTML paplašināšanas ikonas izmaiņām vai pēkšņu izmaiņām, jo šos paņēmienus uzbrucēji var viegli izmantot, lai uzdotos par citiem polimorfiskajā uzbrukumā paplašinājumiem. Uzņēmumiem vairs nav pietiekama statiskā paplašināšanas analīze un balstīta politika, kas balstīta uz atļaujām-ir svarīgi, lai pārlūkprogrammas vietējais drošības rīks varētu dinamiski analizēt paplašināšanas izturēšanos izpildlaikā, ieskaitot ļaunprātīgu pagarinājumu polimorfiskās tendences.
Lai iegūtu papildinformāciju par polimorfiem paplašinājumiem, šī pētījuma papildu atklājumi ir pieejami vietnē https://sqrx.com/polymorphic-extensions.
Apmēram kvadrātiks
SquareX palīdz organizācijām atklāt, mazināt un draudēt ar klientu puses tīmekļa uzbrukumiem, kas notiek pret viņu lietotājiem reālā laikā, ieskaitot aizstāvēšanu pret ļaunprātīgiem pagarinājumiem. Papildus polimorfiskajam uzbrukumam Squarex bija arī pirmais, kurš atklāja un atklāja vairākus uz pagarinājumus balstītus uzbrukumus, ieskaitot pārlūkprogrammas sinhronizāciju, Chrome Store piekrišanas pikšķerēšanas uzbrukums, kas izraisīja Cyberhaven pārkāpumu un daudzus citus MV3 atbilstošus ļaunprātīgus paplašinājumus, kas atklājies Def Con 32.
Squarex nozares pirmās pārlūka noteikšanas un reakcijas (BDR) risinājums izmanto uz uzbrukumu vērstu pieeju pārlūka drošībai, nodrošinot, ka uzņēmuma lietotāji ir aizsargāti pret uzlabotiem draudiem, piemēram, ļaunprātīgiem QR kodiem, pārlūkprogrammu pārlūkprogrammā pikšķerēšanu, makro balstītus ļaunprātīgas programmatūras un citu tīmekļa uzbrukumus, kas ietver ļaunprātīgus failus, vietnes, scenārijus un kompromisizētus tīklus.
Turklāt ar SquareX uzņēmumi var nodrošināt darbuzņēmējus un attālinātus darbiniekus drošu piekļuvi iekšējām lietojumprogrammām, uzņēmuma SaaS un pārlūkprogrammas pārlūkprogrammās BYOD / nepārvaldītās ierīces pārveidot par uzticamām pārlūkošanas sesijām.
Saskare
PR
Junice Liew
Kvadrātiks
[email protected]
