Pesquisadores da SquareX Labs desenvolveram e demonstraram um novo ataque "polimórfico" que permite que extensões maliciosas do Chrome se transformem em aplicativos legítimos, como gerenciadores de senhas, carteiras de criptomoedas e ferramentas bancárias, para roubar informações sensíveis dos usuários. A técnica, que já foi comunicada ao Google de forma responsável, é viável nas versões mais recentes do navegador.

O ataque começa com a publicação de uma extensão maliciosa na Chrome Web Store. Em um exemplo citado pela SquareX, os criminosos usaram uma ferramenta de marketing baseada em IA, que oferece funcionalidades reais para enganar as vítimas e levá-las a instalar e fixar a extensão no navegador. Uma vez instalada, a extensão maliciosa utiliza a API 'chrome.management' — que recebe permissão de acesso durante a instalação — para identificar outras extensões presentes no navegador da vítima. Caso essa permissão não esteja disponível, os hackers recorrem a uma alternativa ainda mais discreta: a injeção de scripts nas páginas visitadas pelo usuário.

Esse script tenta carregar arquivos ou URLs específicos de extensões-alvo. Se for bem-sucedido, confirma que a extensão legítima está instalada. A lista de extensões da vítima é então enviada para um servidor controlado pelos criminosos. Se uma das extensões-alvo for detectada, a extensão maliciosa recebe a ordem de se transformar na original, assumindo seu ícone, nome e funcionalidades.

Em uma demonstração realizada pela SquareX, os pesquisadores simularam um ataque em que a extensão maliciosa se disfarçou como o gerenciador de senhas 1Password. A extensão legítima foi desativada usando a API 'chrome.management' ou, quando isso não era possível, ocultada por meio da manipulação da interface do navegador. Simultaneamente, a extensão falsa exibia uma janela de login idêntica à do 1Password, acompanhada de uma mensagem de "Sessão Expirada" para enganar a vítima e induzi-la a reinserir suas credenciais. Os dados inseridos eram enviados diretamente para os hackers. Após o roubo, a extensão maliciosa retornava à sua aparência original e reativava a legítima, tornando o golpe quase imperceptível.

A SquareX disponibilizou uma demonstração pública do ataque, destacando como a extensão falsa se passou pelo 1Password. Para mitigar o problema, os pesquisadores recomendam que o Google implemente mecanismos de defesa, como bloquear mudanças bruscas de ícones e interfaces nas extensões instaladas ou, pelo menos, notificar os usuários sobre essas alterações. No entanto, até o momento, não há medidas eficazes para impedir esse tipo de ataque.

Além disso, a SquareX criticou a classificação da API 'chrome.management' como um risco médio pelo Google, o que permite que ela seja amplamente acessada por extensões populares, como bloqueadores de anúncios, personalizadores de páginas e gerenciadores de senhas. Essa vulnerabilidade facilita a execução de ataques polimórficos, colocando milhões de usuários em risco.

Via - BC