Peneliti cybersecurity telah menunjukkan teknik baru yang memungkinkan ekstensi browser web berbahaya untuk menyamar sebagai add-on yang diinstal.
“Ekstensi polimorfik membuat replika sempurna piksel dari ikon target, popup HTML, alur kerja dan bahkan untuk sementara menonaktifkan ekstensi yang sah, sehingga sangat meyakinkan bagi para korban untuk percaya bahwa mereka memberikan kredensial pada ekstensi yang sebenarnya,” kata Squarex dalam sebuah laporan yang diterbitkan minggu lalu.
Kredensial yang dipanen kemudian dapat disalahgunakan oleh para aktor ancaman untuk membajak akun online dan mendapatkan akses yang tidak sah ke informasi pribadi dan keuangan yang sensitif. Serangan itu mempengaruhi semua browser web berbasis kromium, termasuk Google Chrome, Microsoft Edge, Brave, Opera, dan lainnya.
Pendekatan bank tentang fakta bahwa pengguna biasanya menyematkan ekstensi ke bilah alat browser. Dalam skenario serangan hipotetis, para aktor ancaman dapat menerbitkan ekstensi polimorfik ke toko web Chrome (atau pasar ekstensi apa pun) dan menyamarkannya sebagai utilitas.
Sementara add-on menyediakan fungsionalitas yang diiklankan agar tidak membangkitkan kecurigaan, itu mengaktifkan fitur jahat di latar belakang dengan secara aktif memindai adanya sumber daya web yang berkorelasi dengan ekstensi target tertentu menggunakan teknik yang disebut pukulan sumber daya web.
Setelah ekstensi target yang sesuai diidentifikasi, serangan bergerak ke tahap berikutnya, menyebabkannya berubah menjadi replika ekstensi yang sah. Ini dicapai dengan mengubah ikon ekstensi nakal agar sesuai dengan target dan untuk sementara menonaktifkan add-on yang sebenarnya melalui API “chrome.management”, yang mengarah pada itu dihapus dari toolbar.
https://www.youtube.com/watch?v=i5pifa3jHty
“Serangan ekstensi polimorfik sangat kuat karena mengeksploitasi kecenderungan manusia untuk mengandalkan isyarat visual sebagai konfirmasi,” kata Squarex. “Dalam hal ini, ikon ekstensi pada bilah yang disematkan digunakan untuk memberi tahu pengguna tentang alat yang mereka berinteraksi.”
Temuan ini datang sebulan setelah perusahaan juga mengungkapkan metode serangan lain yang disebut browser syncjacking yang memungkinkan untuk merebut kendali perangkat korban dengan menggunakan ekstensi browser yang tampaknya tidak berbahaya.
