Di recente, SquareX Labs ha scoperto un nuovo tipo di estensione del browser chiamata “Estensione Polimorfica”, che può impersonare qualsiasi altra estensione del browser. Questa scoperta rappresenta un notevole passo avanti nella sofisticazione delle minacce informatiche, mettendo in pericolo la sicurezza delle informazioni sensibili degli utenti.
Le estensioni polimorfiche sono estensioni malevole che creano repliche perfette delle icone, dei popup HTML e dei flussi di lavoro delle estensioni legittime. Questo rende quasi impossibile per gli utenti distinguere tra l’estensione originale e quella contraffatta. Gli attaccanti utilizzano queste estensioni per disabilitare temporaneamente l’estensione legittima e sostituirne gli indicatori visivi, come le icone delle schede appuntate, con quelle ingannevoli.
“Le estensioni polimorfiche creano una replica perfetta a livello di pixel dell’icona della vittima, del popup HTML, dei flussi di lavoro e addirittura disattivano temporaneamente l’estensione legittima, rendendo estremamente convincente per le vittime credere di fornire credenziali all’estensione reale”, afferma il rapporto SquareX.
Come funziona l’attacco
L’attacco inizia con la persuasione della vittima a scaricare e appuntare l’estensione polimorfica, spesso mascherata da uno strumento di marketing AI o da un’applicazione apparentemente innocua. Una volta installata, l’estensione funziona come promesso per rimanere sotto traccia. Successivamente, identificata quale estensione impersonare ne crea una replica convincente. Questo attacco è particolarmente pericoloso perché può colpire qualsiasi estensione che agisce come gateway per risorse preziose, come i gestori di password, i portafogli di criptovalute e le app bancarie.
In pratica il componente aggiuntivo mentre fornisce la funzionalità pubblicizzata in modo da non destare alcun sospetto, attiva le funzionalità dannose in background eseguendo una scansione attiva per rilevare la presenza di risorse web correlate a specifiche estensioni mirate, utilizzando una tecnica chiamata web resource hitting.
Come riprodotto nel video demo, non appena un’estensione target viene identificata, l’attacco passa alla fase successiva, facendo una replica dell’estensione legittima, riproducendo l’icona dell’estensione falsa in modo che corrisponda a quella target e disabilitando temporaneamente l’effettivo componente aggiuntivo, rimovendolo dalla barra degli strumenti tramite l’API “chrome.management”.
Prevenzione e mitigazione
Le estensioni polimorfiche rappresentano una minaccia significativa per la sicurezza informatica. La loro capacità di impersonare estensioni legittime può portare a gravi conseguenze, inclusi furti di informazioni sensibili, accesso non autorizzato a conti bancari e compromissione della sicurezza delle criptovalute.
“Sfortunatamente, dato che l’attacco sfrutta una funzionalità legittima in Chrome, questo attacco non può essere risolto applicando una patch al browser. Abbiamo comunque scritto a Chrome per una divulgazione responsabile. Abbiamo anche raccomandato a Chrome di vietare brusche modifiche alle icone delle estensioni e all’HTML o di implementare notifiche utente in tali eventi per evitare che si verifichino attacchi di impersonificazione”, conclude il rapporto.
Per proteggersi da queste minacce, è essenziale pertanto seguire alcune pratiche di sicurezza:
- Evitare di installare estensioni da siti di terze parti o da fonti non verificate.
- Evitare l’uso di software pirata e illegale.
- Verificare regolarmente le estensioni del browser per assicurarsi che siano legittime.
- Mantenere aggiornato il browser e le estensioni per ridurre il rischio di vulnerabilità.
Le estensioni polimorfiche sono un esempio allarmante di come le minacce informatiche stiano evolvendo. È essenziale che gli utenti adottino misure proattive per proteggere le loro informazioni sensibili e mantenere la sicurezza dei loro dispositivi. La collaborazione tra le piattaforme e la consapevolezza delle tecniche di attacco più recenti sono fondamentali per mitigare questi rischi e proteggere gli utenti dalle minacce emergenti.
