HackerNews 编译,转载请注明出处:
网络安全研究人员展示了一种新技术,使恶意网络浏览器扩展能够伪装成任何已安装的插件。
“多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程,甚至暂时禁用合法扩展,使受害者极易相信他们是在向真实扩展提供凭据,”SquareX在上周发布的一份报告中表示。
收集到的凭据随后可能被威胁者滥用,以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器,包括谷歌Chrome、微软Edge、Brave、Opera等。
这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中,威胁者可以将多态扩展发布到Chrome网络商店(或任何扩展市场)并将其伪装成实用程序。
网络安全研究人员指出,虽然该插件提供了广告宣传的功能以免引起怀疑,但它在后台通过主动扫描与特定目标扩展相关的网络资源(使用一种称为网络资源撞击的技术)来激活恶意功能。
一旦识别出合适的目标扩展,攻击便会进入下一阶段,导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配,并通过“chrome.management”API暂时禁用实际插件来实现的,这会导致它从工具栏中被移除。
“多态扩展攻击极为强大,因为它利用了人类依赖视觉线索进行确认的倾向,”SquareX表示。“在这种情况下,工具栏上扩展图标用于告知用户他们正在交互的工具。”
这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的,该方法可以通过看似无害的浏览器扩展来控制受害者的设备。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
