Các nhà nghiên cứu an ninh mạng đã chứng minh một kỹ thuật mới cho phép một tiện ích mở rộng trình duyệt độc hại mạo danh bất kỳ tiện ích bổ sung nào đã được cài đặt

Theo báo cáo được SquareX công bố vào tuần trước, các tiện ích mở rộng đa hình tạo ra một bản sao hoàn hảo về mặt hình ảnh của biểu tượng, cửa sổ bật lên HTML và quy trình làm việc của tiện ích mục tiêu. Chúng thậm chí còn tạm thời vô hiệu hóa tiện ích hợp pháp, khiến nạn nhân rất dễ tin rằng họ đang cung cấp thông tin đăng nhập cho tiện ích thật

Thông tin đăng nhập bị đánh cắp sau đó có thể bị các tác nhân đe dọa lạm dụng để chiếm đoạt tài khoản trực tuyến và giành quyền truy cập trái phép vào thông tin cá nhân và tài chính nhạy cảm. Cuộc tấn công này ảnh hưởng đến tất cả các trình duyệt dựa trên Chromium, bao gồm Google Chrome, Microsoft Edge, Brave, Opera và các trình duyệt khác

Phương pháp này dựa trên thực tế là người dùng thường ghim các tiện ích mở rộng vào thanh công cụ của trình duyệt. Trong một kịch bản tấn công giả định, các tác nhân đe dọa có thể xuất bản một tiện ích mở rộng đa hình lên Chrome Web Store (hoặc bất kỳ chợ tiện ích mở rộng nào) và ngụy trang nó như một tiện ích thông thường

.

Trong khi tiện ích bổ sung này cung cấp chức năng đã quảng cáo để không gây ra bất kỳ nghi ngờ nào, nó sẽ kích hoạt các tính năng độc hại ở chế độ nền bằng cách chủ động quét sự hiện diện của các tài nguyên web tương ứng với các tiện ích mở rộng mục tiêu cụ thể bằng một kỹ thuật gọi là “web resource hitting”

.

Khi một tiện ích mở rộng mục tiêu phù hợp được xác định, cuộc tấn công chuyển sang giai đoạn tiếp theo, khiến tiện ích độc hại biến thành bản sao của tiện ích hợp pháp. Điều này được thực hiện bằng cách thay đổi biểu tượng của tiện ích giả mạo để khớp với biểu tượng của mục tiêu và tạm thời vô hiệu hóa tiện ích thật thông qua API “chrome.management”, dẫn đến việc nó bị xóa khỏi thanh công cụ

SquareX cho biết: “Cuộc tấn công bằng tiện ích mở rộng đa hình cực kỳ mạnh mẽ vì nó khai thác xu hướng của con người dựa vào các dấu hiệu trực quan để xác nhận”. Họ nói thêm: “Trong trường hợp này, các biểu tượng tiện ích mở rộng trên thanh ghim được sử dụng để thông báo cho người dùng về các công cụ mà họ đang tương tác”

Những phát hiện này được đưa ra một tháng sau khi công ty cũng tiết lộ một phương pháp tấn công khác gọi là Browser Syncjacking, cho phép chiếm quyền kiểm soát thiết bị của nạn nhân thông qua một tiện ích mở rộng trình duyệt tưởng chừng vô hại

Security365 khuyến nghị: Người dùng nên thận trọng với tất cả các tiện ích mở rộng của trình duyệt và chỉ cài đặt những tiện ích từ các nguồn đáng tin cậy. Hãy cảnh giác với bất kỳ tiện ích nào yêu cầu quyền truy cập nhạy cảm hoặc có hành vi bất thường.