Un nuovo attacco coinvolge estensioni di Chrome malevole per falsificare i password manager.
“Ci troviamo dinanzi ad un nuovo attacco ‘polimorfico’ che consente alle estensioni malevole di Chrome di trasformarsi in altre, come gestori di password o wallet crypto, per rubare dati sensibili“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Da quello che possiamo desumere dalle informazioni dei ricercatori di SquareX Labs, non è assolutamente un problema di 1Password, uno dei migliori password manager presenti sul mercato, dotato di misure di sicurezza molto efficaci”, avverte Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit, “ma la vulnerabilità risiede nei sistemi di Google, in questo specifico caso, nella gestione del Web Store di Chrome“.
Indice degli argomenti
Estensioni di Chrome dannose: un attacco polimorfico
Questo attacco “polimorfico” di recente ideazione permette alle estensioni di Chrome malevole di trasformarsi in altre estensioni del browser, tra cui gestori di password, portafogli di criptovalute e applicazioni bancarie, al fine di rubare informazioni sensibili.
L’attacco, ideato dai ricercatori di SquareX Labs che hanno divulgato l’attacco a Google in maniera responsabile, può essere condotto sull’ultima versione di Chrome.
“L’attacco è estremamente pericoloso quanto efficace”, mette in guardia Paganini, “anche perché ad oggi Google non ha ancora implementato misure di sicurezza adeguate a prevenire questa minaccia”.
I dettagli
L’attacco inizia con l’invio dell’estensione polimorfa malevola sul Web Store di Chrome.
“Nonostante tutti gli interventi di protezione che Google cerca di mettere in pratica, il suo store rimane notoriamente ‘permeabile’ all’accesso di applicazioni e ed estensioni malevole”, mette in guardia Sbaraglia: “Nel caso del Play Store per Android registriamo frequentemente casi di app malevole che riescono ad essere ammesse sullo store ufficiale, superando i controlli che Google regolarmente esegue”.
Come esempio, SquareX sfrutta uno strumento di marketing AI che offre le funzionalità promesse, inducendo le vittime a installare e installare l’estensione sul proprio browser.
Per ottenere un elenco di altre estensioni installate, l’estensione malevola abusa dell’API “chrome.management”, a cui ha avuto accesso durante l’installazione.
“SquareX Labs ha infatti rivelato che l’attacco sfrutta l’API ‘chrome.management‘ per identificare le estensioni installate e sostituirle con versioni fasulle”, evidenzia Paganini.
Se l’estensione dannosa non dispone di questa autorizzazione, SquareX afferma che esiste un secondo modo più furtivo per ottenere lo stesso risultato, che prevede l’iniezione di risorse nelle pagine Web visitate dalla vittima.
Lo script dannoso tenta di caricare un file specifico o un URL unico per le estensioni bersaglio e, se viene caricato, si può concludere che l’estensione è installata.
“Tutto ciò avviene nonostante le misure di controllo adottate, tra le quali il Google Play Protect che, secondo quello che dichiara Google sulla pagina dedicata dovrebbe eseguire un controllo di sicurezza sulle app del Google Play Store prima del loro download e poi verificare sul dispositivo l’eventuale presenza di app potenzialmente dannose provenienti da altre origini. Ma – come riscontriamo – questi controlli, sebbene migliorati continuamente da Google, non sempre risultano efficaci”, avverte Sbaraglia.
Lo stesso problema, come segnalato da SquareX Labs, si verifica sul Web Store di Chrome, dal quale vengano scaricate le estensioni per il browser.
Come avviene la trasformazione dell’estensione dannosa
L’elenco delle estensioni installate viene inviato a un server controllato dall’aggressore e, se ne viene trovata una mirata, gli aggressori comandano all’estensione dannosa di trasformarsi in quella mirata.
Nella dimostrazione di SquareX, gli aggressori impersonano l’estensione del password manager 1Password, disabilitando prima quella legittima utilizzando l’API “chrome.management” o, se i permessi non sono disponibili, manipolando l’interfaccia utente per nasconderla all’utente.
Contemporaneamente, l’estensione dannosa cambia la sua icona per imitare quella di 1Password, cambia il suo nome di conseguenza. E visualizza un falso popup di login che corrisponde all’aspetto di quello reale.
Per costringere l’utente a inserire le proprie credenziali, quando si tenta di accedere a un sito, la visualizzazione di un falso messaggio “Sessione scaduta” induce a credere alla vittima di essersi scollegata.
In questo modo, l’attacco spinge l’utente ad accedere nuovamente a 1Password attraverso un modulo di phishing che invia le credenziali inserite agli aggressori.
Dopo l’invio delle informazioni sensibili agli attaccanti, l’estensione malevola torna al suo aspetto originale e l’estensione reale si riattiva, in modo che tutto torna ad apparire di nuovo normale.
Come proteggersi
SquareX raccomanda a Google di implementare difese specifiche contro questo attacco, come il blocco delle icone di estensioni brusche e delle modifiche HTML sulle estensioni installate. O, almeno, di avvisare gli utenti quando ciò accade.
Tuttavia, al momento non esistono misure per prevenire questo tipo di impersonificazione ingannevole.
“È importante rimarcare che – in ogni caso – le estensioni andrebbero utilizzate con parsimonia, cioè dovrebbero essere installate solo le estensioni effettivamente necessarie”, sottolinea Giorgio Sbaraglia: “Dobbiamo cioè essere consapevoli che ogni estensione installata sui browser, così come ogni plugin installato sui siti Wordpress, aumenta il perimetro di esposizione“.
La cyber igiene è infatti la migliore difesa insieme alla consapevelozza. “È essenziale che gli utenti installino solo estensioni affidabili e monitorino le attività sospette nel browser“, conferma Paganini.
Inoltre “la misura di sicurezza che andrebbe adottata è quella di installare le estensioni solo da link ufficiali: nel caso di 1Password è più sicuro ricavare l’estensione direttamente dal link presente sul sito ufficiale“, evidenzia Sbaraglia: “Da lì si verrà indirizzati sulla pagina giusta del Web Store di Chrome dove si può scaricare l’estensione in sicurezza”.
I ricercatori di SquareX hanno anche notato che Google classifica erroneamente l’API “chrome.management” come “a medio rischio”.
Inoltre, è ampiamente accessibile da estensioni popolari come page styler, ad blocker e password manager.
Consigli anti phishing
Occorre “evitare sempre di utilizzare link di dubbia provenienza e ancora di più evitare di inserire le proprie credenziali di 1Password su finestre di pop-up o moduli che appaiono e che sono in realtà phishing“, conclude Sbaraglia: “Con un poco di attenzione e senza farsi prendere dalla fretta, capiremo che l’applicazione 1Password (quella che abbiamo già installata sul nostro PC o Mac) non ha nessun motivo di chiederci di rifare il login. Ma purtroppo la fretta e la superficialità dell’utente sono i migliori alleati dei malintenzionati nelle loro attività di phishing”.
