การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ
SquareX Labs เป็นผู้พบวิธีการโจมตีดังกล่าว โดยแจ้งเตือนถึงความเหมาะสม และความเป็นไปได้ใน Chrome เวอร์ชันล่าสุด โดยนักวิจัยได้เปิดเผยการโจมตีนี้ให้กับ Google ได้รับทราบเรียบร้อยแล้ว
การเปลี่ยนรูปแบบของ Chrome extensions
การโจมตีเริ่มต้นจากการส่ง polymorphic extension ที่เป็นอันตรายขึ้นไปใน Chrome Web Store
SquareX ใช้ AI marketing tool เป็นตัวอย่าง ซึ่งนำเสนอฟังก์ชันการทำงานต่าง ๆ ไว้ เพื่อหลอกลวงเหยื่อให้ติดตั้ง extensions ลงบนเบราว์เซอร์ของตน
เพื่อให้ได้รายชื่อ extensions อื่น ๆ ที่ติดตั้งอยู่ extensions ที่เป็นอันตรายจะมีการใช้ 'chrome.management' API ซึ่งได้รับการอนุญาตให้เข้าถึงในระหว่างการติดตั้ง
หาก extensions ที่เป็นอันตรายไม่มีสิทธิ์นี้ SquareX ระบุว่ามีวิธีที่สองที่ลับยิ่งขึ้นในการทำให้ได้ผลลัพธ์เดียวกัน โดยทำการ injection ข้อมูลเข้าไปในหน้าเว็บที่เหยื่อเยี่ยมชม
สคริปต์ที่เป็นอันตรายจะพยายามโหลดไฟล์ หรือ URL ที่เป็นนามสกุลไฟล์ที่เป็นเป้าหมาย และหากโหลดสำเร็จ ก็หมายความว่า extensions เหล่านั้นถูกติดตั้งไว้อยู่แล้ว
รายชื่อ extensions ที่ติดตั้งอยู่จะถูกส่งกลับไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้โจมตี และหากพบ extensions ที่เป็นเป้าหมาย ผู้โจมตีจะสั่งให้ extensions ที่เป็นอันตรายเปลี่ยนรูปแบบเป็น extensions ที่เป็นเป้าหมายแทน
ในการสาธิตของ SquareX ผู้โจมตีจะปลอมตัวเป็น extensions 1Password โดยเริ่มต้นจากการปิดการทำงานของ extensions ที่แท้จริงด้วย 'chrome.management' API หรือถ้าไม่ได้รับอนุญาต ก็จะใช้เทคนิค user interface manipulation เพื่อซ่อน extensions ที่แท้จริงจากผู้ใช้
ในขณะเดียวกัน extensions ที่เป็นอันตรายจะเปลี่ยนไอคอนให้เหมือนกับของ 1Password และ เปลี่ยนชื่อให้ตรงกับของจริง รวมไปถึงแสดงหน้าต่างเข้าสู่ระบบปลอมที่มีลักษณะเหมือนกับของจริง
เพื่อบังคับให้ผู้ใช้กรอกข้อมูลประจำตัว เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์จะมีการแสดงข้อความปลอมว่า "Session Expired" ซึ่งทำให้เหยื่อคิดว่าตนเองออกจากระบบไปแล้ว
โดยระบบจะแจ้งให้ผู้ใช้เข้าสู่ระบบ 1Password อีกครั้งผ่านแบบฟอร์มฟิชชิ่งที่ส่งข้อมูลรหัสผ่านที่กรอกไปยังผู้โจมตี
เมื่อข้อมูลที่มีความสำคัญถูกส่งไปยังผู้โจมตี extensions ที่เป็นอันตรายจะกลับสู่รูปแบบเดิม และ extensions ที่แท้จริงจะถูกเปิดใช้งานอีกครั้ง ทำให้ทุกอย่างดูเหมือนปกติ
มาตรการลดผลกระทบ
SquareX แนะนำให้ Google ใช้วิธีป้องกันเฉพาะเพื่อป้องกันการโจมตีประเภทนี้ เช่น บล็อกการเปลี่ยนแปลงไอคอนของ extensions และบล็อค HTML แบบทันทีใน extensions ที่ติดตั้งอยู่ หรืออย่างน้อยที่สุดแจ้งให้ผู้ใช้ทราบเมื่อเหตุการณ์นี้เกิดขึ้น
อย่างไรก็ตาม ปัจจุบันยังไม่มีมาตรการใดที่สามารถป้องกันการปลอมแปลงลักษณะการใช้งานดังกล่าว
นักวิจัยของ SquareX ยังสังเกตเห็นอีกว่า Google จัดประเภท API 'chrome.management' อย่างไม่ถูกต้อง โดยจัดความเสี่ยงเป็น "ความเสี่ยงปานกลาง" เนื่องจากมีการเข้าถึงอย่างกว้างขวาง และได้รับความนิยม เช่น Page stylers, ad blockers และ Password managers
ที่มา : bleepingcomputer
You must be logged in to post a comment.