SquareX 推出多态扩展，可将信息窃取者转变为任何浏览器扩展

快速阅读: 《黑客 Noon》消息，近期，SquareX研究团队发现了一种新型恶意浏览器扩展，能模仿用户已安装的合法扩展，包括密码管理器和加密钱包。此类“多态”扩展通过改变外观来欺骗用户，使其输入敏感信息。这类攻击影响广泛，包括Chrome和Edge浏览器。SquareX已向Chrome提交了漏洞报告，建议加强用户警告机制。企业需采用能动态分析扩展行为的安全工具来应对这种威胁。

帕洛阿尔托市，新加坡，2025年3月6日/赛博新闻社(CyberNewsWire)–随着最近披露的浏览器同步挟持和扩展信息窃取等攻击事件，浏览器扩展已成为许多组织的主要安全问题。SquareX的研究团队发现了一类新的恶意扩展，可以模仿受害浏览器上安装的任何扩展，包括密码管理器和加密钱包。这些恶意扩展能够改变自身，使其具有与合法扩展完全相同的用户界面、图标和文本，使受害者输入其凭证和其他敏感信息变得极具说服力。这种攻击影响了大多数主要浏览器，包括Chrome和Edge。多态扩展通过利用大多数用户通过浏览器工具栏中的固定图标与扩展进行交互的事实来工作。攻击始于用户安装恶意扩展，该扩展伪装成一个不起眼的人工智能工具。为了使攻击更具说服力，该扩展在预定时间内执行广告宣传的人工智能功能并保持良性。然而，在此期间，恶意扩展开始识别受害浏览器中安装的其他扩展。一旦确定，多态扩展会完全改变自己的外观以模仿目标扩展，包括在固定工具栏上显示的图标。它甚至可以暂时禁用目标扩展，将其从固定栏中移除。鉴于大多数用户使用这些图标作为视觉确认来告知他们正在与哪个扩展进行交互，更改图标本身可能足以让普通用户相信他们在点击合法扩展。即使受害者导航到扩展仪表板，也没有明显的方法将那里显示的工具与固定图标关联起来。为了避免怀疑，恶意扩展甚至可以在目标扩展暂时禁用的情况下，使其成为唯一保留目标扩展图标的标签页。至关重要的是，多态扩展可以模仿任何浏览器扩展。例如，它可以模仿流行的密码管理器，诱使受害者输入主密码。然后，攻击者可以使用该密码登录真实的密码管理器并访问存储在密码库中的所有凭证。同样，多态扩展还可以模仿流行的加密钱包，允许它们使用被盗凭证授权交易，将加密货币发送给攻击者。其他潜在目标包括开发人员工具和银行扩展，这些扩展可能会为攻击者提供未经授权访问存储敏感数据或金融资产的应用程序的机会。此外，根据Chrome商店的分类，这种攻击仅需要中等风险权限。讽刺的是，许多这些权限实际上是由密码管理器本身以及其他流行工具（如广告拦截器和页面样式工具）使用的，这使得Chrome商店和安全团队仅通过查看扩展代码难以识别恶意意图。这些多态扩展利用Chrome内部现有的功能进行攻击。因此，这没有涉及软件漏洞，也无法修补。SquareX已向Chrome提交了负责任的漏洞报告，建议禁止或实现用户警报，以便在扩展图标更改或HTML突然变化时发出警告，因为这些技术很容易被攻击者用于多态攻击中模仿其他扩展。对于企业而言，静态扩展分析和基于权限的策略已不再足够——拥有一个能够在运行时动态分析扩展行为的浏览器原生安全工具至关重要，包括检测恶意扩展的多态倾向。关于SquareX SquareX帮助组织实时检测、缓解和威胁狩猎针对其用户的客户端Web攻击，包括防御恶意扩展。除了多态攻击外，SquareX还是第一个发现并披露多种基于扩展的攻击的公司，包括浏览器同步挟持、导致Cyberhaven泄露的Chrome商店同意网络钓鱼攻击以及在DEF CON 32上公布的多个符合MV3标准的恶意扩展。SquareX的业内首个浏览器检测与响应（BDR）解决方案采取了以攻击为中心的方法来确保企业用户免受高级威胁，如恶意二维码、浏览器内的网络钓鱼、基于宏的恶意软件以及其他包含恶意文件、网站、脚本和受损网络的Web攻击。此外，借助SquareX，企业可以为承包商和远程工作者提供安全访问内部应用程序和企业SaaS的能力，并将BYOD/未管理设备上的浏览器转化为可信会话。联系人 公关负责人 林俊思 SquareX [email protected] 此新闻稿由赛博新闻社发布，并通过HackerNoon的企业博客计划分享。

(以上内容均由Ai生成)