تحذير: هجوم جديد على إضافات Chrome يسرق كلمات المرور والمحافظ الرقمية

كشفت شركة SquareX Labs عن هجوم جديد يُعرف باسم الهجوم متعدد الأشكال (Polymorphic Attack)، والذي يسمح للإضافات الضارة في متصفح Google Chrome بالتحول إلى إضافات أخرى مثل مديري كلمات المرور، محافظ العملات الرقمية، وتطبيقات البنوك بهدف سرقة المعلومات الحساسة.

ويحذر الباحثون من أن هذا الهجوم قابل للتنفيذ على أحدث إصدارات Chrome، وقد تم إبلاغ Google به بشكل مسؤول.

كيف يعمل الهجوم؟

يبدأ الهجوم عندما يتم رفع الإضافة الضارة إلى متجر Chrome Web Store، حيث تُقدَّم على أنها أداة مفيدة مثل أداة ذكاء اصطناعي للتسويق، مما يُغري المستخدمين بتثبيتها وتثبيتها على المتصفح.

استكشاف الإضافات المثبتة

بمجرد التثبيت، تستخدم الإضافة الضارة واجهة برمجة التطبيقات “chrome.management”، والتي حصلت على إذن الوصول أثناء التثبيت، لاستخراج قائمة بجميع الإضافات المثبتة على المتصفح.

وفي حال لم تحصل الإضافة على هذه الأذونات، يمكنها تحقيق الهدف نفسه بطريقة أكثر تخفيًا عبر حقن موارد في صفحات الويب التي يزورها الضحية. تقوم هذه الطريقة بتحميل ملفات أو عناوين URL مميزة ترتبط بالإضافات المستهدفة، وعند نجاح التحميل، يتم تأكيد وجود الإضافة على المتصفح.

بمجرد تحديد الإضافات المستهدفة، يتم إرسال القائمة إلى خادم يتحكم به المهاجمون، وإذا وُجدت إحدى الإضافات المستهدفة، يتم توجيه الإضافة الضارة للتحول إلى نسخة مزيفة منها.

خداع المستخدمين وسرقة بياناتهم

في تجربة توضيحية، قام الباحثون بمحاكاة هجوم استهدف مدير كلمات المرور 1Password، حيث قامت الإضافة الضارة بالتالي:

1. تعطيل الإضافة الأصلية باستخدام واجهة “chrome.management”، أو في حال عدم توفر الأذونات المطلوبة، استخدام أساليب تحكم في واجهة المستخدم لإخفائها عن المستخدم.
2. تغيير أيقونتها واسمها لمطابقة مظهر إضافة 1Password الأصلية.
3. إظهار نافذة تسجيل دخول مزيفة تشبه تلك الخاصة بالإضافة الأصلية.
4. خداع المستخدم عبر نافذة “الجلسة منتهية” عند محاولة تسجيل الدخول إلى أحد المواقع، مما يدفعه إلى إدخال بياناته في النموذج المزيف.
5. إرسال بيانات تسجيل الدخول إلى الخادم الخاص بالمهاجمين.
6. إعادة الأمور إلى وضعها الطبيعي بعد سرقة البيانات، حيث تعود الإضافة الضارة إلى مظهرها الأصلي، وتتم إعادة تمكين الإضافة الأصلية، مما يجعل من الصعب اكتشاف الاختراق.

كيف يمكن الحماية من هذا الهجوم؟

توصي شركة SquareX بأن تتخذ Google إجراءات لمكافحة هذا النوع من الهجمات، مثل:

• منع التعديلات المفاجئة على أيقونات الإضافات والمحتوى الداخلي أو على الأقل تنبيه المستخدم عند حدوث ذلك.
• إعادة تصنيف واجهة برمجة التطبيقات “chrome.management” من “متوسطة المخاطر” إلى فئة أكثر أمانًا، حيث إنها تُستخدم على نطاق واسع من قِبل إضافات شائعة مثل أدوات حجب الإعلانات ومديري كلمات المرور.

حتى لحظة كتابة هذا التقرير، لا توجد إجراءات أمنية فورية تمنع هذا النوع من الانتحال.

مقالات ذات صلة:

• Honor Magic 7 Lite: هاتف جديد أم مجرد إعادة تسمية إقليمية؟
• أوبو تكشف عن تصميم هاتف Find X8 بمعالج Dimensity 9400 ومواصفات قوية: تعرف على موعد الإطلاق
• هجوم Browser Syncjacking: كيف يمكن لامتداد كروم خبيث السيطرة على جهازك؟
• كلمات المرور الأكثر شيوعًا لعام 2021 ضعيفة للغاية
• جوجل تبدأ في تعطيل uBlock Origin وإضافات مانيفيست V2 على متصفح كروم!