Polymorphe Browser-Erweiterungen stehlen Anmeldedaten
Forscher von SquareX Labs haben eine neue Klasse bösartiger Browser-Erweiterungen entdeckt, die als "polymorphe Erweiterungen" bezeichnet werden. Diese Erweiterungen können legitime Erweiterungen wie Passwort-Manager in Echtzeit imitieren und Benutzer so dazu verleiten, sensible Anmeldedaten preiszugeben. Der Angriff erfolgt in vier Phasen: Verteilung, Aufklärung, Identitätsdiebstahl und Ausnutzung. Angreifer verteilen die bösartige Erweiterung getarnt als nützliches Tool im Chrome Web Store. Nach der Installation identifiziert sie Zielerweiterungen und deaktiviert bei deren Verwendung vorübergehend die legitime Version, wobei sie diese durch eine fast identische Fälschung ersetzt. Anmeldedaten werden gestohlen und die legitime Erweiterung wird wieder aktiviert, ohne offensichtliche Spuren zu hinterlassen. Da der Angriff legitime Browserfunktionen nutzt, gibt es keinen einfachen Patch, aber SquareX schlägt Gegenmaßnahmen wie die Einschränkung plötzlicher Änderungen von Erweiterungssymbolen und die Verbesserung der Überwachung von Berechtigungen vor.