Un nuevo ataque “polimórfico” permite que extensiones maliciosas de Chrome se disfracen de otras extensiones legítimas, incluyendo administradores de contraseñas, billeteras de criptomonedas y apps bancarias, con el fin de robar información sensible.
El ataque paso a paso ️♂️
Según SquareX Labs que descubrió el ataque y notificó a Google, la técnica funciona así:
1️⃣ Se publica una extensión maliciosa en la Chrome Web Store ofreciendo una funcionalidad atractiva (ejemplo: una herramienta de marketing con IA).
2️⃣ La extensión obtiene una lista de las otras extensiones instaladas utilizando la API ‘chrome.management’ o mediante inyección de recursos en sitios web visitados.
3️⃣ Si detecta un objetivo (como 1Password), se transforma en él:
– Desactiva la extensión original usando la API o manipulando la interfaz para ocultarla.
– Cambia su icono, nombre y apariencia para imitar la extensión legítima.
4️⃣ Muestra un mensaje falso de “Sesión expirada” cuando el usuario intenta iniciar sesión en un sitio web, redirigiéndolo a una ventana falsa de autenticación.
5️⃣ Las credenciales ingresadas son enviadas a los atacantes. Luego, la extensión maliciosa vuelve a su estado original y reactiva la extensión real, ocultando el ataque.
Google aún no ha implementado protecciones
SquareX recomienda que Google implemente medidas de seguridad como:
✅ Bloquear cambios abruptos en iconos y HTML dentro de las extensiones.
✅ Notificar a los usuarios cuando una extensión cambia su apariencia.
Aunque hasta el momento, no hay defensas contra este tipo de suplantación.
Además, la API ‘chrome.management’, clasificada por Google como “riesgo medio”, sigue siendo utilizada por muchas extensiones populares, incluyendo bloqueadores de anuncios y administradores de contraseñas.
Recomendación: Sé cauteloso al instalar extensiones y revisa siempre sus permisos.