11/03/25
Эксперты SquareX сообщили, что злоумышленники создают визуально идентичные копии значков, HTML-панелей и рабочих процессов целевых расширений, а также временно отключают оригинальные версии, что делает подмену практически незаметной для пользователей, пишет Securitylab.
Атака направлена на кражу учётных данных, которые затем могут быть использованы для захвата записей и получения несанкционированного доступа к конфиденциальной информации, включая финансовые данные. Уязвимость затрагивает все браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera и Yandex.
Методика атаки основана на том, что пользователи часто закрепляют расширения в панели инструментов поисковика. Вредоносное дополнение, размещённое в магазине Chrome Web Store или аналогичной платформе, может выглядеть как полезное умение. В то же время оно скрытно анализирует веб-ресурсы, чтобы выявить установленные целевые расширения, используя технику «Web Resource Hitting».
Как только обнаружено подходящее расширение, вредоносный код активируется: он заменяет значок мошеннического дополнения на одинковый с целевым и временно отключает оригинальное расширение через API «chrome.management». Это приводит к его исчезновению с панели инструментов, что не вызывает подозрений у пользователей.
