【安全资讯】恶意Chrome扩展可伪装密码管理器的新攻击

概要：

近期，SquareX Labs揭示了一种新型的“多态”攻击，恶意Chrome扩展能够伪装成浏览器扩展，包括密码管理器、加密钱包和银行应用，从而窃取用户的敏感信息。这一攻击方式的实用性和可行性在最新版本的Chrome中得到了验证，SquareX已向谷歌进行了负责任的披露。

主要内容：

该攻击首先通过在Chrome网上应用店提交恶意的多态扩展开始。SquareX以一个AI营销工具为例，展示了该扩展如何承诺提供功能，诱使受害者安装并固定在浏览器上。恶意扩展利用'chrome.management' API获取已安装扩展的列表。如果没有该权限，攻击者还可以通过向受害者访问的网页注入资源来实现相同目的。

一旦获取到已安装扩展的列表，恶意扩展会将信息发送到攻击者控制的服务器。如果发现目标扩展，攻击者就会指示恶意扩展伪装成目标扩展。在演示中，攻击者通过禁用真实的1Password扩展，或使用用户界面操作技巧将其隐藏，来伪装成1Password。与此同时，恶意扩展更改图标和名称，并显示与真实扩展相匹配的假登录弹窗。

为了迫使用户输入凭据，恶意扩展会在用户尝试登录时显示假“会话已过期”提示，诱使用户通过钓鱼表单重新登录，从而将输入的凭据发送给攻击者。一旦敏感信息被窃取，恶意扩展会恢复到原始外观，真实扩展也会重新启用，表面上看一切正常。SquareX建议谷歌采取特定防御措施来应对这种攻击，但目前尚未有有效的防范措施。