МОСКВА, 20 марта, ФедералПресс. Полиморфные расширения – это новый вид угрозы, который позволяет вредоносным программам незаметно подменять любые установленные расширения для браузера. Исследователи SquareX обнаружили, что такие расширения могут маскироваться под известные приложения, полностью копируя их внешний вид, всплывающие окна и функциональность. При этом оригинальное расширение временно отключается, а пользователь, не подозревая подвоха, вводит свои данные в поддельное окно. В результате злоумышленники получают доступ к конфиденциальной информации, учетным данным и финансовым активам жертвы.
Атака начинается с социальной инженерии – злоумышленники публикуют в магазине Chrome замаскированное расширение, например, под инструмент для работы с ИИ. Жертва устанавливает его, после чего программа определяет, какие полезные данные можно украсть. Это происходит с помощью скрытых методов, таких как анализ веб-ресурсов, связанных с популярными расширениями. Когда подходящая цель найдена, полиморфное расширение меняет свой облик, отключает оригинальное приложение и имитирует его интерфейс. Пользователь, ничего не подозревая, вводит свои данные, которые немедленно отправляются злоумышленникам.
После кражи учетных данных атака может развиваться по разным сценариям: от вывода криптовалюты и финансовых махинаций до кражи корпоративных данных и распространения фишинговых атак. Уязвимость особенно опасна, так как пользователи привыкли доверять визуальным элементам интерфейса, а механизмы безопасности Chrome не блокируют такие манипуляции. Более того, используемые API относятся к категории среднего риска и часто применяются легальными расширениями, что затрудняет их обнаружение.
Эксперты SquareX считают, что защита от таких атак требует нового подхода. Традиционные методы проверки разрешений и статического анализа кода больше не работают. Необходимо внедрять динамический анализ, который отслеживает поведение расширений в реальном времени, а также использовать системы мониторинга активности браузерных расширений. SquareX предлагает решение на основе анализа поведения, которое включает в себя политику управления расширениями, систему ранжирования рисков и защиту от несанкционированного доступа к корпоративным сервисам.
Член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов отметил, что Google придерживается политики, согласно которой, если пользователь самостоятельно установил зараженное приложение, то ответственность лежит на нем. По его словам, такой подход безответственный и поэтому рекомендовал переходить на российские браузеры. Это объясняется рядом причин: они разрабатываются с учетом требований нашего законодательства, включая законы о защите персональных данных, что означает хранение информации о пользователях на серверах в России. Это значительно снижает риск передачи данных в другие юрисдикции.
«Кроме того, отечественные браузеры не так популярны в мировом масштабе, это делает их менее привлекательной мишенью для массовых кибератак. Также они лучше интегрированы с локальными антивирусными решениями, что повышает уровень защиты для пользователей в России», – подчеркнул Маслов.
Общественный деятель и правозащитник, председатель Общероссийского общественного движения «Гражданский комитет России» Артур Шлыков отметил, что браузер Chrome, благодаря своей популярности, стал излюбленным инструментом мошенников. При этом Google, несмотря на череду подобных афер, не спешит ужесточать модерацию расширений, доступных для загрузки. Чтобы обезопасить себя, рекомендуется устанавливать только те программы, которые действительно необходимы.
«Всегда внимательно изучайте запрашиваемые разрешения и установите антивирусное ПО с защитой от фишинга. Будьте осторожны с VPN и прокси-расширениями: многие из них, особенно бесплатные, могут собирать и передавать ваши данные», – заключил Шлыков.
Ранее российские общественники прокомментировали инцидент с браузером Google. ИИ в поисковике выдает запрещенную в РФ книгу Адольфа Гитлера как произведение искусства.
Фото: unsplash.com
