Investigadores de ciberseguridad han demostrado una novedosa técnica que permite a una extensión maliciosa del navegador web hacerse pasar por cualquier complemento instalado.

"Las extensiones polimórficas crean una réplica perfecta de píxeles del icono del objetivo, popup HTML, flujos de trabajo e incluso desactiva temporalmente la extensión legítima, por lo que es extremadamente convincente para las víctimas creer que están proporcionando credenciales a la extensión real", dijo SquareX en un informe publicado la semana pasada.

Las credenciales cosechadas podrían entonces ser abusadas por los actores de amenaza para secuestrar cuentas en línea y obtener acceso no autorizado a información personal y financiera sensible. El ataque afecta a todos los navegadores web basados en Chromium, incluyendo Google Chrome, Microsoft Edge, Brave, Opera, y otros.

El enfoque se basa en el hecho de que los usuarios comúnmente fijan extensiones a la barra de herramientas del navegador. En un hipotético escenario de ataque, los actores de amenaza podrían publicar una extensión polimórfica a la Chrome Web Store (o cualquier mercado de extensiones) y disfrazarlo como una utilidad.

Si bien el complemento proporciona la funcionalidad anunciada para no despertar ninguna sospecha, activa las características maliciosas en segundo plano escaneando activamente la presencia de recursos web que se correlacionan con extensiones específicas de destino utilizando una técnica llamada golpe de recursos web.

Una vez que se identifica una extensión objetivo adecuada, el ataque se mueve a la siguiente etapa, causando que se transforme en una réplica de la extensión legítima. Esto se logra cambiando el icono de la extensión maliciosa para que coincida con la del objetivo y deshabilita temporalmente el complemento real a través de la API "chrome.management", lo que lleva a ser eliminado de la barra de herramientas.

"El ataque de extensión polimórfica es extremadamente poderoso ya que explota la tendencia humana a confiar en las señales visuales como confirmación", dijo SquareX. "En este caso, los iconos de extensión de una barra fija se utilizan para informar a los usuarios de las herramientas con las que están interactuando".

Los hallazgos llegan un mes después de que la compañía revelara otro método de ataque llamado Browser Syncjacking que permite incautar el control del dispositivo de una víctima mediante una extensión aparentemente inocua del navegador.

Fuente: https://thehackernews.com/2025/03/researchers-expose-new-polymorphic.html