Espionnage de masse : de fausses extensions d'IA compromettent
TL;DR
Des chercheurs en cybersécurité découvrent une campagne malveillante impliquant des extensions du navigateur Chrome déguisées en assistants d'intelligence
Des chercheurs en cybersécurité ont découvert une campagne malveillante impliquant des extensions du navigateur Chrome, déguisées en assistants d'intelligence artificielle. Environ 260 000 utilisateurs ont été affectés par 30 extensions qui, bien que paraissant distinctes, partagent le même code interne et infrastructure.
Ces extensions, qui se sont installées sous la promesse d'aider à la rédaction de textes et d'emails, présentaient une façade de légitimité et possédaient des autorisations élevées, essentielles à leur fonctionnement, mais représentent également une vulnérabilité significative.
Opération trompeuse
Les extensions étaient appelées assistants d'IA, promettant diverses fonctionnalités. Plus de 260 000 installations ont eu lieu, dont beaucoup étaient dirigées par un label "Mise en avant" de la boutique officielle d'extensions de Google, ce qui augmentait la confiance des utilisateurs.
Les attaquants ont utilisé une technique appelée iframe distant. Cela permet à l'extension d'ouvrir une fenêtre intégrée qui charge du contenu depuis un serveur externe, dans ce cas, contrôlé par les criminels. Le serveur était désigné comme tapnetic.pro, dont le contenu pouvait être modifié à tout moment.
Captures de données et espionnage
Le contenu en question incluait des textes des pages que la victime était en train de consulter, extraits avec l'aide d'une bibliothèque de Readability, de Mozilla. Le vol d'informations s'étendait jusqu'aux pages internes des entreprises et aux systèmes authentifiés.
De plus, l'extension pouvait activer le microphone de la victime, utilisant la Web Speech API, pour enregistrer des conversations sans le consentement de l'utilisateur, cataloguant des informations critiques.
Espionnage de Gmail
Une extension sur deux avait un module spécialisé dans l'espionnage de Gmail. Ces scripts étaient activés dès que la page commençait à se charger, permettant aux attaquants de lire le contenu des emails consultés par les victimes.
L'extension pouvait également surveiller et capturer des conversations et des compositions en temps réel, envoyant des données vers les serveurs des attaquants.
Infrastructure de contrôle à distance
L'opération malveillante était coordonnée depuis le domaine tapnetic.pro, caractérisant une infrastructure de commandement et de contrôle (C2). Le site utilisé par les attaquants avait une apparence commune, mais n'offrait pas de services réels, servant uniquement de façade.
Les sous-domaines permettaient que, si l'un d'eux était bloqué, d'autres continuent de fonctionner, garantissant la continuité de l'opération.
Manœuvres d'évasion
Les criminels ont montré une habileté à contourner les suppressions d'extensions. Les extensions supprimées réapparaissaient rapidement sous de nouveaux noms, mais avec le même code, utilisant la technique connue sous le nom de extension spraying, qui augmente la résilience de l'opération.
Implications de la campagne
La combinaison sophistiquée de facteurs, comme la confiance en les extensions d'IA, la légitimité apparente conférée par la Chrome Web Store, et l'architecture technique qui masque la véritable fonctionnalité, aboutit à un système difficile à détecter.
Cette situation soulève des préoccupations concernant la sécurité et la vie privée des utilisateurs sur internet, soulignant la nécessité d'une vigilance accrue et d'une éducation numérique. L'évolution de ces tactiques fournit un avertissement sur les risques associés à l'utilisation d'une technologie apparemment sécurisée.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
