Une attaque « polymorphe » nouvellement conçue permet aux extensions Chrome malveillantes de se transformer en extensions de navigateur, y compris les gestionnaires de mots de passe, les portefeuilles cryptographiques et les applications bancaires, pour voler des informations sensibles.
L’attaque a été conçue par SquareX Labs, qui met en garde contre son caractère pratique et sa faisabilité sur la dernière version de Chrome. Les chercheurs ont divulgué de manière responsable l’attaque à Google.
Extensions chromées à changement de forme
L’attaque commence par la soumission de l’extension polymorphe malveillante sur la boutique en ligne de Chrome.
SquareX utilise un outil de marketing IA à titre d’exemple, qui offre la fonctionnalité promise, incitant les victimes à installer et à épingler l’extension sur leur navigateur.
Pour obtenir une liste des autres extensions installées, l’extension malveillante abuse du chrome.API de gestion, à laquelle il a eu accès lors de l’installation.
Si l’extension malveillante ne dispose pas de cette autorisation, SquareX indique qu’il existe un deuxième moyen plus furtif d’y parvenir, impliquant l’injection de ressources sur les pages Web visitées par la victime.
Le script malveillant tente de charger un fichier ou une URL spécifique unique aux extensions ciblées, et s’il se charge, on peut en conclure que l’extension est installée.
La liste des extensions installées est renvoyée à un serveur contrôlé par un attaquant, et si une extension ciblée est trouvée, les attaquants ordonnent à l’extension malveillante de se transformer en celle ciblée.
Dans la démonstration de SquareX, les attaquants se font passer pour l’extension 1Password password manager en désactivant d’abord celle légitime à l’aide de chrome.API de gestion, ou si les autorisations ne sont pas disponibles, tactiques de manipulation de l’interface utilisateur pour le cacher à l’utilisateur.
Simultanément, l’extension malveillante change son icône pour imiter celle de 1Password, change son nom en conséquence et affiche une fausse fenêtre contextuelle de connexion qui correspond à l’apparence de la vraie.
Pour forcer l’utilisateur à entrer ses informations d’identification, lorsqu’il tente de se connecter à un site, une fausse invite « Session expirée » est affichée, faisant croire à la victime qu’elle a été déconnectée.
Cela invitera l’utilisateur à se reconnecter à 1Password via un formulaire de phishing qui renvoie les informations d’identification saisies aux attaquants.
Une fois les informations sensibles envoyées aux attaquants, l’extension malveillante retrouve son apparence d’origine et la véritable extension est réactivée, de sorte que tout redevient normal.
Une démonstration de cette attaque peut être vue ci-dessous, où l’extension malveillante usurpe l’identité de 1Password.
Mesures d’atténuation
SquareX recommande à Google de mettre en œuvre des défenses spécifiques contre cette attaque, telles que le blocage des icônes d’extension brusques et des modifications HTML sur les extensions installées ou au moins d’avertir les utilisateurs lorsque cela se produit.
Cependant, au moment de la rédaction de cet article, il n’existe aucune mesure pour empêcher ce type d’usurpation d’identité trompeuse.
Les chercheurs de SquareX ont également noté que Google classait à tort le « chrome ».l’API de gestion est considérée comme un « risque moyen », et elle est largement utilisée par les extensions populaires telles que les stylistes de page, les bloqueurs de publicités et les gestionnaires de mots de passe.
Breachtrace a contacté Google pour demander un commentaire sur le sujet, et nous mettrons à jour cet article dès que nous aurons de ses nouvelles.