10 mars 2025Ravie LakshmananCybersécurité / logiciels malveillants

Les chercheurs en cybersécurité ont démontré une nouvelle technique qui permet une extension de navigateur Web malveillant pour usurper l’identité de tout module complémentaire installé.

“Les extensions polymorphes créent une réplique parfaite de pixels de l’icône de la cible, de la fenêtre contextuelle HTML, des flux de travail et même temporairement désactive temporairement l’extension légitime, ce qui rend extrêmement convaincant que les victimes croient qu’elles fournissent des informations d’identification à l’extension réelle”, Squarex dit Dans un rapport publié la semaine dernière.

Les informations d’identification récoltées pourraient ensuite être maltraitées par les acteurs de la menace pour détourner des comptes en ligne et obtenir un accès non autorisé à des informations personnelles et financières sensibles. L’attaque affecte tous les navigateurs Web basés sur le chrome, notamment Google Chrome, Microsoft Edge, Brave, Opera et autres.

L’approche se dresse sur le fait que les utilisateurs épinglent généralement les extensions de la barre d’outils du navigateur. Dans un scénario d’attaque hypothétique, les acteurs de la menace pourraient publier une extension polymorphe de la boutique en ligne Chrome (ou de tout marché d’extension) et le déguiser en services publics.

Cybersécurité

Bien que le module complémentaire offre la fonctionnalité annoncée afin de ne susciter aucune suspicion, il active les fonctionnalités malveillantes en arrière-plan en scultant activement la présence de ressources Web qui sont en corrélation avec des extensions cibles spécifiques à l’aide d’une technique appelée Hitting sur les ressources Web.

Une fois qu’une extension cible appropriée est identifiée, l’attaque passe à l’étape suivante, ce qui le fait se transformer en réplique de l’extension légitime. Ceci est accompli en modifiant l’icône de l’extension Rogue pour correspondre à celle de la cible et en désactivant temporairement l’add-on réel via l’API “Chrome.Management”, qui conduit à sa suppression de la barre d’outils.

https://www.youtube.com/watch?v=i5pifa3jhty

“L’attaque d’extension polymorphe est extrêmement puissante car elle exploite la tendance humaine à s’appuyer sur des indices visuels comme une confirmation”, a déclaré Squarex. “Dans ce cas, les icônes d’extension d’une barre épinglée sont utilisées pour informer les utilisateurs des outils avec lesquels ils interagissent.”

Les résultats surviennent un mois après que la société ait également divulgué une autre méthode d’attaque appelée synchronisation du navigateur qui permet de prendre le contrôle du dispositif d’une victime au moyen d’une extension de navigateur apparemment inoffensive.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57