Les chercheurs de SquareX Labs ont expérimenté un nouveau type d’attaques basé sur des extensions polymorphes. Concrètement, une extension malveillante prend discrètement la forme d’une extension légitime afin de récupérer les données sensibles, avant de reprendre sa forme originelle. On vous explique. Les pirates informatiques faisant preuve de beaucoup d’imagination pour piéger leurs victimes, il est plus que nécessaire d’être vigilant en permanence. C’est notamment le cas lorsqu’on télécharge un programme ou une extension. Avec la découverte des chercheurs de SquareX Labs, c’est une attention de tous les instants qui est requise. En effet, ces derniers viennent d’alerter Google sur le danger des attaques polymorphes. Une extension qui masque ses intentions Tout commence avec une extension pour navigateur, en l’occurrence Google Chrome (mais c’est aussi applicable à Edge ou encore Opera). Celle-ci se présente sous une forme plutôt légitime, promettant une fonction pratique. Dans le cas présent, il s’agit d’un outil marketing reposant sur l’IA. L’intelligence artificielle étant très en vogue, certaines personnes pourraient bien se laisser tenter. C’est d’autant plus vrai que les pirates utilisent certaines tactiques promotionnelles, notamment via les réseaux sociaux, pour promouvoir les extensions en question. Une fois l’extension installée et ajoutée à la barre d’outils, le piège se met en place sans que la victime ne s’en aperçoive. En effet, l’extension fraîchement ajoutée va abuser de l’API, “chrome.management” dans le cas présent, à laquelle l’utilisateur lui a autorisé l’accès durant le processus d’installation. Elle va donc utiliser cet accès pour déterminer quelles sont les autres extensions installées. Ensuite, elle pourra en manipuler les accès. Si jamais l’accès ne lui est pas permis, l’extension va contourner le problème en injectant un script pour vérifier directement sur les pages web consultées quelles sont les extensions susceptibles d’être installées. Cette étape est cruciale puisque c’est cette dernière qui va lui permettre de s’adapter à l’environnement de l’utilisateur sans se faire détecter. Bien entendu, certaines extensions sont particulièrement ciblées, dont tous les gestionnaires de mots de passe mais également toutes celles qui sont liées à des données bancaires ou à des portefeuilles de cryptomonnaies. La polymorphie en action Une fois la phase d’identification faite, le code malveillant va créer une réplique parfaite de l’extension ciblée, tout en masquant temporairement cette dernière. Ainsi, lorsque l’utilisateur pensera y accéder, tout semblera normal pour lui, jusqu’au logo recréé au pixel près. Il se sentira donc en confiance pour utiliser les données. Pour l’inciter à le faire, l’application pirate indiquera simplement que l’utilisateur a été déconnecté et qu’il doit se connecter à nouveau pour l’utiliser. L’encart de connexion qui s’affichera, aussi parfaitement reproduit soit-il, sera un trompe l’œil. La victime, en confiance, entrera ses données de connexion. Sans le savoir, elle les transmettra ainsi aux arnaqueurs. Ce qui est encore plus sournois, c’est qu’une fois les données transmises, l’application polymorphe reprendra sa forme originelle et réactivera l’application légitime qui assurera sa fonction. Ainsi, le piratage est totalement invisible pour la victime. Quels sont les conséquences ? Pendant ce temps, les pirates informatiques pourront utiliser les données sensibles pour se connecter à la session de l’utilisateur. Ils pourront alors récupérer tout ce qui est disponible. Par exemple, dans le cas d’un gestionnaire de mots de passe, ils pourront tout simplement obtenir ces derniers. Cela leur permettra d’accéder à tous les sites et toutes les applications pour lesquels les mots de passe étaient sauvegardés. Ils seront alors en mesure d’usurper votre identité pour réaliser des opérations. Mais ils pourront également propager des éléments pour hameçonner d’autres victimes en utilisant vos comptes. Ces dernières se sentiront en confiance et se feront également piéger. Comment s’en prémunir ? Malheureusement, ces extensions polymorphes étant accessibles par des moyens légitimes, la seule véritable arme pour s’en préserver reste la méfiance. Ne téléchargez jamais une extension que vous ne connaissez pas, et ce, même si vous en avez entendu du bien sur les réseaux sociaux. L’attaque étant indétectable par l’utilisateur, la seule solution serait la mise en place d’outils natifs pour les navigateurs. Il faudrait que ces derniers puissent analyser le comportement des extensions installées pour repérer et empêcher ces attaques polymorphes.