Les extensions de navigateur basées sur l’IA restent un vecteur populaire pour les acteurs malveillants cherchant à récolter des informations sur les utilisateurs. Les chercheurs de la société de sécurité LayerX ont analysé plusieurs campagnes ces derniers mois impliquant des extensions de navigateur malveillantes, notamment le système très répandu GhostPoster ciblant Chrome, Firefox et Edge. Dans le dernier, baptisé AiFrame, les acteurs de la menace ont installé environ 30 modules complémentaires Chrome qui se font passer pour des assistants IA bien connus, notamment Claude, ChatGPT, Gemini, Grok et « AI Gmail ». Collectivement, ces contrefaçons comptent plus de 300 000 installations.
Les fausses extensions Chrome ressemblent à des assistants IA populaires
Les extensions Chrome identifiées comme faisant partie d’AiFrame ressemblent à des outils d’IA légitimes couramment utilisés pour la synthèse, le chat, la rédaction et l’assistance Gmail. Mais une fois installés, ils accordent aux attaquants un large accès à distance au navigateur de l’utilisateur. Certaines des fonctionnalités observées incluent la reconnaissance vocale, le suivi des pixels et la lisibilité du contenu des e-mails. Les chercheurs notent que les extensions sont largement capables de collecter des données et de surveiller le comportement des utilisateurs.
Bien que les extensions analysées par LayerX utilisent une variété de noms et de marques, toutes les 30 se sont avérées avoir la même structure interne, la même logique, les mêmes autorisations et la même infrastructure backend. Au lieu d’implémenter des fonctionnalités localement sur l’appareil de l’utilisateur, ils affichent une iframe plein écran qui charge le contenu distant en tant qu’interface de l’extension. Cela permet aux attaquants d’appliquer des modifications silencieusement à tout moment sans nécessiter de mise à jour du Chrome Web Store.
LayerX a une liste complète des noms et des ID d’extension auxquels se référer. Étant donné que les auteurs de menaces utilisent des marques familières et/ou génériques, telles que « Gemini AI Sidebar » et « ChatGPT Translate », vous ne pourrez peut-être pas identifier les contrefaçons au premier coup d’œil. Si un assistant IA est installé dans Chrome, accédez à chrome://extensions, activez Mode développeur dans le coin supérieur droit et recherchez l’ID sous le nom de l’extension. Supprimez tous les modules complémentaires malveillants et réinitialisez les mots de passe.
Comme le rapporte BleepingComputer, certaines extensions malveillantes ont déjà été supprimées du Chrome Web Store, mais d’autres restent. Plusieurs ont reçu le badge « Featured », ajoutant ainsi à leur légitimité. Les acteurs malveillants ont également pu republier rapidement des modules complémentaires sous de nouveaux noms en utilisant l’infrastructure existante, de sorte que cette campagne et d’autres similaires pourraient persister. Examinez toujours attentivement les extensions (ne vous fiez pas uniquement à un nom familier comme ChatGPT) et notez que même les modules complémentaires alimentés par l’IA provenant de sources fiables peuvent être très invasifs.
