Les chercheurs affirment que les attaquants étendent l’ingénierie sociale basée sur l’IA des campagnes de phishing aux extensions de navigateur.
Google a supprimé une extension de navigateur malveillante se faisant passer pour Perplexity AI après que des chercheurs de Microsoft ont découvert qu’elle interceptait le trafic de recherche des utilisateurs et acheminait les requêtes via des serveurs contrôlés par des attaquants avant de les transmettre à des moteurs de recherche légitimes.
Microsoft Threat Intelligence a déclaré que l’extension se faisait passer pour un moteur de réponse alimenté par l’IA pour inciter les utilisateurs à l’installer. Sur la base de son analyse, la société a déclaré que l’objectif principal de l’extension était d’intercepter le trafic de recherche et de collecter des données de navigation tout en conservant une expérience de navigation normale, rendant l’activité difficile à détecter pour les utilisateurs.
« Microsoft Threat Intelligence a identifié une extension malveillante basée sur Chromium qui usurpe le moteur de réponse Perplexity AI, basé sur l’IA, pour inciter les utilisateurs peu méfiants à l’installer », a déclaré l’équipe de renseignement sur les menaces de l’entreprise dans un article de blog. « Sur la base de notre observation du comportement de l’extension, nous évaluons que son objectif principal est l’interception du trafic de recherche et la collecte de données, ce qui pourrait permettre des cas d’utilisation en aval tels que le profilage, la publicité ciblée ou d’autres formes d’utilisation abusive en fonction de l’intention de l’opérateur. »
Microsoft a déclaré avoir signalé l’extension à Google, qui l’a ensuite supprimée.
L’incident reflète une tendance plus large identifiée par les chercheurs de Microsoft, qui ont averti plus tôt ce mois-ci que les attaquants abusaient de plus en plus des noms et des marques des plates-formes d’IA populaires dans le cadre de campagnes de phishing et de logiciels malveillants.
Extension discrètement interceptée dans les recherches du navigateur
Contrairement aux pirates de navigateur traditionnels qui modifient les résultats de recherche ou inondent les utilisateurs de publicités, l’extension fonctionnait de manière moins visible.
Selon Microsoft, il a abusé des API Manifest V3 de Chromium pour intercepter les recherches saisies via la barre d’adresse du navigateur, transmettant ces requêtes via une infrastructure intermédiaire contrôlée par l’attaquant avant de rediriger les utilisateurs vers des fournisseurs de recherche légitimes. Étant donné que les victimes ont finalement reçu les résultats de recherche attendus, l’activité pourrait rester largement inaperçue, ajoute le blog.
« L’utilisation d’une infrastructure intermédiaire permet à l’opérateur d’observer le trafic de recherche tout en conservant l’expérience de navigation attendue », a déclaré Microsoft Threat Intelligence.
L’attaque s’est également appuyée sur la confiance des utilisateurs plutôt que sur l’exploitation d’une vulnérabilité du navigateur.
« Ce qui rend cela intéressant, c’est que l’attaque ne dépend pas vraiment de l’exploitation d’une vulnérabilité du navigateur. L’utilisateur devient le vecteur d’accès initial », a déclaré Vibhum Dubey, chercheur indépendant en cybersécurité et membre de l’équipe rouge.
Les employés installent régulièrement des outils de productivité basés sur un navigateur, des gestionnaires de mots de passe et des assistants IA, ce qui donne l’impression que les extensions de marque IA sont légitimes, a déclaré Dubey. « Les utilisateurs s’attendent également à ce que les outils d’IA demandent des autorisations étendues pour accéder aux sites Web et au contenu des navigateurs, permettant aux demandes d’autorisation malveillantes de se fondre dans les fonctionnalités légitimes. »
Pourquoi les marques d’IA sont de bons appâts
Pour les attaquants, les marques d’IA de confiance deviennent des leurres d’ingénierie sociale de plus en plus attrayants à mesure que les entreprises accélèrent l’adoption d’outils d’IA générative.
« Les attaquants s’en prennent à la confiance des utilisateurs », a déclaré Sushovan Mukhopadhyay, analyste directeur chez Gartner. « À mesure que les employés adoptent rapidement les outils d’IA, les marques d’IA de confiance deviennent des appâts de grande valeur pour l’ingénierie sociale. »
Les extensions de navigateur peuvent tranquillement devenir « une couche de collecte de données au sein du flux de travail quotidien de l’employé », exposant les requêtes de recherche sensibles, l’activité de navigation et le contexte commercial, a-t-il déclaré.
Mukhopadhyay a déclaré que le problème le plus important est que l’adoption de l’IA dans les entreprises évolue plus rapidement que la gouvernance de la sécurité, créant ainsi des opportunités pour les attaquants d’exploiter l’écart entre l’enthousiasme des employés et les contrôles organisationnels.
Un angle mort de gouvernance
Les deux experts ont déclaré que le problème le plus difficile pour les entreprises est la visibilité.
« La plupart des organisations disposent d’un processus mature pour l’inventaire des logiciels, mais très peu ont le même niveau de visibilité pour les extensions de navigateur », a déclaré Dubey. Au cours des évaluations de sécurité, il a vu des organisations maintenir des listes d’autorisation d’applications strictes tandis que les employés continuaient d’installer des extensions de navigateur avec peu ou pas de surveillance.
Plutôt que de rechercher uniquement les extensions malveillantes connues, les équipes de sécurité devraient surveiller les comportements à risque tels que les modifications apportées aux moteurs de recherche par défaut, les demandes d’accès à tous les sites Web, les communications avec des domaines sans rapport avec l’éditeur revendiqué et les extensions qui demandent des autorisations supplémentaires après l’installation, a-t-il déclaré.
Microsoft a également recommandé aux organisations de vérifier les éditeurs d’extensions, d’examiner attentivement les autorisations demandées et de surveiller les navigateurs d’entreprise à la recherche d’extensions non autorisées ou non approuvées.
Mukhopadhyay a déclaré que les RSSI devraient commencer à traiter les extensions de navigateur comme des logiciels d’entreprise régis plutôt que comme des outils de productivité personnelle.
« Cela signifie utiliser des listes d’autorisation, des examens d’autorisations, une surveillance des paramètres de recherche et des contrôles pour les outils d’IA non approuvés », a-t-il déclaré. Citant les données de Gartner, il a déclaré que d’ici 2029, 30 % des entreprises utiliseront des technologies de navigateur d’entreprise sécurisées pour améliorer l’audit des extensions de navigateur, le profilage des risques et l’application des politiques.
Alors que les navigateurs deviennent le principal espace de travail pour la messagerie électronique, les applications SaaS et les assistants IA, les attaquants continueront probablement à les cibler, a déclaré Dubey. Les organisations doivent donc traiter les extensions de navigateur « comme des fournisseurs de logiciels tiers » qui sont examinées, approuvées et surveillées en permanence comme n’importe quelle autre application d’entreprise.
