Des extensions de navigateur polymorphes volent des identifiants
Des chercheurs de SquareX Labs ont découvert une nouvelle catégorie d'extensions de navigateur malveillantes, appelées "extensions polymorphes". Ces extensions peuvent imiter des extensions légitimes, telles que les gestionnaires de mots de passe, en temps réel, trompant ainsi les utilisateurs et les incitant à révéler des informations d'identification sensibles. L'attaque se déroule en quatre phases : distribution, reconnaissance, usurpation d'identité et exploitation. Les attaquants distribuent l'extension malveillante déguisée en outil utile sur le Chrome Web Store. Une fois installée, elle identifie les extensions cibles et, lors de leur utilisation, désactive temporairement la version légitime, la remplaçant par une fausse version presque identique. Les informations d'identification sont volées et l'extension légitime est restaurée, sans laisser de trace évidente. Étant donné que l'attaque utilise des fonctionnalités légitimes du navigateur, il n'existe pas de correctif simple, mais SquareX suggère des contre-mesures telles que la restriction des changements soudains d'icône d'extension et l'amélioration de la surveillance des autorisations.