Des chercheurs de Microsoft Threat Intelligence ont découvert une extension malveillante pour les navigateurs Chromium. Baptisée » Search for perplexity ai « , elle usurpe l’identité du moteur de recherche Perplexity AI pour espionner ses utilisateurs.
Cette extension a été présente dans le Chrome Web Store, avant son retrait suite au signalement de Microsoft. Toutefois, elle semble y refaire une apparition.
Une extension qui aime brouiller les pistes
Une fois installée, l’extension se définit comme le fournisseur de recherche par défaut du navigateur. Chaque recherche effectuée, que ce soit via la barre d’adresse ou la page de recherche, est d’abord envoyée à un serveur contrôlé par les attaquants, hébergé sur le domaine perplexity-ai[.]online.
Ce serveur enregistre la requête complète, ainsi que des informations comme l’adresse IP et l’user-agent du navigateur. L’extension intercepte même les suggestions de recherche en temps réel.
L’utilisateur est ensuite redirigé vers un moteur de recherche légitime (Perplexity, Google ou Bing), sans se douter de l’interception.
Un ménage à faire dans vos extensions ?
L’objectif principal de l’extension nuisible est l’interception du trafic de recherche et la collecte de données. Aucune preuve ne confirme le vol d’identifiants ou de mots de passe. Cependant, les permissions demandées par l’extension sont étendues.
Les chercheurs soulignent que les permissions declarativeNetRequest accordent à l’extension des capacités de redirection de trafic, de réécriture d’URL et de filtrage sélectif des requêtes.
La collecte de données permet déjà de créer des profils d’utilisateurs détaillés, ouvrant la voie à une exploitation future pour du phishing ciblé ou d’autres formes d’escroquerie. L’identifiant de l’extension est flkebkiofojicogddingbdmcmkpbplcd.