Les chercheurs en sécurité de LayerX ont mis au jour une campagne d’attaque baptisée AiFrame. Elle implique une trentaine d’extensions malveillantes. Ces dernières se présentent comme des assistants IA basés sur des outils populaires tels que ChatGPT, Gemini, Claude, Grok, ainsi que des outils IA pour Gmail.
Les extensions ont été téléchargées par plus de 260 000 utilisateurs, certaines étant même mises en avant par le Chrome Web Store.
Comment ces extensions parviennent-elles à tromper la vigilance ?
Plutôt que d’intégrer les fonctionnalités IA localement, les extensions chargent un iframe plein écran qui pointe vers un domaine contrôlé par les attaquants. Cette technique permet aux opérateurs de s’adapter à tout moment, sans avoir besoin de soumettre une mise à jour.
Ce fonctionnement contourne ainsi les processus de révision de la boutique d’extensions. Le module agit alors comme un » proxy privilégié « , donnant à une infrastructure distante un accès direct aux » capacités sensisbles du navigateur » de la victime.
Quelles sont les données ciblées par la campagne d’attaque ?
Les extensions peuvent extraire le contenu lisible de n’importe quelle page web consultée, y compris des informations sur des pages internes ou authentifiées, grâce à la bibliothèque Readability de Mozilla.
Un sous-ensemble d’une quinzaine d’extensions cible Gmail, lisant » le contenu visible des e-mails directement depuis le DOM « , ce qui inclut les brouillons et les conversations.
Les données extraites sont transmises à l’infrastructure tierce des attaquants, vers le domaine tapnetic[.]pro.
Quelle est la stratégie des attaquants pour rester actifs malgré les suppressions ?
Les créateurs de la campagne AiFrame emploient une tactique » d’extension spraying » pour assurer leur persistance. Lorsqu’une extension est détectée et supprimée du Chrome Web Store, une autre, identique mais avec un nouvel identifiant, est rapidement publiée.
Après la suppression de » Gemini AI Sidebar » (80 000 utilisateurs), une copie conforme nommée » AI Sidebar » est apparue peu de temps après, en maintenant le même contrôle backend.
Dans un billet de blog, LayerX publie les indicateurs de compromission pour les extensions.