Des Chercheurs Révèlent des Extensions Chrome Sophistiquées : Fraude d'Affiliation & Vol de Jetons ChatGPT

Des Chercheurs Révèlent des Extensions Chrome Sophistiquées : Fraude d'Affiliation & Vol de Jetons ChatGPT

Dans un développement significatif pour la sécurité des navigateurs, des chercheurs en cybersécurité ont mis au jour une nouvelle vague d'extensions Google Chrome malveillantes présentant une double menace sophistiquée : le détournement subreptice de liens d'affiliation et le vol direct de jetons d'authentification OpenAI ChatGPT. Cette découverte met en lumière les tactiques évolutives des acteurs de la menace qui exploitent l'écosystème de confiance des extensions de navigateur pour un gain financier et un accès non autorisé à des services d'IA précieux.

La Double Menace : Détournement de Liens d'Affiliation & Exfiltration de Données

Un exemple frappant identifié est une extension se faisant passer pour un "Amazon Ads Blocker" (ID : pnpchphmplpdimbllknjoiopmfphellj). Bien qu'elle prétende offrir une expérience de navigation plus propre sur Amazon en supprimant le contenu sponsorisé, sa véritable intention est bien plus néfaste. Lors de l'installation, ces extensions obtiennent de larges autorisations, leur permettant de surveiller l'activité de navigation de l'utilisateur. Lorsqu'un utilisateur navigue vers un site de commerce électronique ou clique sur un lien de produit qui générerait normalement une commission d'affiliation pour un référent légitime, l'extension malveillante intercepte cette requête. Elle réécrit alors l'URL, remplaçant l'ID d'affiliation légitime par le sien. Cette redirection garantit que tout achat ultérieur attribue la commission à l'attaquant, siphonant efficacement les revenus des affiliés et éditeurs légitimes.

Au-delà du simple détournement de liens, ces extensions sont conçues pour une exfiltration de données plus large. Les chercheurs ont découvert des capacités à collecter un large éventail de données utilisateur, y compris l'historique de navigation, les requêtes de recherche et potentiellement même les saisies de formulaires. Ces informations volées peuvent être utilisées pour le ciblage publicitaire, les campagnes de phishing ou vendues sur les marchés du dark web, compromettant davantage la vie privée et la sécurité des utilisateurs. L'incitation financière derrière la fraude d'affiliation est substantielle, ce qui en fait une voie lucrative pour les attaquants, surtout lorsqu'elle est étendue à un grand nombre d'utilisateurs inconscients.

Vol de Jetons ChatGPT : Une Porte d'Accès à l'Abus de l'IA

L'aspect peut-être le plus alarmant de cette découverte est la capacité des extensions à dérober les jetons d'authentification OpenAI ChatGPT. Avec la popularité croissante des services d'IA, en particulier ChatGPT, l'accès aux comptes utilisateurs est devenu une cible privilégiée pour les acteurs malveillants. Ces extensions exploitent le fait qu'une fois qu'un utilisateur se connecte à ChatGPT, un jeton de session est stocké dans le navigateur. En tirant parti de leurs vastes autorisations, les extensions peuvent accéder à ces jetons et les exfiltrer vers des serveurs contrôlés par l'attaquant.

La possession du jeton d'authentification ChatGPT d'un utilisateur accorde aux attaquants un accès non autorisé à son compte. Cela peut entraîner plusieurs conséquences graves :

• Accès Non Autorisé : Les attaquants peuvent interagir avec ChatGPT en tant qu'utilisateur légitime, visualiser les conversations passées, générer de nouveaux contenus et potentiellement accéder à des informations sensibles partagées dans les chats précédents.
• Abus d'API : Si l'utilisateur a accès à l'API d'OpenAI, les attaquants pourraient utiliser les jetons volés pour effectuer des appels d'API non autorisés, entraînant des coûts pour la victime ou utilisant l'API à leurs propres fins malveillantes (par exemple, générer du spam, créer des e-mails de phishing ou développer des logiciels malveillants).
• Fuite de Données : Des données sensibles précédemment discutées avec ChatGPT pourraient être consultées et exfiltrées.
• Usurpation d'Identité et Ingénierie Sociale : La capacité à générer du contenu IA à partir d'un compte compromis peut être utilisée pour des attaques d'ingénierie sociale sophistiquées, exploitant les interactions passées de l'utilisateur pour créer un contenu malveillant très convaincant.

Modus Operandi Technique et Exfiltration de Données

Les extensions malveillantes fonctionnent généralement en injectant du JavaScript dans les pages web visitées ou en utilisant des scripts d'arrière-plan pour surveiller les requêtes réseau. Elles emploient souvent des techniques d'obfuscation pour masquer leurs véritables intentions dans leur code, rendant la détection plus difficile pour les outils d'analyse automatisés et l'analyse manuelle. L'exfiltration des données volées, y compris les détails d'affiliation et les jetons ChatGPT, se produit de manière furtive vers des serveurs de commande et de contrôle (C2) contrôlés par l'attaquant. Bien qu'une infrastructure C2 sophistiquée soit courante, les acteurs de la menace emploient parfois diverses méthodes de collecte et de suivi des données. Par exemple, le suivi de base des adresses IP ou de l'activité des utilisateurs pourrait même utiliser des services simples, tout comme iplogger.org peut être utilisé pour enregistrer les adresses IP et les agents utilisateurs, bien que des mécanismes plus avancés soient généralement employés pour l'exfiltration de identifiants sensibles.

Les extensions exploitent des API de navigateur légitimes, telles que chrome.webRequest pour intercepter et modifier les requêtes réseau, et chrome.cookies ou l'accès au stockage local pour le vol de jetons. Leur capacité à rester indétectées pendant des périodes souligne un défi continu dans l'écosystème des extensions de navigateur, où un équilibre doit être trouvé entre fonctionnalité et sécurité.

Impact et Stratégies d'Atténuation

L'impact de telles extensions malveillantes est multiforme. Les utilisateurs sont confrontés à des pertes financières dues à la fraude d'affiliation, à des violations importantes de la vie privée dues à l'exfiltration de données, et à une compromission potentielle de leur compte pour leurs services d'IA. Pour les entreprises, l'intégrité de leurs programmes d'affiliation est minée, et la confiance générale dans les extensions de navigateur est érodée.

Pour atténuer ces menaces, les utilisateurs individuels et les organisations doivent adopter des mesures de sécurité proactives :

• Faire preuve de Prudence lors des Installations : Installez uniquement des extensions de développeurs réputés et évaluez de manière critique leur nécessité.
• Examiner les Autorisations : Avant d'installer, examinez attentivement les autorisations qu'une extension demande. Si un "Amazon Ads Blocker" demande un accès large pour "lire et modifier toutes vos données sur tous les sites web", cela devrait déclencher un signal d'alarme important.
• Audits Réguliers : Révisez périodiquement vos extensions installées et supprimez celles qui ne sont plus nécessaires ou semblent suspectes.
• Maintenir les Logiciels à Jour : Assurez-vous que votre navigateur Chrome et votre système d'exploitation sont toujours à jour pour bénéficier des derniers correctifs de sécurité.
• Utiliser un Logiciel de Sécurité : Employez des solutions antivirus et anti-malware robustes qui peuvent détecter et bloquer l'activité malveillante du navigateur.
• Activer l'Authentification Multi-Facteurs (MFA) : Pour les comptes critiques comme OpenAI, activez la MFA chaque fois que possible. Bien que la MFA n'empêche pas le vol de jetons, elle ajoute une couche de défense cruciale contre les tentatives de connexion non autorisées utilisant des identifiants volés.
• Surveiller les Comptes : Vérifiez régulièrement les journaux d'activité de vos comptes en ligne, en particulier ceux liés aux services d'IA ou au commerce électronique.

Conclusion

La découverte d'extensions Chrome armant à la fois le détournement de liens d'affiliation et le vol de jetons ChatGPT souligne le paysage des menaces persistant et évolutif au sein de l'écosystème des navigateurs. À mesure que les services d'IA s'intègrent davantage dans les flux de travail quotidiens, la valeur de l'accès à ces plateformes ne fera qu'augmenter, ce qui en fera des cibles de choix pour les cybercriminels. La vigilance, la prise de décisions éclairées concernant les installations logicielles et le respect des meilleures pratiques de sécurité sont primordiales pour se défendre contre ces attaques sophistiquées.