Une extension Chrome, toujours disponible sur le Chrome Web Store, vole les informations de carte des formulaires de paiement en ligne visités par les utilisateurs infectés.
L'extension de navigateur est active depuis février 2018 et a été découverte par les chercheurs en sécurité ElevenPaths. L'extension ne peut pas être recherchée publiquement via le Google Web Store. Le seul moyen d'y accéder consiste à utiliser le lien utilisé par les attaquants pour diffuser l'extension.
L'extension est diffusée grâce à l’injection de JavaScript sur des sites Web, lorsqu'un utilisateur visite un site Web dans lequel le code JavaScript a été injecté, la page Web détecte le navigateur et le redirige vers une page qui demande le téléchargement de l'extension «Reader Flash».
ElevenPaths a effectué une analyse de l'extension, une fois l'extension installée, elle exploite la fonctionnalité de l'API «webRequest.onBeforeRequest» pour intercepter les soumissions de formulaires bancaires des utilisateurs. Plus précisément, l'extension surveille régulièrement l'entrée des détails de la carte de paiement via des expressions régulières et récupère les données des cartes bleus.
Cette extension a été installée 400 fois. Toutefois, l'extension n'étant disponible au téléchargement que via les sites piégés, la propagation n'a pas été énorme. Cette simple extension tire parti d'un simple appel d'API, montrant à quel point il est simple pour les utilisateurs malveillants de récupérer et d'exfiltrer des données personnelles.
Source + image : https://infosecit.com/2019/01/18/the...-card-numbers/