Posté le août 31, 2022 à 7:51
DÉCOUVERTE DE 5 EXTENSIONS MALVEILLANTES DE GOOGLE CHROME AVEC 1,4 MILLION DE TÉLÉCHARGEMENTS
Les chercheurs en sécurité de McAfee ont découvert cinq extensions Google Chrome qui traquent l’historique de navigation et les activités des utilisateurs. Selon le rapport, les extensions ont été collectivement téléchargées plus de 1,4 million de fois.
Les extensions malveillantes sont utilisées pour surveiller les visites des utilisateurs sur les sites de commerce électronique. Elles sont également utilisées pour mettre à jour le cookie du visiteur et faire croire qu’il provient d’un lien de référence. Par conséquent, les opérateurs des cinq extensions reçoivent des commissions d’affiliation pour tout achat effectué sur les boutiques électroniques.
Les cinq extensions malveillantes découvertes sont AutoBuy Flash Sales (20 000 téléchargements), FlipShope Price Tracker Extension (80 000 téléchargements), Full Page Screenshot Capture (200 000 téléchargements), Netflix Party 2 (300 000 téléchargements) et Netflix Party, avec plus de 800 000 téléchargements.
Les extensions se déguisent en produits authentiques
Comme plusieurs autres extensions malveillantes, celles-ci se déguisent en services authentiques. Elles présentent toujours les fonctionnalités promises aux utilisateurs, ce qui rend difficile leur détection en tant que produits malveillants. Bien qu’elles puissent ne pas avoir d’impact direct sur les utilisateurs, elles présentent de sérieux risques pour la vie privée de ceux qui les téléchargent. Une fois qu’ils ont obtenu l’accès au système de l’utilisateur, ils continuent à remplir leur fonction mais d’autres données graves peuvent être utilisées par d’autres logiciels malveillants à l’avenir.
Les personnes qui utilisent les extensions répertoriées peuvent ne pas les trouver nuisibles en raison de la fonctionnalité qu’elles fournissent. Mais il est recommandé de les supprimer de leur navigateur car il peut y avoir une arrière-pensée derrière leurs fonctions.
Les extensions fonctionnent de manière similaire
Les chercheurs de McAfee ont constaté que les cinq extensions qu’ils ont découvertes présentent des caractéristiques et des comportements similaires. Cela montre qu’elles pourraient être exploitées par une seule entité ou un seul groupe. Le manifeste de l’application web qui contrôle le comportement des extensions sur le système, charge un script multifonctionnel. Celui-ci transmet les données de navigation à un domaine contrôlé par les acteurs de la menace.
Les opérateurs fournissent les données par le biais de requêtes POST chaque fois que l’utilisateur visite une nouvelle URL. De là, les informations sont livrées à l’acteur de la menace, y compris la localisation de l’appareil, l’ID de l’utilisateur, l’URL sous forme base64 et l’URL de référence codée.
Une fois que le site visité correspond à une entrée quelconque d’une liste de sites avec lesquels l’auteur est affilié, le serveur réagit à B0.js avec certaines fonctions.
Dans un premier temps, le script reçoit l’ordre de planter l’URL disponible sous forme d’iframe sur le site visité. Ensuite, l’instruction « Result[‘e’] setCookie » demande à B0.js de remplacer le cookie par celui fourni. Cela n’est possible que si l’extension a reçu les autorisations nécessaires pour exécuter les fonctions.
Pour clarifier davantage les choses, McAfree a également mis à disposition une vidéo montrant comment les modifications de cookie et d’URL se produisent en temps réel.
Les opérateurs ont conçu les extensions pour échapper à la détection
Les chercheurs ont également expliqué comment les acteurs de la menace positionnent les extensions malveillantes pour échapper à la détention. Ils ont noté que certaines des extensions tardent à être détectées pendant environ 15 jours à partir du moment où elles ont été installées. Pendant cette période, elles ne remplissent que les fonctions pour lesquelles elles sont conçues. Après 15 jours, elles commencent à envoyer les activités du navigateur au serveur de contrôle.
En ce moment, l’extension Price Tracker et Full Page Screenshot Capture sont toujours disponibles sur le Chrome Web Store.
En revanche, les extensions Netflix Party ne sont plus disponibles sur la boutique, mais cela ne signifie pas qu’elles ont été supprimées des navigateurs Web. Cela signifie que les utilisateurs sont tenus de les désinstaller manuellement de leurs navigateurs.
Alors que les extensions remplissent leurs fonctions comme le souhaite l’utilisateur, elles injectent également un code indésirable dans le navigateur de l’utilisateur. L’extension cherche d’abord à savoir si elle peut planter un code de revenu d’affiliation chaque fois que l’utilisateur passe à une nouvelle page Web. Cela permet aux opérateurs de l’extension d’obtenir un bénéfice en tant qu’affilié chaque fois que l’utilisateur achète des choses en ligne.
Au début du mois, les chercheurs en cybersécurité de Kaspersky ont estimé que plus de 1,3 million d’utilisateurs ont été affectés par des extensions de navigateur malveillantes au premier semestre 2022. Sur une échelle beaucoup plus longue, on estime que 4,3 millions d’utilisateurs ont été affectés par des extensions malveillantes entre janvier 2020 et juin 2022. La plupart de ces utilisateurs ont installé les extensions en pensant qu’elles étaient authentiques.
Google a toujours pris une position sérieuse contre ces extensions malveillantes. Mais alors que le géant de la technologie continue de supprimer les extensions en question, d’autres apparaissent à un rythme alarmant.
