Posté le octobre 26, 2022 à 7:07
DES EXTENSIONS CHROME COMPTANT PLUS D’UN MILLION D’INSTALLATIONS DÉTOURNENT DES NAVIGATEURS CIBLÉS
Une nouvelle campagne de malvertising a été découverte, détournant des navigateurs ciblés et insérant des liens d’affiliation dans des pages Web. Les analystes de Guardio Labs ont appelé cette campagne « Dormant Colors » car toutes les extensions ont des options de personnalisation des couleurs qui entrent dans le système de la victime sans code malveillant pour rester caché.
Le rapport de Guardio a également révélé que 30 variantes des extensions de navigateur étaient disponibles à la mi-octobre 2022. Elles étaient présentes à la fois sur les boutiques en ligne Edge et Chrome, avec plus d’un million d’installations. La campagne de malvertising commence par des redirections ou des publicités lorsqu’un utilisateur visite un site Web qui propose des téléchargements de vidéos.
Mais lorsque l’utilisateur essaie de regarder la vidéo ou de télécharger un programme, il est redirigé vers une autre page Web qui lui conseille d’installer une extension pour continuer.
Une fois que l’utilisateur accepte et clique sur le bouton « Continuer », il lui est demandé d’installer l’extension de changement de couleur. Mais lorsque l’utilisateur installe l’extension, il est redirigé vers diverses pages qui chargent latéralement des scripts malveillants. Ces scripts indiquent à l’extension comment effectuer le détournement de la recherche et quels sont les sites où placer les liens d’affiliation.
Le rapport Guardio note également que le premier logiciel malveillant forme des éléments sur la page alors qu’il tente désespérément de dissimuler les appels API JavaScript.
Pour terminer ses tâches, il attribue une nouvelle URL à l’objet d’emplacement qui redirige l’utilisateur vers les publicités qui finalisent le processus de tromperie.
Les opérateurs utilisent les malvertisers pour générer des revenus publicitaires
L’extension redirige également les requêtes de recherche pour renvoyer les résultats vers des sites affiliés au développeur de l’extension. Selon les chercheurs, c’est le cas lorsque les acteurs de la menace veulent effectuer un détournement de recherche. Cette action génère des revenus provenant de la vente de données de recherche et d’impressions publicitaires.
Mais Dormant Colors agit de manière plus désespérée que cela. Il peut détourner la navigation de la victime sur une liste étendue de 10 000 sites Web en redirigeant l’utilisateur vers la même page mais en ajoutant un lien d’affiliation différent à l’URL.
Après avoir ajouté les balises à l’URL, chaque fois que l’utilisateur achète sur le site, il génère automatiquement une commission pour les développeurs. Les analystes de sécurité ont également partagé des vidéos qui démontrent le composant de détournement des développeurs de logiciels malveillants.
Les chercheurs ont donc averti que les opérateurs de Dormant Colors peuvent causer plus de dégâts que le détournement d’affiliations lorsqu’ils utilisent la même méthode furtive de chargement latéral de code malveillant.
Les opérateurs de logiciels malveillants peuvent mener des campagnes plus furtives
Guardio a également déclaré que les opérateurs peuvent envoyer les cibles vers des pages de phishing afin de voler les informations d’identification de sites bancaires, de Google Workspace, de Microsoft 365 ou de plateformes de médias sociaux.
Bien qu’il n’y ait aucune preuve que les campagnes mènent des comportements malveillants plus dommageables, les analystes ont déclaré que les opérateurs peuvent les activer en chargeant latéralement des scripts supplémentaires.
Les extensions mentionnées dans la section IoC du rapport ne sont plus disponibles ou ont été mises hors ligne. Cependant, les chercheurs ont noté que les opérateurs peuvent renouveler les extensions avec des noms et des domaines supplémentaires.
Les chercheurs ont averti les utilisateurs qu’ils doivent être prudents lorsqu’ils ajoutent ou installent de nouvelles applications sur leurs smartphones.
Les extensions elles-mêmes n’incluent pas de codes malveillants lorsqu’elles cherchent à entrer dans le Chrome Web Store en passant par le contrôle de sécurité de Google. Mais après avoir franchi cette étape, elles libèrent leurs menaces et volent les revenus publicitaires.
Les chercheurs ont indiqué que les utilisateurs qui ont installé certaines des extensions concernées devront peut-être les supprimer manuellement de leurs appareils. Bien qu’elles aient été supprimées du Chrome Web Store, les utilisateurs qui les ont déjà installées sur leurs appareils courent toujours un risque.
Guardio a également fourni plus d’explications concernant ses conclusions sur la campagne d’extensions malveillantes. Les chercheurs ont averti que, bien que la campagne ait été exposée, elle est toujours en cours, générant de nouvelles extensions, réinventant d’autres couleurs et changeant de domaine. En outre, les développeurs de l’extension malveillante semblent avoir un plan à long terme pour leur attaque. Ils ont mis au point une technique très efficace pour contourner les protocoles de sécurité.
Guardio a conseillé aux utilisateurs qui souhaitent ajouter de nouvelles extensions à leur navigateur de s’assurer qu’ils disposent de la meilleure protection de sécurité ou d’un logiciel anti-virus installé sur leurs appareils.
Les utilisateurs ont en outre été invités à n’utiliser que des sources fiables telles que Microsoft Edge-Add-ons ou Chrome Web Store pour installer de nouvelles extensions. Bien que certaines mauvaises extensions puissent encore se frayer un chemin dans les boutiques de navigateurs légitimes, il est toujours plus sûr d’installer des navigateurs depuis des sites officiels que depuis le web.
