Posté le février 16, 2020 à 8:38
LES EXTENSIONS DE GOOGLE CHROME CIBLÉES PAR UNE OPÉRATION MASSIVE DE LOGICIELS MALVEILLANTS
Le chercheur en sécurité Jamila Kaya a découvert que le premier lot de l’extension Google Chrome a été touché par une attaque malveillante. Elle a découvert l’extension malveillante alors qu’elle effectuait des tâches de routine pour chasser les cybermenaces.
Lorsque l’attaque a été découverte, Google n’avait d’autre choix que de supprimer plus de 500 extensions de sa boutique en ligne. Malheureusement, plus de 1,7 million d’utilisateurs de Chrome avaient téléchargé et installé les extensions concernées dans la boutique en ligne de Google.
Certaines des extensions malveillantes déjà retirées
Les recherches de l’équipe Cisco Duo ont révélé que l’opération anti-logiciel malveillant est active depuis 2018, comme l’a publié un rapport récent.
Après avoir découvert l’attaque du logiciel malveillant, Kaya a contacté l’équipe Cisco et l’a informée des extensions Chrome infectées et de la possibilité que l’attaque fasse partie d’une campagne de logiciels malveillants plus importante. Kaya a déclaré que les extensions offraient des services publicitaires et qu’elles faisaient partie d’un réseau de plugins imitateurs qui partagent des fonctionnalités identiques.
Elle a également mentionné que grâce à un travail d’équipe, elle et l’équipe de Due ont réussi à faire tomber plusieurs dizaines d’extensions infectées. Ils ont également utilisé CRXcavator.io pour découvrir 70 modèles de correspondance des extensions concernées, avant de communiquer leur découverte à Google.
L’équipe Cisco Duo a également révélé que le fait que les attaquants utilisent une activité Internet légitime pour mener leur attaque suscite de plus en plus d’inquiétudes. Ils ont déclaré que l’un des canaux les plus couramment utilisés par les acteurs est celui des cookies publicitaires, qui peuvent être redirigés vers eux.
Cette méthode est communément appelée «malvertising», ce qui est étrangement difficile à repérer. Elle est généralement utilisée dans d’autres programmes et sert de moyen pour différentes formes d’autres attaques, notamment l’exploitation, le phishing, l’exfiltration de données, ainsi que la fraude publicitaire.
L’équipe de Cisco a également souligné que le code des extensions concernées peut envoyer les utilisateurs vers des liens d’affiliation sur des sites ou même les rediriger vers un site de téléchargement qui contient des logiciels malveillants.
De plus, les extensions étaient également utilisées pour rediriger les navigateurs vers différents domaines par le biais de publicités. Bien que nombre de ces publicités soient authentiques (notamment celles de Best Buy, Dell et Macy’s), elles sont également accompagnées de flux de publicités malveillantes qui redirigent les utilisateurs vers des sites de phishing et de logiciels malveillants.
Les extensions de navigateur pourraient rencontrer divers problèmes
Les chercheurs de Cisco ont également souligné la vulnérabilité des extensions de navigateur aux attaques malveillantes en raison de leur nature. En 2017, une extension Google Chrome a été infectée par un logiciel malveillant qui envoyait des e-mails de phishing et volait de nombreuses données utilisateur. Il y a deux ans, les chercheurs ont découvert que quatre extensions de la boutique en ligne Google Chrome étaient infectées par un logiciel malveillant. Le magasin en ligne comptait au total plus de 500 000 utilisateurs.
Et le mois dernier, l’équipe de Mozilla Firefox et Google Chrome a découvert une extension web malveillante qui volait des données et effectuait du code à distance, ainsi que d’autres actions malveillantes.
Pourquoi les hackers attaquent les extensions de navigateur
Une chercheuse en sécurité de PerimeterX, Aneet Naik, a récemment déclaré que les extensions de navigateur sont le grand ouest de l’internet. La boutique chrome à elle seule dispose de plus de 200 000 extensions disponibles. Cependant, les utilisateurs ne savent pas que ces extensions peuvent accéder à la plupart des données de n’importe quelle page, ce qui inclut leurs numéros de carte de crédit, leurs informations bancaires et leurs détails de courrier électronique.
Bien que la plupart de ces extensions offrent des services à valeur ajoutée, elles permettent également d’obtenir des informations personnelles importantes des utilisateurs. Lorsqu’elles sont attaquées, les acteurs pourraient facilement collecter et abuser des données des utilisateurs.
Google a réagi rapidement
Les chercheurs ont ajouté que lorsque Google a été contacté à propos de ce développement, il a réagi rapidement. Un porte-parole de Google a déclaré que l’entreprise a toujours été réactive chaque fois qu’elle était contactée par la communauté des chercheurs sur des choses qui violaient les règles de Google.
Outre la réponse rapide, Google a rappelé qu’elle effectue généralement des recherches pour découvrir les extensions qui pourraient être vulnérables aux attaques par l’utilisation de comportements, de code et de techniques comparatives.
Bien que Google ait retiré les extensions Chrome concernées, les hackers pourraient encore lancer d’autres attaques sur les extensions. Google a conseillé aux utilisateurs de vérifier les extensions de leur navigateur et de supprimer celles qui ne sont pas utilisées. Ils devraient également se mettre à jour régulièrement, selon Google.