Posté le décembre 18, 2020 à 16:59

TROIS MILLIONS D’UTILISATEURS INFECTÉS PAR DES EXTENSIONS DE NAVIGATEUR MALVEILLANTES

Un rapport récent a révélé qu’environ trois millions d’internautes auraient installé 13 extensions Edge et 15 Chrome contenant du code malveillant. La société de sécurité Avast a déclaré que l’extension pouvait rediriger les utilisateurs vers des sites de phishing, de publicité, recueillir l’historique du navigateur ou télécharger d’autres logiciels malveillants sur l’appareil de l’utilisateur.

Les chercheurs ont déclaré que les extensions de navigateur qui auraient été infectées sont celles de Vimeo, Facebook et Instagram.

Avast a révélé que le logiciel malveillant pouvait envoyer du trafic aux utilisateurs et était capable de voler des données personnelles comme les adresses e-mail, les anniversaires et les appareils actifs.

L’extension malveillante prétend faciliter le téléchargement pour les utilisateurs lorsqu’ils téléchargent des vidéos à partir de différentes sources. Elle comprend Video Downloader pour VK Unblock, Instagram Story Downloader, Vimeo Video Downloader, Facebook, et d’autres extensions pour Edge et Facebook.

Des codes malveillants découverts dans des extensions basées sur javascript

Le code malveillant a été remarqué dans les extensions basées sur javascript qui leur permettent de télécharger l’accès sur l’ordinateur d’un utilisateur. Certains des utilisateurs qui ont signalé l’invasion des extensions malveillantes ont également signalé que l’extension peut les rediriger vers d’autres sites.

Lorsque l’utilisateur clique sur le lien, l’extension transmet les détails des activités de navigation de l’utilisateur au serveur de contrôle du hacker. Depuis le serveur, une commande est envoyée à l’extension, redirigeant le serveur de l’utilisateur vers une URL saisie avant de le ramener sur le site qu’il a l’intention de visiter.

Le trafic des utilisateurs détourné pour des gains financiers

Selon les recherches d’Avast, les acteurs malveillants cherchent à détourner le trafic des utilisateurs pour des gains financiers, malgré la présence de code pour exécuter les fonctions malveillantes.

« Pour chaque redirection vers un domaine tiers, les cybercriminels recevraient un paiement », a déclaré Avast.

Avast a également souligné que les extensions ont été découvertes le mois dernier, mais que certaines d’entre elles sont opérationnelles depuis décembre 2018, date à laquelle les utilisateurs ont commencé à signaler des problèmes de redirection.

Un chercheur en logiciels malveillants chez Avast, Jan Rubin, a déclaré que l’équipe de recherche ne pouvait pas dire si les extensions avaient été créées avec le logiciel malveillant dès le début ou si les codes avaient été ajoutés lors d’une mise à jour.

Le logiciel malveillant se cache efficacement

Les chercheurs ont également averti que le logiciel malveillant peut rester sous le radar et éviter d’être détecté et retiré par la suite. Avast a également déclaré que les extensions sont toujours disponibles en téléchargement, bien que l’équipe de Google Chrome et de Microsoft ait été informée.

Les chercheurs ont déclaré qu’il est possible que l’extension ait été infectée pendant ses phases de popularité. Et plusieurs extensions comptant peu d’installations sont devenues très populaires avec plusieurs dizaines de milliers d’installations.

La plupart d’entre elles sont devenues populaires en se présentant comme des extensions pour aider les utilisateurs à télécharger facilement du contenu multimédia à partir de différents sites de médias sociaux tels que Spotify, Facebook, Vimeo et Instagram.

Cependant, Google n’a pas répondu immédiatement lorsqu’il a été contacté pour obtenir des informations supplémentaires sur la situation ou l’état d’avancement de son enquête.

D’autre part, Microsoft a déclaré qu’elle continuait à enquêter sur l’incident.

24 heures après la publication des découvertes d’Avast, il restait 12 extensions Chrome, ce qui signifie que seulement 3 ont été retirées. Pour les extensions Edge, toutes étaient encore téléchargeables. Une source proche de la situation a révélé que Microsoft n’a pas confirmé le rapport d’Avast.

Avast a recommandé aux utilisateurs qui ont déjà installé les extensions de les supprimer dès que possible, étant donné que Microsoft et Google continuent d’enquêter sur l’incident. Ils peuvent décider de les réinstaller une fois l’enquête terminée et les problèmes résolus.

Parmi les extensions Edge infectées, on peut citer

App Phone pour Instagram, Direct Message pour Instagram, SoundCloud Music Downloader, Stories pour Instagram, Universal Video Downloader, Upload photo pour Instagram, Vimeo™ Video Downloader, Volume Controller.

Voici une liste de certaines des extensions Chrome infectées

App Phone pour Instagram, Direct Message pour Instagram, DM pour Instagram, Downloader pour Instagram, Invisible mode pour Instagram, Spotify Music Downloader, Stories pour Instagram, The New York Times News, et Universal Video Downloader.