Navigateur Chrome : 100 extensions qui volent des données. Une vague importante d’extensions prétendument fiables sur le Chrome Web Store a été découverte en train d’héberger des logiciels malveillants. Et ce, malgré le bon fonctionnement de leurs fonctions principales. Si cela vous semble familier, c’est probablement parce que c’est le cas. Nous avons déjà constaté de nombreux exemples de ce type sur Firefox, Chrome, Edge et d’autres navigateurs.
Au début tout va bien !
Le plus inquiétant, c’est que toutes ces extensions ne sont pas malveillantes dès le départ. Elles ne sont pas achetées ultérieurement pour être détournées par des personnes mal intentionnées, même si ce n’est pas le cas ici. En effet, un ensemble de 108 extensions provenant de cinq éditeurs (Yana Project, GameGen, SideGames, Rodeo Games et InterAlt) étaient malveillantes dès leur conception et ont permis d’obtenir environ 20 000 installations combinées auprès d’utilisateurs du Chrome Web Store à ce jour.
Merci à l’équipe de recherche sur les menaces de Socket
La découverte et la révélation de cette campagne de logiciels malveillants sont à mettre au crédit de l’équipe de recherche sur les menaces de Socket. Socket est surtout connu pour son logiciel de sécurité en temps réel destiné aux développeurs d’applications. Mais, comme d’autres entreprises spécialisées en cybersécurité, elle n’hésite pas à divulguer ce type de campagnes dès leur découverte. Les équipes de Google Safe Browsing et du Chrome Web Store ont également été informées de cette campagne de logiciels malveillants en amont.
Quelle est l’ampleur de cette attaque ?
En résumé, elle dépend de l’extension installée, mais elle est considérable. Approximativement 54 extensions volent les identités des comptes Google via OAuth2, tandis que 45 autres contiennent une porte dérobée universelle qui ouvre des URL arbitraires au démarrage du navigateur. Les extensions restantes vont des injections de publicités et de scripts jusqu’à l’exfiltration des sessions Telegram Web toutes les 15 secondes. Cette dernière est particulièrement inquiétante et correspond directement aux extensions liées à Telegram, comme Telegram Multi-Account.
Les extensions en question sont dorénavant désactivées
Heureusement, les extensions en question ont été désactivées depuis que Socket a révélé le réseau sous-jacent. Ce qui peut être attribué à des cybercriminels ukrainiens/russes ou à des cybercriminels se faisant passer pour ukrainiens/russes. La page du blog de Socket contient la liste complète des 108 extensions infectées et fournit des instructions pour les supprimer et limiter les dégâts, mais la plupart d’entre vous n’auront probablement pas à s’en préoccuper.
Pour plus d’informations sur le Navigateur Chrome : cliquez ici.
