sam. Déc 3rd, 2022

Vous avez trouvé une nouvelle extension Chrome qui embellit votre site Web ? Regarde plus attentivement. Les cybercriminels gagnent de l’argent sur vous en ce moment.

Sous prétexte de vouloir embellir les sites Web, les cybercriminels ont lancé une campagne qui utilise les extensions Chrome pour gagner plus que de simples commissions d’affiliation. Ils peuvent également l’utiliser pour siphonner d’énormes quantités d’informations de connexion. Les extensions de navigateur concernées sont déjà installées sur des millions d’appareils.

Les extensions Chrome veulent embellir les sites Web

Les chercheurs en sécurité de Guardio ont découvert une nouvelle campagne impliquant des extensions pour le navigateur Chrome de Google avec des millions d’installations actives. Les extensions ne chargent le code malveillant réel qu’après l’installation afin de ne pas être détectées pour le moment. Ils ciblent parfois les données de recherche et de navigation de leurs victimes et offrent également la possibilité de lancer des identifiants de phishing.

« Couleurs dormantes” (“Couleurs dormantes« ) est le nom de la campagne détectée. Et non sans raison. Les 30 variantes découvertes par les chercheurs de Guardio prétendent toutes offrir des ajustements optiques. Principalement dans la gamme de couleurs. Et cela se reflète également dans les noms des extensions, qui dans presque tous les cas contiennent les termes «Couleur » ou « style » contenir.

« Cette campagne existe depuis un certain temps et certaines variantes de ces extensions ont déjà été signalées comme potentiellement malveillantes – cependant, cette campagne bat son plein, avec de nombreuses variantes actuellement disponibles dans les magasins Edge et Chrome qui entraînent actuellement des millions de installations actives dans le monde ! »

Rapport Guardio

À première vue, tout semble inoffensif

À première vue, au code source, les extensions Chrome semblent inoffensives et contiennent en fait des fonctions liées à la couleur et au style. Mais l’utilisation de modules dits furtifs leur permet de mettre à jour leur code en arrière-plan. À l’aide d’une infrastructure de serveur, les attaquants collectent des données de télémétrie, ce qui leur permet ensuite de mener des attaques d’ingénierie sociale ciblées et ainsi de capturer des données d’accès.

Voir aussi  HomeLand Justice : cyberattaque majeure contre l'Albanie

Les cybercriminels ciblent non seulement les individus, mais aussi les entreprises. Selon le rapport Guardio, ceux-ci sont particulièrement menacés, car il suffit souvent que l’ordinateur d’un seul employé soit infecté pour avoir accès à l’ensemble du réseau de l’entreprise.

Il vaut la peine de regarder de plus près ces extensions Chrome

Les chercheurs en sécurité utilisent une courte vidéo pour montrer comment les extensions Chrome malveillantes se propagent :

Après l’installation, un nouvel onglet apparaîtra avec un « Merci‘ dans le navigateur, qui finit par rediriger vers une autre publicité. Mais ce qui semble a priori anodin est un réel danger : durant ce processus, l’extension recharge quelques scripts malveillants et une liste de plus de 10 000 domaines.

En fin de compte, cela permet aux attaquants d’afficher à l’utilisateur un contenu différent de celui auquel il s’attendait initialement. Par exemple, les chercheurs utilisent une courte vidéo pour démontrer comment une requête de recherche sur Google conduit finalement à une fausse page de résultats sous le domaine « websearches.club » pistes.

Cela attire finalement les utilisateurs vers d’autres faux sites Web, qui à leur tour redirigent vers le site Web souhaité en utilisant des liens d’affiliation, par exemple. Alors qui après « Amazone” recherche puis commande quelque chose, les attaquants peuvent toucher une commission. Et ce n’est pas la première fois que les extensions Chrome recherchent une commission d’affiliation.

Cependant, les chercheurs en sécurité avertissent que cette arnaque peut également être utilisée pour afficher de fausses pages de connexion afin de voler des informations de connexion à grande échelle. Il convient également de noter que leLa technique d’injection de code fournit une infrastructure étendue de confinement et d’évasion, permettant à la campagne d’être utilisée pour encore plus d’activités malveillantes à l’avenir.« 

Voir aussi  Dragon Lord : Les procureurs abandonnent les poursuites

« Aucune extension qui rend un beau site Web sombre et moche ne vaut la peine…« , concluent les chercheurs à partir de leurs découvertes.