Pratiquement aucun logiciel de sécurité ne reconnaît les logiciels malveillants installés sur plus de 200 000 joueurs Roblox, qui volent également les actifs de Rolimon.
Deux extensions Chrome nommées « SearchBlox” contiennent une porte dérobée que les attaquants peuvent utiliser pour voler les informations d’identification de la populaire plateforme de jeux en ligne Roblox, ainsi que des actifs sur la plateforme de trading Rolimons. Les programmes de sécurité sont encore largement aveugles à cette attaque. Les gamers doivent donc rester vigilants, d’autant que Roblox s’adresse avant tout à un très jeune public.
Deux extensions de navigateur fournissent à leur développeur des informations d’identification Roblox
Selon BleepingComputer, jusqu’à récemment, le Chrome Web Store avait deux résultats de recherche pour « SearchBlox« , qui comportaient tous deux la porte dérobée. Ils ont annoncé la recherche sur les serveurs Roblox d’un joueur souhaité.
Un compte d’information non officiel de Roblox a alerté la communauté du danger via Twitter.
Les identifiants des deux extensions de navigateur malveillantes sont :
- blddohgncmehcepnokognejaaahehncd (plus de 200 000 téléchargements)
- ccjalhebkdogpobnbdhfpincfeohonni (959 téléchargements)
Si vous avez installé l’une de ces deux extensions Chrome, vous devez les supprimer dès que possible et changer votre mot de passe pour accéder à Roblox. Mais changer les mots de passe des autres applications utilisées ne peut certainement pas faire de mal dans ce contexte.
Flux d’informations d’identification Roblox vers un domaine nouvellement enregistré
Les deux extensions semblent charger un « image.txt” qui contient la balise HTML IMG. Un gestionnaire d’événements y est enregistré, qui exécute du code JavaScript codé par des entités HTML en cas d’erreur provoquée intentionnellement.
Une analyse de code par l’équipe de BleepingComputer a révélé que ce code transmettait les informations d’identification Roblox au domaine « releasethen.site » transmis. Il semble également surveiller le profil du joueur sur Rolimons.com.
Un enregistrement des domaines concernés »searchblox.site » et « releasethen.site » se sont apparemment produits ce mois-ci chez le même hébergeur appelé Hostinger.
La plupart des programmes de sécurité sont aveugles à cette attaque
On ne sait toujours pas si les développeurs des extensions ont installé la porte dérobée exprès ou si c’est le résultat d’un compromis. Cependant, les spéculations au sein de la communauté Roblox pointent vers le premier cas. Parce que l’inventaire de jeu de l’utilisateur »imparablelucent‘, qui serait à l’origine des extensions, s’est apparemment multiplié du jour au lendemain.
Jusqu’à présent, très peu de programmes de sécurité ont reconnu les extensions malveillantes ou les URL utilisées pour l’attaque.
À la suite des rapports et des informations de BleepingComputer, Google a supprimé et bloqué les extensions concernées du Chrome Web Store. Par conséquent, ceux-ci devraient également disparaître automatiquement des systèmes des utilisateurs au fil du temps.