Google Chrome : gare aux extensions malveillantes

Sécurité : La société Proofpoint alerte sur plusieurs extensions proposées pour le navigateur Chrome contenant du code malveillant. Selon les chercheurs de la société, ces huit extensions auraient déjà été téléchargées plus de 4 millions de fois.

Par Louis Adam

  • 2 min

phishing-securite-140×105

Chrome est généralement vu comme exemplaire en matière de sécurité. Et c’est bien la moindre des choses, vu que le navigateur de Google domine actuellement le marché. Et Chrome n’a pas volé sa réputation de forteresse, mais cela ne signifie pas que les utilisateurs du navigateur sont absolument hors de portée des cybercriminels. Ainsi, le chercheur de Proofpoint Kafeine alerte sur une campagne visant non pas le navigateur lui-même, mais les développeurs d’extensions pour celui-ci.

Kafeine explique dans un post de blog avoir détecté pas moins de 8 extensions dont les développeurs ont été victimes de vol d’identifiants. Les cybercriminels ont ensuite utilisé ces accès afin de mettre en ligne sur le store officiel des versions modifiées de ces extensions contenant du code malveillant.

La notice postée par les développeurs d’Infinity New Tab lorsque l’attaque a été découverte

Les applications repérées par les équipes de ProofPoint sont au nombre de huit. On retrouve ainsi Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1, Social Fixer 20.1.1, TouchVPN, Betternet VPN ainsi que deux autres extensions Copyfish et Web Developer, dont les créateurs ont été victimes de piratage au début du mois d’août. Les vols d’identifiants auraient été menés grâce à une campagne de phishing visant les développeurs de ces applications.

Vol de trafic et vol d’identifiants

La charge utile injectée dans les versions malveillantes de ces extensions a plusieurs fonctionnalités. Comme l’explique Kafeine, le malware est utilisé pour rediriger du trafic vers certains sites à l’insu de l’utilisateur. Ainsi les publicités servies sur les sites sont remplacées par des publicités choisies par les auteurs du malware. Outre ces substitutions, le malware fait également apparaître des pop up indésirables sur le bureau de la cible affirmant que son ordinateur rencontre un problème et le redirigeant vers des services d’assistance en ligne, probablement contre une commission pour les cybercriminels.

Plus inquiétant néanmoins, Kafeine explique qu’une partie du code est également conçue pour dérober des identifiants de connexion à Cloudflare. Cloudflare est un hébergeur particulièrement en pointe dans la lutte contre les attaques DDoS et utilisé par de nombreux sites publiant des contenus sensibles ou polémiques afin de s’assurer de rester en ligne malgré les attaques. Les identifiants sont ensuite exfiltrés à destination des opérateurs de l’attaque, ce qui pourrait augurer une nouvelle vague d’attaques sur les sites utilisant CloudFlare si cette campagne se révèle efficace.

L’attaque semble avoir visé une audience très large. En cumulant les téléchargements des différentes versions piratées des applications, le nombre d’utilisateurs ayant téléchargé les versions malveillantes s’élève à 4,8 millions. Un chiffre élevé, mais qui reste pour l’instant difficile à évaluer. D’autres extensions pourraient avoir été compromises par des méthodes similaires et il n’est pour l’instant pas possible d’affirmer avec certitude qu’un seul groupe est à l’origine de l’attaque, bien que le modus operandi et le malware utilisé soient similaires dans les cas repérés par les chercheurs de Proofpoint.

Connexion

Vous n’avez pas encore de compte ?

    AUTOUR DE ZDNET
    SERVICES
    À PROPOS