Chrome: 500 extensions malveillantes ont été découvertes

Des chercheurs affirment que 500 extensions malveillantes du navigateur Google Chrome ont été découvertes. Ces extensions téléchargent secrètement des données de navigation privées sur des serveurs contrôlés par des pirates informatiques et redirigent les victimes vers des sites Web contenant des logiciels malveillants. Ces extensions de navigateur, qui ont toutes été supprimées, ont été téléchargées des millions de fois depuis le Chrome Web Store de Google.

Les extensions de navigateur sont utilisées pour personnaliser les navigateurs Web, modifier les interfaces utilisateur, bloquer les publicités et gérer les cookies. Mais les chercheurs ont déclaré que les extensions malveillantes qu’ils avaient découvertes faisaient plutôt partie d’une campagne de malware qui a également collecté des données de navigateur. La publicité malveillante est souvent utilisée comme véhicule pour une activité frauduleuse, y compris l’exfiltration de données, l’hameçonnage ou la fraude publicitaire. Dans ce cas particulier, les cybercriminels redirigeaient les visiteurs de flux d’annonces en ligne légitimes vers des pages contenant des logiciels malveillants.

“Ces extensions étaient généralement présentées comme offrant de la publicité en tant que service”, selon Jamila Kaya, chercheuse indépendante en sécurité, et Jacob Rickerd, Duo Security, dans leur analyse.

Les chercheurs pensent que les opérateurs de cette campagne étaient actifs depuis janvier 2019, avec une augmentation de l’activité entre mars et juin. Après que les chercheurs aient identifié pour la première fois 71 extensions malveillantes et partager leurs résultats avec Google, le géant de la technologie a ensuite identifié 430 extensions supplémentaires qui étaient également liées à la campagne de malware. Les extensions n’avaient presque aucune note sur le Chrome Web Store de Google, et le code source des extensions est presque identique.

chrome

Une fois téléchargées, les extensions connectent les clients du navigateur à un serveur command-and-control(C2), puis exfiltrent les données de navigation privée à l’insu des utilisateurs.

L’extension redirigerait également les navigateurs vers divers domaines avec des annonces publicitaires. Alors qu’une grande partie de ces annonces publicitaires ne présentaient aucun risque (conduisait à des publicités pour Macy’s, Dell ou Best Buy), ces annonces publicitaires légitimes étaient associés à des annonces publicitaires malveillantes qui redirigeaient les utilisateurs vers des pages d’hameçonnage contenant des logiciels malveillants.

Cette campagne d’infection met en évidence divers problèmes de sécurité que les extensions de navigateur peuvent causer. En 2017, une extension malveillante de Google Chrome a distribué des e-mails d’hameçonnage et dérobé toutes les données publiées en ligne par les victimes. En 2018, 4 extensions malveillantes ont été découvertes dans le Chrome Web Store et avaient été téléchargés par plus de 500 000 utilisateurs. En janvier, les équipes de Google Chrome et Mozilla Firefox ont sévi contre les extensions de navigateur Web qui étaient coupables d’avoir dérobé les données des utilisateurs et exécuté du code à distance.

«Les extensions de navigateur sont le Wild Wild West d’Internet», a déclaré Ameet Naik, chercheur en sécurité chez PerimeterX. “Il y a environ 200 000 extensions disponibles sur la seule boutique Chrome. Ce que la plupart des utilisateurs ne réalisent pas, c’est que les extensions ont un accès complet à toutes les données d’une page, y compris votre adresse e-mail, vos informations bancaires et vos numéros de carte de crédit. Bien que de nombreuses extensions fournissent de bons services, rien ne les empêche de collecter et d’abuser les données des utilisateurs. »

Google a durci le ton pour les extensions de Chrome

Google a mis en œuvre de nouvelles directives sur la politique de confidentialité des données utilisateur, exigeant que toutes les extensions qui gèrent les données des utilisateurs aient une politique de confidentialité, obtiennent le consentement de l’utilisateur et n’utilisent que le nombre minimal requis d’autorisations. Google a également mis en place un programme qui versera des primes aux chercheurs qui trouvent des extensions qui violent cette politique.

“Nous apprécions le travail de la communauté des chercheurs, et lorsque nous sommes alertés des extensions dans le Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents pour améliorer nos analyses automatisées et manuelles”, a déclaré un porte-parole de Google dans un communiqué. «Nous effectuons des analyses régulières pour trouver des extensions malveillantes à l’aide de techniques, de code et de comportements similaires, et supprimons ces extensions si elles enfreignent nos règles.»