Chrome, Edge: 28 extensions contenaient des malwares

28 extensions populaires pour les navigateurs Google Chrome et Microsoft Edge peuvent contenir des logiciels malveillants et devraient probablement être désinstallées par les plus de 3 millions de personnes qui les ont déjà téléchargées, ont déclaré des chercheurs en sécurité.

Les extensions pour les navigateurs qui pourraient potentiellement constituer une menace pour la sécurité incluent Video Downloader pour Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, ainsi que d’autres en cours d’utilisation pour les deux navigateurs populaires, selon une étude d’Avast Threat Intelligence.

Les chiffres de téléchargement depuis les stores des navigateurs montrent que plusieurs millions de personnes dans le monde utilisent actuellement ces extensions, ont déclaré les chercheurs. De plus, alors qu’Avast Threat Intelligence a commencé à enquêter sur la menace en Novembre, elle est peut-être passée inaperçue pendant des années. Les critiques sur le Chrome Web Store en montrent la preuve, car elles mentionnent le détournement de liens depuis Décembre 2018, ont noté les chercheurs.

google chrome

Avast Threat Intelligence a découvert le logiciel malveillant après avoir suivi les recherches du chercheur tchèque Edvard Rejthar de CZ.NIC, qui a d’abord identifié la menace provenant des extensions de navigateur sur son système, a écrit le porte-parole d’Avast, Emma McGowan, dans un article de blog publié récemment.

Remarquant un comportement «non standard» provenant de son ordinateur, Rejthar est allé à la recherche de la source dans les extensions du navigateur, qui ont tendance à être «la vulnérabilité la plus courante de l’ordinateur d’un utilisateur en plus de l’hameçonnage», écrit-il.

Rejthar a mis en place un piège pour attraper le coupable et a trouvé des scripts malveillants provenant de certaines extensions de navigateur. Le malware est entré dans le système via localStorage, le référentiel de données générales que les navigateurs mettent à la disposition des sites et des extensions, a-t-il rapporté.

Les chercheurs d’Avast ont approfondi leurs recherches et ont découvert que les extensions JavaScript infectées contiennent du code malveillant qui ouvre la porte au téléchargement d’encore plus de logiciels malveillants sur l’ordinateur d’une personne, selon le communiqué de McGowan. Ils manipulent également tous les liens sur lesquels les victimes cliquent après avoir téléchargé les extensions, a-t-elle écrit.

« Par exemple, les liens dans la recherche Google mènent les utilisateurs vers d’autres sites, apparemment aléatoires », selon l’article. « Cela inclut les sites et les annonces d’hameçonnages. »

En cliquant sur les liens, les extensions envoient également des informations au serveur de contrôle de l’attaquant, créant apparemment un log de tous les clics de quelqu’un. Ce log est ensuite envoyé à des sites Web tiers et peut être utilisé pour collecter les informations personnelles d’un utilisateur, y compris la date de naissance, les adresses e-mail, les informations sur l’appareil, la première heure de connexion, la dernière heure de connexion, le nom de son appareil, le système d’exploitation, le navigateur utilisé et sa version, ainsi que l’adresse IP, selon Avast.

chrome 78

Les chercheurs ont supposé que soit les extensions ont été créées délibérément avec des logiciels malveillants intégrés, soit le pirate informatique a attendu que les extensions deviennent populaires puis a publié une mise à jour malveillante, a déclaré le chercheur d’Avast, Jan Rubin.

«Il se peut aussi que l’auteur ait vendu les extensions originales à quelqu’un d’autre après les avoir créées, puis que son client a introduit le logiciel malveillant par la suite», a-t-il déclaré dans le communiqué.

De plus, les domaines utilisés dans la campagne ne sont probablement pas la propriété des cybercriminels; au contraire, les propriétaires de domaine paient probablement les cybercriminels pour chaque redirection, a ajouté Rubin.

Des extensions encore disponibles sur Chrome et Edge

Au moment d’écrire ces lignes, la plupart des extensions infectées sont toujours disponibles au téléchargement, selon Avast, qui recommande aux utilisateurs de les désactiver ou de les désinstaller et de rechercher les logiciels malveillants avant de continuer à les utiliser.

Avast a déclaré que les chercheurs avaient signalé le problème à Google et à Microsoft. Aucune des deux sociétés n’a répondu immédiatement à la demande de commentaires sur la question de savoir si elles étaient au courant de l’existence de ces extensions et prévoyait de les étudier et/ou de les supprimer.

La liste complète des extensions identifiées est ici; certaines d’entre elles ont été supprimés, a déclaré Avast.

Google est un habitué des nouvelles extensions de navigateur malveillantes. En Juin, la société a supprimé 106 extensions de navigateur Chrome de son Chrome Web Store en réponse à un rapport selon lequel elles étaient utilisées pour siphonner des données sensibles des utilisateurs.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x