À première vue, une extension qui permet de changer les couleurs de votre navigateur semble inoffensive. Mais elle peut en réalité se révéler extrêmement dangereuse, comme l’ont révélé les chercheurs de Guardio Labs dans un rapport. Ainsi, un million d’extensions malveillantes de ce type ont été installées dans le monde, dans le cadre d’une campagne d’attaque que les chercheurs ont baptisé Dormant Colors. Cette campagne touche les navigateurs Chrome et Edge et comporte une trentaine de variantes de l’extension, avec des icônes et des noms différents.
Le point de départ est de forcer l’installation de l’extension, en rendant par exemple obligatoire son installation pour ensuite regarder une vidéo sur un site. La victime est rassurée par l’aspect anodin de l’extension et l’installe sur son ordinateur, comme le montre l’exemple ci-dessous :
Une fois installée, l’extension redirige l’utilisateur vers des sites qui téléchargent des scripts malveillants. Ces scripts permettent à l’extension de modifier les résultats des recherches, en renvoyant uniquement des résultats issus des sites affiliés avec les pirates, qui reçoivent en échange une commission. L’extension va également insérer des liens d’affiliation dans une liste de 10 000 sites, en ajoutant une balise spécifique aux URL. Tout achat sur le site permet ensuite aux pirates de toucher une commission. Un exemple d’affiliation forcée est visible dans la vidéo ci-dessous, avec l’accès au site 365games.co.uk (notez la présence du terme awc dans la barre d’adresses, qui indique une affiliation) :
Mais les chercheurs mettent en garde : l’extension pourrait se révéler encore plus dangereuse en téléchargeant d’autres codes d’exécution. Par exemple, elle pourrait rediriger les victimes vers de faux sites, comme dans les campagnes d’hameçonnage, afin de voler des informations telles que les identifiants et les mots de passe utilisés sur Microsoft 365, Google Workspace ou des plates-formes de réseaux sociaux. Encore pire, elle pourrait voler les données utilisées pour se connecter aux sites bancaires. D’où l’importance d’utiliser des méthodes d’identification à deux facteurs. Un antivirus est aussi une bonne arme pour se protéger.
Cela n’est pas la première fois que des extensions malveillantes sont détectées. Entre 2020 et 2022, l’éditeur d’antivirus Kaspersky a bloqué plus de 6 millions de téléchargements chez ses clients. Deux tiers de ces extensions bloquées étaient de type « publiciels » et un tiers de type « malware ». Elles masquaient leurs fonctions réelles sous des apparences inoffensives d’utilitaires pratiques, par exemple pour télécharger des vidéos, convertir des PDF ou corriger l’orthographe et la grammaire.
Microsoft et Google ont retiré les extensions incriminées de leurs magasins pour Chrome et Edge, mais rien n’empêche les pirates de les proposer à nouveau, sous d’autres noms. Il faut donc faire preuve de méfiance avant d’installer une extension et surtout ne pas céder aux obligations d’installation sur certains sites quand cela n’est pas nécessaire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : PCWorld
