Une vaste campagne malveillante vient d’être découverte sur le Chrome Web Store, la boutique d’extensions officielle de Google Chrome. Les chercheurs de la société de sécurité Socket ont en effet identifié 108 extensions frauduleuses sur la plateforme. Toutes les extensions épinglées font partie d’une même campagne coordonnée. Son but : voler des données et permettre aux cybercriminels de prendre le contrôle de vos comptes en ligne. Les extensions « totalisent environ 20 000 installations sur le Chrome Web Store ».
Les extensions se présentent comme des solutions légitimes, telles que des jeux de casino, des assistants YouTube ou TikTok, des clients Telegram, ou des traducteurs. Pour éviter d’éveiller les soupçons des cibles, les extensions fonctionnent tout à fait normalement, du moins en apparence. Une fois installées sur Chrome, elles vont en effet offrir toutes les fonctionnalités prévues, ce qui va contribuer à endormir la méfiance de l’internaute. Certaines de ces extensions bénéficient même de bonnes notes, ou de notes moyennes, sur le Chrome Web Store. Elles ont été publiées par le biais de cinq noms de développeurs différents.
À lire aussi : Mise à jour d’urgence chez Google – 8 nouvelles failles de Chrome mettent en danger le navigateur
Vol de données, piratages de comptes, et injections de code
Plusieurs des extensions analysées s’activent automatiquement au lancement du navigateur, sans nécessiter d’interaction de l’utilisateur. Grâce à une fonction cachée, elles vont recevoir des instructions de la part des cybercriminels par le biais de serveurs informatiques à distance. C’est comme ça que les extensions sauront précisément ce qu’elles doivent faire.
En coulisses, les extensions vont récupérer des jetons d’authentification Google. Ces jetons servent à connecter des services tiers à un compte Google sans avoir forcément besoin du mot de passe. Grâce à ces jetons volés, l’attaquant peut accéder à Gmail, Google Drive, ou d’autres services liés au compte Google en se faisant passer pour l’utilisateur. Dans les détails, « 54 extensions volent l’identité du compte Google de l’utilisateur la première fois qu’il clique sur le bouton de connexion ».
Certaines des extensions épinglées par Socket vont jusqu’à injecter du code HTML malveillant directement sur les pages web visitées par l’internaute. Ce code est taillé pour modifier l’affichage du site, rediriger l’utilisateur sur des plateformes piégées ou analyser en temps réel tout ce qu’il fait sur Chrome. Parmi les autres fonctionnalités des extensions, on trouve l’affichage de publicités, l’extraction d’autres données ou l’exécution de scripts. L’adresse e-mail, le nom, la photo de profil et l’identifiant du compte Google font partie des informations les plus prisées par les hackers.
Dans certains cas, ces extensions peuvent remplacer les sessions des services en ligne, comme Telegram Web, en se servant des données de connexion stockées dans le navigateur, comme les cookies. De facto, le pirate peut afficher un compte factice, sous son contrôle, à la place de celui de l’utilisateur. Cette astuce permet évidemment de détourner des identifiants et des mots de passe.
A lire aussi : Une cyberattaque « discrète » vise Chrome – un virus a trouvé le moyen de voler la clé de vos données
La liste des extensions à désinstaller d’urgence
Comme l’expliquent les chercheurs, tout porte à croire que l’opération est liée à un malware russe disponible par le biais d’un abonnement de type malware-as-a-service (MaaS). Plusieurs indices pointent vers une infrastructure détenue par des cybercriminels russes. On trouve notamment des commentaires écrits en russe dans le code des extensions.
Les chercheurs de Socket ont signalé officiellement cette campagne à Google, en fournissant les identifiants exacts des extensions concernées et des preuves de leurs méfaits. Malgré ces signalements, plusieurs des extensions restent disponibles sur le Chrome Web Store. Sans surprise, les experts recommandent de désinstaller toutes les extensions identifiées par leurs soins. Sans plus attendre, voici la liste complète des 108 extensions à supprimer de votre navigateur :
- Telegram Multi-account
- Web Client for Telegram – Teleside
- YouSide – Youtube Sidebar
- Web Client for Youtube – SideYou
- Web Client for TikTok
- Text Translation
- Page Locker
- Page Auto Refresh
- Web Client for Rugby Rush – SideGame
- Formula Rush Racing Game
- Piggy Prizes – Slot Machine
- Slot Arabian
- Frogtastic
- Black Beard Slot Machine
- Indian – Slot Machine
- Mahjong Deluxe
- Crazy Freekick
- Slot Car Racing
- Clear Cache Plus
- Galactica Delux – Slot Machine
- Speed Test for Chrome – WiFi SpeedTest
- Game SkySpeedster
- Master Chess
- Hockey Shootout
- Odds Of The Gods – Slot Machine
- Billiards Pro
- Three Card Poker
- Donuts – Slot Machine
- Archer – Slot Machine
- Rugby Rush
- Bingo
- Web Client for game Cricket Batter Challenge
- Slot Machine Zeus Treasures
- Horse Racing
- Aztec – Slot Machine
- Straight 4
- Slot The Gold Pot
- American Roulette Royale
- Asia Slot
- Web Client for game Drive Your Car
- Jurassic Giants – Slot Machine
- Street Basketball
- Tarot Side Panel
- Dragon Slayer – Slot Machine
- Best Blackjack
- Book Of Magic – Slot Machine
- Snake – Slot Machine
- Dice King – Classic Craps And Roll Game
- Slot Ramses
- Battleship War
- Gold Miner 2
- Greyhound Racing – Dog Race Simulator
- Hercules: Sports Legend
- Flicking Soccer
- Voodoo Magic – Slot Machine
- Web Client for Hockey Shootout – SideGame
- MASTER CHECKERS
- Watercraft Rush
- Car Rush
- Video Poker Deuces Wild
- Slot Machine Ultimate Soccer
- Christmas Eve – Slot Machine
- Columbus Voyage – Slot Machine
- High or Low Casino Game
- Goalkeeper Challenge
- Tropical Beach – Slot Machine
- BlackJack 3D
- Web Client for game Classic Bowling
- Raging Zeus Mines
- Classic Backgammon
- Slot Machine The Fruits
- Baccarat
- Mini Golf World
- Gold Rush – Slot Machine
- Pirat Slot
- 40 Imperial Crown – Slot Machine
- 3D Soccer Slot Machine
- Premium Horse Racing
- Tanks Game
- Caribbean Stud Poker
- Wild Buffalo – Slot Machine
- Aqua – Slot Machine
- Game Crypto Merge
- Sherwood Forest – Slot Machine
- Web Client for game Fatboy Dream
- Lone Star Jackpots – Slot Machine
- Hidden Kitty Game
- Keno
- Jokers Bonanza – Slot Machine
- Penalty Kicks
- Pai Gow Poker
- Metal Calculator
- Farm – Slot Machine
- Rail Maze Puzzle
- RED DOG CARD GAME
- Coin Miner 2
- Black Ninja – Slot Machine
- Pyramid Solitaire
- Chrome Client for Downhill Ski – SideGame
- Slot Machine Mr Chicken
- Web Client for French Roulette – SideGame
- 3D Roulette Casino Game
- Slot Machine Space Adventure
- Whack ’em All
- Video Poker Jacks or Better
- Swimming Pro
- InterAlt
- Gold of Egypt – Slot Machine
Ensuite, les internautes sont invités à vérifier si leurs comptes en ligne n’ont pas été compromis, et changer leurs mots de passe. Plus globalement, Socket conseille chaudement aux utilisateurs de désinstaller les extensions peu utilisées, notamment celles qui demandent beaucoup d’autorisations. Enfin, prenez le temps d’activer la double authentification sur tous vos comptes et prenez l’habitude de limiter le nombre d’extensions installées sur Chrome. Vous réduirez ainsi facilement votre surface d’attaque.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Socket
