Elles imitent YouTube, DeepSeek, Fortinet ou des VPN gratuits, semblent fonctionner normalement, mais volent vos cookies de session et ouvrent l’accès à vos comptes. Depuis des mois, plus d’une centaine d’extensions malveillantes opèrent en toute discrétion sur le Chrome Web Store.
- Des extensions Chrome malveillantes imitent des sites connus pour voler vos cookies et accéder à vos comptes.
- Elles demandent des autorisations étendues pour surveiller, rediriger ou injecter du code via votre navigateur.
- DomainTools a identifié cette campagne et recommande de vérifier les permissions avant d'installer une extension.
Depuis février 2024, un acteur inconnu s’appuie sur de faux sites web pour pousser une centaine d'extensions malveillantes sur le Chrome Web Store. C’est ce que révèle un rapport de DomainTools, qui décrit une campagne structurée autour de sites frauduleux reprenant l’apparence de services connus comme DeepSeek AI, Fortinet, YouTube, Calendly, mais également des VPN gratuits, des plateformes de crypto et des services bancaires, avant de rediriger l’internaute vers une extension piégée, hébergée sur la plateforme officielle de Google.
Fausses extensions, vrais problèmes
Une fois installée, l’extension fonctionne en partie comme prévu. Elle affiche une interface, simule une activité normale, s’appuie parfois sur des API réelles. Mais elle réclame aussi des autorisations très larges, notamment l’accès aux contenus de tous les sites visités. Un niveau de permission qui lui permet de surveiller l’activité en ligne, de modifier le trafic réseau ou d’interagir avec les pages ouvertes.
Elle établit ensuite une connexion avec un serveur distant contrôlé par l’attaquant, qui lui transmet des instructions à exécuter dans le navigateur. Certaines extensions redirigent les requêtes, d’autres collectent l'intégralité des cookies du navigateur, injectent du code dans les pages ou détournent des sessions en cours. Parfois, elles peuvent aussi servir de proxy, en faisant transiter le trafic via des serveurs externes. Enfin, dans les cas les plus critiques, le vol de cookies ou de sessions peut donner accès à des comptes sensibles, y compris des services professionnels déjà authentifiés.
Toutes ces actions sont pilotées par un script exécuté en arrière-plan, chargé de gérer la communication avec l’infrastructure distante. Le code malveillant est souvent compressé, encodé, stocké localement, puis injecté à la demande. Les protections de Chrome, comme la politique de sécurité de contenu, sont parfois contournées via des manipulations du DOM ou des règles dynamiques.
L’enquête de DomainTools a permis d’identifier plus d’une centaine de sites et d’extensions liés à cette campagne. Toutes ne procèdent pas exactement de la même manière, mais on retrouve la même base technique : un code structuré de façon identique, les mêmes méthodes de contournement, et des domaines souvent enregistrés chez NameSilo, hébergés chez Cloudflare.
Comment éviter de tomber dans le panneau
La suppression des extensions identifiées est en cours, mais certaines sont toujours disponibles sur le Chrome Web Store. Et comme souvent, le délai entre publication, détection et retrait joue en faveur des attaquants. D’où l’importance de rester extrêmement vigilant côté utilisateur.
Par conséquent, contrôlez systématiquement les permissions exigées par les extensions que vous installez, et méfiez-vous de celles qui réclament des accès élargis à vos sessions de navigation.
Prenez aussi le temps de vérifier qui publie l’extension, sa date d’ajout sur le store, et les éventuels avis laissés. Pensez à désinstaller celles que vous n’utilisez plus pour réduire la surface d’attaque potentielle, et n’hésitez pas à investir dans un bon antivirus.
Sources : DomainTools [1], DomainTools [2]
