De nouvelles extensions malveillantes pour le navigateur Firefox ont été identifiées. Celles-ci sont capables de dérober des informations sensibles et de détourner des sessions utilisateur.
Il y a quelques jours seulement, plus de 40 extensions malveillantes ciblant les crypto-wallets avaient été repérées au sein du Firefox Add-ons Store. Mozilla semble avoir encore du ménage à faire au sein de sa plateforme de téléchargement.
Des extensions déceptives
Ces extensions malveillantes se présentent comme des utilitaires liés à des jeux ou services connus. C'est par exemple le cas Little Alchemy 2, 1v1.LOL, Krunker io Game, Five Nights at Freddy’s, et Bubble Spinner. Cependant, au lieu d’offrir de véritables fonctionnalités de jeu, elles redirigent immédiatement les utilisateurs vers des sites de jeux d’argent et des pages frauduleuses affichant de fausses alertes de virus Apple dès leur installation. Selon Socket, certaines de ces extensions ont été publiées il y a 4 ans déjà.
En parallèle, l'add-on GimmeGimme promet de créer une liste d'envie pour des boutiques en ligne particulièrement populaire en Belgique et aux Pays-Bas. Au lieu de cela, elle rajoute un code d'affiliation discrètement pour chacun des achats effectués. Les personnes malveillantes reçoivent alors une commission après chaque transaction. D'ailleurs, GimmGimme ne propose tout simplement aucune création de liste d'envie.
Et d'autres encore plus dangereuses
Parmi ces extensions, nous retrouvons également un faux service VPN baptisé Grab A Proxy. Ce dernier injecte un iframe invisible permettant de créer un canal de communication masqué et opérer un suivi persistant des utilisateurs sans consentement explicite. Concrètement, toutes les données utilisateur, y compris les identifiants de connexion, les informations personnelles, les données financières et les communications privées, peuvent être interceptées, enregistrées et analysées.
L'extension CalSyncMaster, promettant une synchronisation transparente de ses calendriers, vole en réalité les jetons d'authentification OAuth de Google. La personne malveillante peut donc avoir un accès prolongé à des données personnelles ou professionnelles. Selon les experts de Socket, cet add-on ne dispose aujourd'hui que des droits de lecture, mais une simple mise à jour pourrait changer la donne avec des droits d'écriture.
