De nouvelles extensions malveillantes ont été repérées pour les navigateurs Chrome et Edge, elles étaient déployées via les plateformes de téléchargement officielles de Google et Microsoft.
Décidément, il semblerait que les extensions de navigateurs soient passées au crible par plusieurs cabinets de sécurité et ces derniers multiplient leurs trouvailles. Cette fois, ce sont 18 nouveaux plugins qui sont mis en cause
Des chevaux de Troie
Les experts de Koi Security lèvent le voile sur une campagne baptisée RedDirection, laquelle vise les utilisateurs de Chrome et Edge via 18 extensions malicieuses. Ces modules regroupent des outils de productivité, des thèmes sombres, des VPN ou des utilitaires pour Discord et TikTok. Ils ont été installés par plus de 2,3 millions de personnes. Surtout, ils étaient disponibles au sein les boutiques officielles, parfois avec la mention "vérifié" ou même mis en avant.
Les extensions repérées se comportaient à la manière d'un cheval de Troie. Initialement, elles remplissaient la fonction promise, comme la sélection de couleurs ou l’accélération de vidéos. Elles ont donc reçu plusieurs commentaires positifs et multiplié leur base d'utilisateurs. Les éditeurs ont ensuite introduit des modules malveillants lors de mises à jour automatiques, sans intervention de l’utilisateur. Ce faisant, ils ont pu contourner les contrôles de sécurité des boutiques en ligne, lesquels n’ont pas bronché sur l’ajout de fonctionnalités malicieuses.
Le code malveillant exploitait les API des navigateurs pour surveiller l’activité de la victime. À chaque changement d’onglet, un script en arrière-plan capturait l’URL visitée et la transmettait à un serveur distant, accompagnée d’un identifiant unique propre à l’utilisateur. Ce serveur, contrôlé par les attaquants, pouvait également envoyer des instructions de redirection, forçant le navigateur à ouvrir des pages choisies par les opérateurs de la campagne.
Google et Microsoft n'ont rien vu
Avec une mention "vérifié" officielle, ou une mise en avant dans les sous-catégories, forcément, n'importe qui tomberait dans le panneau. Les chercheurs soulignent que la vérification à grande échelle ne permet pas d’analyser en profondeur chaque mise à jour, ce qui a donc facilité l’infiltration de la campagne RedDirection. D'ailleurs, pour brouiller les pistes, chaque extension utilisait un sous-domaine distinct pour ses communications… même si tous convergeaient vers une même infrastructure de contrôle centralisé.
Les extensions repérées au sein du Chrome Web Store sont :
- Emoji keyboard online — copy&past your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper — Geco colorpick
- Weather
Les extensions repérées au sein de Microsoft Edge Add-ons sont :
- Unlock TikTok
- Volume Booster — Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player — games emulator
- Youtube Unblocked
- SearchGPT — ChatGPT for Search Engine
- Unlock Discord
Koi Security a récemment identifié 40 extensions pour Firefox spécialement conçues pour siphonner les wallets crypto. D'autres modules pour le navigateur de Mozilla sont capables de puiser les mots de passe et même les tokens d'authentification. En parallèle, plusieurs add-ons pour Chrome exposent en clair les données de millions d’internautes.
- Speed Dial et barre latérale très efficaces
- Excellentes performances
- Environnement et fonctionnalités orientés productivité
