Une énorme opération de malware ciblait les extensions Google Chrome – .

Alors qu’elle effectuait un jour des tâches de routine liées à son travail de recherche constante de menaces numériques en ligne, la chercheuse en sécurité Jamila Kaya est tombée sur le premier d’une série d’extensions malveillantes de Google Chrome qui déclencherait une enquête de deux mois et mènerait à la suppression de plus de 500 extensions par Google de sa boutique en ligne. Malheureusement, plus de 1,7 million d’utilisateurs de Chrome avaient déjà installé ce premier lot d’extensions qu’elle a trouvé, ce qui a donné une certaine urgence à cette enquête – dont les résultats ont été dévoilés dans un rapport récemment publié sur ce qui s’est avéré être une énorme opération de malware active depuis au moins deux ans.

Après sa découverte initiale, Kaya a contacté l’équipe de sécurité Duo chez Cisco, selon le rapport. Elle les a contactés à propos d’une variété d’extensions Chrome qui, selon elle, infectaient les navigateurs et «exfiltreraient les données dans le cadre d’une campagne plus vaste».

“Ces extensions étaient généralement présentées comme offrant de la publicité en tant que service”, note le rapport. «Jamila a découvert qu’ils faisaient partie d’un réseau de plugins copycat partageant des fonctionnalités presque identiques. Grâce à la collaboration, nous avons pu prendre les quelques dizaines d’extensions et utiliser CRXcavator.io pour identifier 70 correspondances à leurs modèles sur 1,7 million d’utilisateurs et faire remonter les préoccupations à Google. »

L’équipe Duo poursuit en expliquant que les mauvais acteurs utilisent de plus en plus l’activité légitime d’Internet pour masquer leurs actions malveillantes, l’un des canaux les plus populaires étant l’utilisation de cookies publicitaires et les redirections en leur sein. C’est une technique appelée «malvertising» qui est étonnamment difficile à détecter. “La malvertisation se produit souvent dans d’autres programmes, agissant comme un véhicule pour de multiples formes d’activités frauduleuses, y compris la fraude publicitaire, l’exfiltration de données, le phishing, la surveillance et l’exploitation”, poursuit le rapport. “Alternativement, il émerge également dans des campagnes malveillantes en plusieurs parties qui impliquent la collecte de publicité et la fraude.”

Le code de ces extensions malveillantes redirigeait parfois les utilisateurs vers un lien d’affiliation sur des sites comme Best Buy ou Macy. D’autres fois, la destination peut être un site de téléchargement de logiciels malveillants. Les chercheurs ont déclaré que Google était réactif lorsqu’ils leur ont fait remonter la question, et un porte-parole de Google a déclaré qu’il agissait toujours lorsque la communauté des chercheurs l’informait de problèmes qui violaient les politiques de l’entreprise. En outre, Google a déclaré qu’il effectuait des «balayages réguliers pour trouver des extensions» similaires à celles-ci qui utilisent des techniques, du code et des comportements comparables.

Source de l’image: Valentin Wolf / imageBROKER / Shutterstock

Andy est un journaliste à Memphis qui contribue également à des points de vente comme Fast Company et The Guardian. Quand il n’écrit pas sur la technologie, il peut être trouvé recroquevillé de manière protectrice sur sa collection de vin en plein essor, ainsi que nourrir son whovianisme et frénésie sur une variété d’émissions de télévision que vous n’aimez probablement pas.

.