Des cybercriminels ont lancé une attaque de grande envergure contre des extensions populaires du navigateur Chrome, compromettant potentiellement les données de plus de 2,5 millions d’utilisateurs.
Plutôt que de recourir à la tactique populaire consistant à créer de fausses extensions dans le Chrome Web Store, cette campagne vise des applications légitimes avec du code malveillant.
Au 30 décembre 2024, au moins 26 extensions largement utilisées ont été infectées, conduisant au vol de données utilisateurs, de cookies, et même à des rapports de détournement de sessions d’authentification multifacteur.
Techopedia explore les tactiques derrière cette campagne, présente les extensions de navigateur touchées et dévoile les conseils essentiels pour protéger vos données.
À RETENIR
- Une cyberattaque de grande envergure cible des extensions Chrome connues, laissant au moins 26 extensions compromises
- La faille expose potentiellement plus de 2,5 millions d’utilisateurs au vol de données et d’identifiants
- Les pirates informatiques ciblent les développeurs pour charger du code malveillant dans des extensions en se faisant passer pour le support développeur du Chrome Web Store
- Le nombre d’extensions de navigateur compromises pourrait augmenter dans les jours à venir.
Comment les pirates ciblent les développeurs pour charger du code malveillant dans des extensions ?
Cyberhaven, une entreprise de protection des données basée en Californie, a été la première à confirmer la faille, suivie de rapports d’attaques centrées sur les extensions de navigateur VPN et basées sur l’IA générative.
Au 30 décembre, la cyberattaque avait touché au moins 26 extensions de navigateur installées par plus de 2,5 millions d’utilisateurs.
Les cybercriminels ont ciblé exclusivement les développeurs qui travaillent avec le Chrome Web Store.
Contrairement à d’autres attaques d’extensions de navigateur, où les acteurs malveillants créent de fausses applications, cette campagne infecte des applications avec du code malveillant.
L’objectif final est de voler des informations utilisateur à grande échelle.
La cyber attaque coordonnée contre les extensions de navigateur web, qui a débuté mi-décembre et continue de se développer, fonctionne de manière unique.
L’attaque commence lorsque des pirates informatiques « black hat » envoient des e-mails de hameçonnage aux entreprises d’extensions de navigateur et à leurs développeurs.
Ce type de cyberattaques fait partie des plus courantes, comme le rappellent ces statistiques sur la cybersécurité.
Ces e-mails usurpent l’identité du support développeur du Chrome Web Store et induisent en erreur les développeurs en affirmant faussement que leur « extension risque d’être supprimée immédiatement » en raison d’une « violation des politiques du programme développeur ».
L’e-mail est un leurre pour inciter les développeurs à divulguer des données sensibles, qui sont ensuite utilisées pour charger du code malveillant dans une application afin de voler les cookies et les jetons d’accès des utilisateurs.
Les chercheurs en cybersécurité de Secure Annex ont répertorié les extensions de navigateur suivantes comme étant touchées, dont certaines ont depuis été corrigées sur le Chrome Web Store :
- VPNCity
- Parrot Talks
- Uvoice
- Internxt VPN
- Bookmark Favicon Changer
- Castorus
- Wayin AI
- Search Copilot AI Assistant for Chrome
- VidHelper – Video Downloader
- AI Assistant – ChatGPT and Gemini for Chrome
- Vidnoz Flex – Video recorder & Video share
- TinaMind – The GPT-4-powered AI Assistant!
- Bard AI chat
- Reader Mode
- Primus (précédemment PADO)
- Tackker – online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- Earny – Up to 20% Cash Back
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Cyberhaven security extension V3
- GraphQL Network Inspector
- GPT 4 Summary with OpenAI
- Vidnoz Flex – Video recorder & Video share
- YesCaptcha assistant
Le nombre total d’utilisateurs de ces extensions de navigateur web dépasse 2,5 millions de personnes.
L’analyse du code malveillant a révélé que des serveurs C2 contrôlés par les hackers sont utilisés pour voler des données. De plus, un grand nombre de redirections vers des domaines malveillants ont été découvertes.
Les chercheurs en cybersécurité tentent encore de comprendre la majeure partie du code malveillant et son fonctionnement, car les pirates ont masqué le code.
Des rapports indiquent que les acteurs malveillants volent également des cookies de session dans cette campagne pour contourner les sessions Google 2FA des utilisateurs.
Le code malveillant dans cette campagne redirige les utilisateurs vers des sites faux et hostiles par le biais de détournements de requêtes de recherche et de redirections. Cela peut conduire au vol d’identité et d’identifiants, au suivi d’activité et à l’exécution de commandes à distance.
En résumé, les acteurs malveillants peuvent prendre le contrôle des navigateurs des utilisateurs.
À ce jour, l’identité de l’acteur derrière cette vague de cyberattaques contre les développeurs d’extensions de navigateur reste inconnue.
À mesure que les techniques utilisées par les hackers continuent d’évoluer, d’autres acteurs malveillants pourraient s’y joindre, saisissant l’opportunité.
Bien que de nombreux développeurs touchés aient signalé le hameçonnage par e-mail comme vecteur d’attaque, il est possible que d’autres méthodes d’infiltration aient été déployées.
Le détournement d’extensions de navigateur n’est pas rare. Cependant, le chargement de code malveillant dans des applications est quelque chose d’inédit en cybersécurité.
Les extensions de navigateur sur le site officiel de Chrome sont en cours de suppression pour empêcher les utilisateurs de télécharger des extensions qui fonctionnent comme des logiciels malveillants. Entre-temps, les développeurs travaillent sur des correctifs qu’ils déploient petit à petit.
Il est clair que les acteurs malveillants disposent d’une longue liste d’e-mails appartenant aux développeurs d’extensions de navigateur. Ceux-ci sont probablement alimentés par des outils de hameçonnage automatisés, accélérant la distribution de la campagne.
Les e-mails des développeurs sont publiquement répertoriés sur le Chrome Store, mais ces e-mails sont généralement utilisés pour signaler des bugs. On ne sait pas si l’acteur malveillant a obtenu des informations appartenant aux développeurs à partir d’une autre faille ou fuite.
Tirath Ramdas, développeur de logiciels IA et fondateur de Chamomile.ai, s’est exprimé auprès de Techopedia sur la sécurité des extensions du navigateur.
Il existe une perception selon laquelle les extensions de navigateur sont des plugins et, en tant que tels, ne seraient pas capables d’engendrer beaucoup de dommages.
Mais, en réalité, les extensions de navigateur et les workers de service web occupent une position hautement privilégiée, leur permettant d’intercepter le contenu visible et non visible lié à chaque page web consultée par l’utilisateur.
Ramdas a déclaré que les consommateurs sont devenus plus conscients des risques liés au téléchargement et à l’exécution de logiciels depuis Internet, et que les navigateurs et systèmes d’exploitation comme Windows et MacOS font un bon travail de protection des utilisateurs contre les logiciels malveillants.
« Mais cette sensibilisation et cette protection ne s’étendent pas aux extensions de navigateur », a déclaré Ramdas.
En Conclusion : Comment rester en sécurité
Étant donné qu’un nombre important de sites web, d’IPs et de domaines ont été liés à cette attaque généralisée, et que différentes techniques de piratage ont également été identifiées, il n’existe pas de solution de sécurité unique que les utilisateurs ou les développeurs peuvent déployer.
Si vous êtes un utilisateur et avez téléchargé l’une des extensions de navigateur touchées, nous vous recommandons de la désinstaller, de vider le cache de votre navigateur et de réinstaller l’extension si elle a été corrigée.
De plus, vous devriez examiner les permissions de vos extensions de navigateur. Changer votre mot de passe et activer l’authentification multifacteur peut être contraignant mais c’est une étape nécessaire pour les personnes touchées.
Par ailleurs, les développeurs et les entreprises d’extensions de navigateur font face à un défi de taille. Ils doivent auditer leurs extensions de navigateur pour vérifier leur intégrité.
Ils doivent également rechercher les activités suspectes et sensibiliser les développeurs à la vigilance contre le hameçonnage.
Les navigateurs sont considérés comme une mine d’or pour les cybercriminels, car ils stockent une large gamme d’informations personnelles.
N’oubliez pas de n’installer que les extensions de navigateur que vous connaissez. Évitez les extensions dévoilant un faible nombre d’utilisateurs et lisez les avis des utilisateurs avant de les installer sur votre navigateur.