Plus de 500 extensions malveillantes supprimées du Chrome Web Store
Google a retiré plus de 500 extensions Chrome malveillantes de sa boutique en ligne officielle à la suite d’une enquête de deux mois menée par Jamila Kaya et l’équipe Duo Security de Cisco. Les extensions supprimées fonctionnaient en injectant des publicités malveillantes (malvertising) dans les sessions de navigation des utilisateurs.
Le code malveillant injecté par les extensions s’activait sous certaines conditions et redirigeait les utilisateurs vers des sites spécifiques. Dans certains cas, la destination était un lien d’affiliation sur des sites légitimes comme Macys, Dell ou BestBuy ; mais dans d’autres cas, la destination était un site de téléchargement de logiciels malveillants ou une page de phishing.
Selon un rapport publié ce jeudi, les extensions faisaient partie d’une opération malveillante plus vaste active depuis au moins deux ans. L’équipe de recherche pense également que le groupe qui a orchestré cette opération pourrait avoir été actif depuis le début des années 2010.
Des millions d’utilisateurs seraient touchés
La chercheuse en sécurité Jamila Kaya a expliqué à ZDNet qu’elle avait découvert les extensions malveillantes lors d’une chasse aux menaces de routine, en remarquant des visites sur des sites malveillants ayant un modèle d’URL commun. Grâce à CRXcavator, un service d’analyse des extensions Chrome, elle a vu un premier groupe d’extensions qui s’exécutent sur une base de code presque identique, mais qui utilisent divers noms génériques, avec peu d’informations sur leur véritable objectif.
« Individuellement, j’ai identifié plus d’une douzaine d’extensions qui partageaient un même modèle », détaille-t-elle. « J’ai contacté Duo, et nous avons pu rapidement les identifier grâce à la base de données de CRXcavator et découvrir l’ensemble du réseau ». Selon Duo, ces premières séries d’extensions ont touché plus de 1,7 million d’utilisateurs de Chrome.
« Nous avons ensuite fait part de nos conclusions à Google, qui s’est montré réceptif et a collaboré à l’élimination des extensions », continue Jamila Kaya. Après sa propre enquête, Google a trouvé encore plus d’extensions sur ce même modèle, et a banni plus de 500 extensions au total. On ne sait pas exactement combien d’utilisateurs ont installé les 500 et quelques extensions malveillantes, mais il est plus que probable qu’ils soient des millions.
Des extensions automatiquement désactivées dans Chrome
Plusieurs réseaux d’extensions Chrome malveillantes ont été découverts dans le passé. Généralement, elles injectaient des publicités légitimes dans la session de navigation d’un utilisateur, les opérateurs de l’extension tirant des revenus de la diffusion de publicités. Dans tous les cas, elles tentaient de ne pas être trop intrusives, afin de ne pas alerter les utilisateurs d’une éventuelle infection.
Ce qui ressort de ce système, c’est l’utilisation de “redirections”. Les utilisateurs se retrouvent sur une page web différente de leur destination, ce qui ne passe pas inaperçu. Mais vu l’état actuel d’Internet, où de nombreux sites web légitimes utilisent des systèmes publicitaires très intrusifs et des redirections, de nombreux utilisateurs ne se méfient même plus.
La liste des extensions concernées figure dans le rapport Duo. Lorsque Google a banni les extensions du store officiel, il les a également désactivées dans les navigateurs de chaque utilisateur, tout en marquant l’extension comme “malveillante” pour que les utilisateurs sachent qu’il faut la supprimer et non la réactiver.
Source : ZDNet.com
