Extensions de navigateur dangereuses

Comment des extensions malveillantes volent des cryptomonnaies, piratent des comptes dans les jeux et sur les réseaux sociaux, manipulent les résultats de recherche et affichent des annonces intrusives.

Nous écrivons souvent sur ces pages de blog que les extensions de navigateur peuvent être très dangereuses. Pour illustrer ce fait, nous avons décidé de leur consacrer un article. Dans cet article, nous examinerons les cas d’extensions malveillantes en 2023 les plus intéressants, inhabituels, répandus et dangereux. Nous verrons également de quoi ces extensions sont capables et, bien sûr, comment se protéger.

Extensions Roblox avec une porte dérobée

Pour donner le ton et également mettre en lumière l’une des plus grandes préoccupations liées aux extensions dangereuses, commençons par une histoire qui a commencé l’année dernière. En novembre 2022, deux extensions malveillantes portant le même nom – SearchBlox – ont été découvertes dans le Chrome Web Store, la boutique officielle des extensions de navigateur Google Chrome. L’une de ces extensions a été téléchargée plus de 200 000 fois.

L’objectif déclaré de ces extensions était de rechercher un joueur particulier sur les serveurs de Roblox. Cependant, leur objectif réel était de pirater les comptes des joueurs Roblox et de voler leurs biens virtuels dans le jeu. Après la publication des informations relatives à ces extensions malveillantes sur BleepingComputer, elles ont été supprimées du Chrome Web Store et automatiquement supprimées des appareils des utilisateurs qui les avaient installées.

SearchBlox : extensions de navigateur malveillantes avec une porte dérobée dans le Chrome Web Store

Les extensions malveillantes SearchBlox disponibles dans le Google Chrome Web Store pirataient les comptes des joueurs Roblox. Source

Cependant, l’histoire de Roblox ne s’arrête pas là. En août 2023, deux autres extensions malveillantes de nature similaire, RoFinder et RoTracker, ont été découvertes dans le Chrome Web Store. Tout comme SearchBlox, ces plug-ins offraient aux utilisateurs la possibilité de rechercher d’autres joueurs sur les serveurs Roblox, mais en réalité ils comportaient une porte dérobée. La communauté des utilisateurs de Roblox a finalement réussi à également faire supprimer ces extensions de la boutique en ligne.

RoTracke : une autre extension de navigateur malveillante avec une porte dérobée

L’extension malveillante RoTracker, également disponible sur le Google Chrome Web Store. Source

La qualité de la modération sur la plateforme la plus officielle au monde pour le téléchargement d’extensions Google Chrome laisserait donc à désirer, et il semble assez facile pour les créateurs d’extensions malveillantes d’y introduire leurs créations. Pour que les modérateurs repèrent les extensions dangereuses et les retirent de la boutique, les avis des utilisateurs concernés sont rarement suffisants. Il faut souvent compter sur les efforts des médias, des chercheurs en sécurité et/ou d’une grande communauté en ligne.

De fausses extensions ChatGPT piratent des comptes Facebook

En mars 2023, deux extensions malveillantes ont été découvertes à quelques jours d’intervalle dans le Google Chrome Web Store, profitant toutes deux du battage médiatique autour du service ChatGPT AI. L’une d’entre elles était une copie infectée de l’extension légitime « ChatGPT for Google », offrant l’intégration des réponses de ChatGPT dans les résultats du moteur de recherche.

L’extension « ChatGPT for Google » infectée a été téléchargée sur le Chrome Web Store le 14 février 2023. Ses créateurs ont attendu un certain temps et n’ont commencé à la diffuser activement qu’un mois plus tard, le 14 mars 2023, à l’aide d’annonces Google Search. Les pirates informatiques ont réussi à attirer un millier de nouveaux utilisateurs par jour, ce qui a résulté en plus de 9 000 téléchargements au moment de la découverte de la menace.

Version infectée de l'extension ChatGPT pour Google

La version infectée de « ChatGPT for Google » ressemblait à s’y méprendre à la véritable version. Source

La copie de « ChatGPT for Google » intégrant un cheval de Troie fonctionnait comme la vraie, mais présentait une fonctionnalité malveillante supplémentaire : la version infectée comprenait un code supplémentaire conçu pour voler les cookies de session Facebook stockés par le navigateur. En utilisant ces fichiers, les pirates informatiques ont réussi à attaquer les comptes Facebook des utilisateurs qui avaient installé l’extension infectée.

Les comptes compromis pouvaient ensuite être utilisés à des fins illégales. À titre d’exemple, les chercheurs ont cité le compte Facebook d’un fabricant de maisons mobiles, qui a commencé à promouvoir des contenus de l’État islamique après avoir été piraté.

Compte Facebook piraté faisant la promotion du contenu de l'État islamique

Après avoir été piraté, le compte Facebook a commencé à promouvoir du contenu de l’État islamique. Source

Dans l’autre cas, les fraudeurs ont créé une extension tout à fait inédite appelée « Quick access to Chat GPT ». En fait, l’extension a tenu ses promesses, agissant comme un intermédiaire entre les utilisateurs et ChatGPT en utilisant l’API officielle du service d’IA. Cependant, son véritable objectif était à nouveau de voler les cookies de session Facebook, permettant aux créateurs de l’extension de pirater les comptes professionnels Facebook.

Extension malveillante Quick access to Chat GPT

Extension malveillante « Quick access to Chat GPT ». Source

Plus intéressant encore, pour promouvoir cette extension malveillante, les auteurs ont utilisé des annonces Facebook, payées avec, vous l’aurez deviné, les comptes professionnels qu’ils avaient déjà piratés ! Ce stratagème astucieux a permis aux créateurs de « Quick access to Chat GPT » d’attirer quelques milliers de nouveaux utilisateurs par jour. Finalement, les deux extensions malveillantes ont été supprimées de la boutique.

ChromeLoader : contenu piraté comportant des extensions malveillantes

Bien souvent, les créateurs d’extensions malveillantes ne placent pas ces extensions sur le Google Chrome Web Store et les distribuent par d’autres moyens. Par exemple, en début d’année, des chercheurs ont remarqué l’apparition d’une nouvelle campagne malveillante en rapport avec le programme malveillant ChromeLoader, déjà bien connu dans le domaine de la cybersécurité. L’objectif principal de ce cheval de Troie est d’installer une extension malveillante dans le navigateur de la victime.

Cette extension, à son tour, affiche des publicités intrusives dans le navigateur et falsifie les résultats de recherche avec des liens menant à de faux prix, des sondages, des sites de rencontre, des jeux pour adultes, des logiciels indésirables, etc.

Cette année, les pirates ont utilisé divers contenus piratés comme appât pour inciter leurs victimes à installer ChromeLoader. Par exemple, en février 2023, des chercheurs ont signalé la propagation de ChromeLoader via des fichiers VHD (un format d’image disque) déguisés en jeux piratés ou « cracks » de jeux. Parmi les jeux utilisés par les distributeurs figuraient Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing et bien plus. Comme vous pouvez le deviner, tous ces fichiers VHD contenaient le programme d’installation de l’extension malveillante.

Quelques mois plus tard, en juin 2023, un autre groupe de chercheurs a publié un rapport détaillé sur les activités du même ChromeLoader, détaillant sa propagation à travers un réseau de sites proposant de la musique, des films et, une fois encore, des jeux informatiques piratés. Dans cette campagne, au lieu d’un contenu authentique, des fichiers VBScript ont été téléchargés sur les ordinateurs des victimes, qui ont ensuite chargé et installé l’extension de navigateur malveillante.

Le programme malveillant ChromeLoader installe une extension de navigateur malveillante

L’un des sites qui diffusaient le programme malveillant ChromeLoader sous l’apparence d’un contenu piraté. Source

Bien que les résultats de recherche modifiés alertent rapidement la victime de la présence de l’extension dangereuse dans le navigateur, la supprimer n’est pas si simple. ChromeLoader installe non seulement l’extension malveillante, mais ajoute également au système des scripts et des tâches dans le Planificateur de tâches Windows qui réinstallent l’extension à chaque redémarrage du système.

Les pirates lisent la correspondance Gmail à l’aide d’une extension d’espionnage

En mars 2023, l’Office fédéral allemand pour la protection de la Constitution et l’Agence nationale de renseignement sud-coréenne ont publié un rapport conjoint sur les activités du groupe de cybercriminalité Kimsuky. Ce groupe se sert d’une extension infectée pour les navigateurs basés sur Chromium – Google Chrome, Microsoft Edge, ainsi que le navigateur sud-coréen Naver Whale – pour lire la correspondance Gmail de leurs victimes.

Les auteurs de l’attaque commencent par envoyer des emails à des personnes particulières qui les intéressent. L’email contient un lien vers une extension malveillante appelée AF ainsi qu’un texte persuadant la victime d’installer l’extension. L’extension commence à fonctionner lorsque la victime ouvre Gmail dans le navigateur où elle est installée. AF envoie alors automatiquement la correspondance de la victime au serveur C2 des pirates.

Ainsi, Kimsuky parvient à accéder au contenu de la messagerie de la victime. De plus, les cybercriminels n’ont besoin de recourir à aucune astuce pour pirater cette messagerie ; ils contournent tout simplement l’authentification à deux facteurs. En prime, cette méthode permet de tout faire dans la plus grande discrétion, en évitant notamment que Google envoie des alertes à la victime sur l’accès au compte depuis un nouvel appareil ou un lieu suspect, comme ce serait le cas en cas de vol du mot de passe.

Rilide : une extension malveillante qui vole les cryptomonnaies et contourne l’authentification à deux facteurs

Les malfaiteurs utilisent aussi souvent des extensions malveillantes pour cibler les portefeuilles de cryptomonnaies. Les créateurs de l’extension Rilide, découverte pour la première fois en avril 2023, l’utilisent notamment pour suivre l’activité liée aux cryptomonnaies dans les navigateurs des utilisateurs infectés. Lorsque la victime visite les sites d’une liste spécifiée, l’extension malveillante vole les informations du portefeuille de cryptomonnaies, les identifiants de connexion aux messageries électroniques et les mots de passe.

De plus, cette extension collecte et envoie l’historique du navigateur au serveur C2 et permet aux pirates de prendre des captures d’écran. Cependant, la caractéristique la plus intéressante de Rilide est sa capacité à contourner l’authentification à deux facteurs.

Lorsque l’extension détecte qu’un utilisateur est sur le point d’effectuer une transaction de cryptomonnaie sur l’un des services en ligne, elle injecte un script dans la page qui remplace la boîte de dialogue de saisie du code de confirmation, puis vole le code en question. Le portefeuille du destinataire du paiement est remplacé par celui des pirates. Ensuite, l’extension confirme la transaction à l’aide du code volé.

Promotion de Rilide sous la forme d'un jeu de blockchain

Comment l’extension malveillante Rilide a été promue sur X (Twitter) sous le couvert de jeux de blockchain. Source

Rilide attaque les utilisateurs de navigateurs basés sur Chromium – Chrome, Edge, Brave et Opera – en imitant une extension légitime de Google Drive pour éviter les soupçons. Rilide semble être vendu librement sur le marché noir, de sorte qu’il est utilisé par des criminels qui n’ont aucun lien entre eux. Pour cette raison, différents modes de diffusion ont été découverts : des sites Internet malveillants aux emails, en passant par des installateurs de jeux de blockchain infectés promus sur Twitter X.

L’un des modes de diffusion de Rilide particulièrement intéressants était une présentation PowerPoint trompeuse. Cette présentation se présentait comme un guide de sécurité pour les employés de Zendesk, mais il s’agissait en fait d’un guide étape par étape pour l’installation de l’extension malveillante.

La notice d'installation de Rilide déguisée en présentation sur la cybersécurité

Un guide étape par étape pour l’installation de l’extension malveillante, déguisée en une présentation sur la sécurité pour les employés de Zendesk. Source

Des dizaines d’extensions malveillantes disponibles dans le Chrome Web Store pour un total de 87 millions de téléchargements

Et, bien sûr, on ne peut pas passer à côté de l’histoire de l’été lorsque des chercheurs ont découvert plusieurs dizaines d’extensions malveillantes dans le Google Chrome Web Store, qui ont été collectivement été téléchargés plus de 87 millions de fois. Il s’agissait de différents types de plug-ins de navigateur, allant d’outils de conversion de fichiers PDF aux bloqueurs de publicités en passant par des traducteurs et des VPN.

Les extensions ont été ajoutées au Chrome Web Store dès 2021 ou 2022. Par conséquent, au moment de leur découverte, elles étaient déjà là depuis plusieurs mois, un an, voire plus. Parmi les commentaires sur les extensions, certains utilisateurs vigilants se sont plaints du fait que les extensions masquaient les résultats de recherche par des publicités. Malheureusement, les modérateurs du Chrome Web Store ont ignoré ces plaintes. Les extensions malveillantes n’ont été supprimées de la boutique qu’après que deux groupes de chercheurs en sécurité ont attiré l’attention de Google sur le problème.

Extension malveillante Autoskip pour YouTube dans le Google Chrome Web Store

Autoskip for YouTube, l’extension malveillante la plus populaire, a été téléchargée plus de neuf millions de fois sur le Google Chrome Web Store. Source

Comment se protéger des extensions malveillantes ?

Comme vous pouvez le constater, les extensions de navigateur dangereuses peuvent se retrouver sur votre ordinateur à partir de différentes sources, y compris le Google Chrome Web Store officiel. Les pirates informatiques peuvent les utiliser à diverses fins allant du piratage de compte à la modification des résultats de recherche, en passant par la lecture de la correspondance et le vol de cryptomonnaies. Par conséquent, il est important de prendre les précautions suivantes :

  • Essayez d’éviter d’installer des extensions de navigateur inutiles. Moins il y a d’extensions dans votre navigateur, mieux c’est.
  • Si vous installez une extension, il vaut mieux l’installer depuis la boutique en ligne officielle plutôt que depuis un site Internet inconnu. Bien sûr, cette mesure n’élimine pas complètement le risque de tomber sur des extensions dangereuses, mais au moins le Google Chrome Web Store prend sa sécurité au sérieux.
  • Avant d’installer une extension, lisez les commentaires à son sujet. S’il y a un problème, quelqu’un l’a peut-être déjà remarqué et en a informé les autres utilisateurs.
  • Vérifiez régulièrement la liste des extensions installées dans vos navigateurs. Supprimez celles que vous n’utilisez pas, en particulier celles que vous ne vous souvenez pas avoir installées.
  • Assurez-vous également d’utiliser une protection fiable sur tous vos appareils.
Conseils