Une extension de navigateur malveillante avec 350 variantes se fait passer pour un module complémentaire de Google Translate dans le cadre d’une campagne de logiciels publicitaires ciblant les utilisateurs russes des navigateurs Google Chrome, Opera et Mozilla Firefox. La société de sécurité mobile Zimperium a surnommé la famille de logiciels malveillants ABCsoup, déclarant que « les extensions sont installées sur la machine de la victime via un exécutable Windows, contournant la plupart des solutions de sécurité des terminaux, ainsi que les contrôles de sécurité trouvés dans les magasins d’extensions officiels ». Les modules complémentaires de navigateur escrocs sont livrés avec le même ID d’extension que celui de Google Translate – « aapbdbdomjkkjkaonfhkkikfgjllcleb » – dans le but de faire croire aux utilisateurs qu’ils ont installé une extension légitime. Les extensions ne sont pas disponibles sur les magasins Web officiels des navigateurs eux-mêmes. Ils sont plutôt livrés via différents exécutables Windows qui installent le module complémentaire sur le navigateur Web de la victime. Dans le cas où l’utilisateur ciblé a déjà installé l’extension Google Translate, elle remplace la version originale par la variante malveillante en raison de leurs numéros de version plus élevés (30.2.5 contre 2.0.10).

« De plus, lorsque cette extension est installée, Chrome Web Store suppose qu’il s’agit de Google Translate et non de l’extension malveillante, car le Web Store ne vérifie que les identifiants d’extension », a déclaré Nipun Gupta, chercheur chez Zimperium. Toutes les variantes observées de l’extension visent à diffuser des pop-ups, à collecter des informations personnelles pour diffuser des publicités spécifiques à des cibles, à rechercher des empreintes digitales et à injecter du JavaScript malveillant qui peut en outre agir comme un logiciel espion pour capturer les frappes au clavier et surveiller l’activité du navigateur Web. La fonction principale d’ABCsoup consiste à vérifier les services de réseaux sociaux russes comme Odnoklassniki et VK parmi les sites Web actuellement ouverts dans le navigateur, et si c’est le cas, à recueillir les prénoms et noms, les dates de naissance et le sexe des utilisateurs, et à transmettre les données à un serveur distant. Non seulement le logiciel malveillant utilise ces informations pour diffuser des publicités personnalisées, mais l’extension est également dotée de capacités pour injecter du code JavaScript personnalisé en fonction des sites Web ouverts. Cela inclut YouTube, Facebook, ASKfm, Mail.ru, Yandex, Rambler, Avito, Brainly’s Znanija, Kismia et rollApp, suggérant une forte concentration sur la Russie. Zimperium a attribué la campagne à un « groupe bien organisé » d’origine est-européenne et russe, les extensions étant conçues pour cibler les utilisateurs russes compte tenu de la grande variété de domaines locaux ciblés. « Ce malware est délibérément conçu pour cibler tous les types d’utilisateurs et sert son objectif de récupérer des informations sur les utilisateurs », a déclaré Gupta. « Les scripts injectés peuvent être facilement utilisés pour servir un comportement plus malveillant dans la session du navigateur, comme le mappage de frappe et l’exfiltration de données. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *