Trois extensions Chrome malveillantes se faisant passer pour des VPN (Réseaux privés virtuels) infectés ont été téléchargées 1,5 million de fois, agissant comme des pirates de navigateur, des outils de piratage de remises en argent et des voleurs de données.

Selon ReasonLabs, qui a découvert les extensions malveillantes, elles se propagent via un programme d’installation caché dans des copies piratées de jeux vidéo populaires comme Grand Theft Auto, Assassins Creed et Les Sims 4, qui sont distribués à partir de sites torrent.

Reason Labs a informé Google de ses conclusions et le géant de la technologie a supprimé les extensions incriminées du Chrome Web Store, mais seulement après que celles-ci aient accumulé un total de 1,5 million de téléchargements.

Plus précisément, les extensions malveillantes étaient netPlus (1 million d’installations), net Save et net Win (500 000 installations).

La plupart des infections se produisent en Russie et dans des pays comme l’Ukraine, le Kazakhstan et la Biélorussie, de sorte que la campagne semble cibler les utilisateurs russophones.

infections nettes plus au fil du temps

Planter de fausses extensions VPN
Reason Labs a découvert plus d’un millier de fichiers torrent distincts qui fournissent le fichier d’installation malveillant, qui est une application electron mesurant entre 60 Mo et 100 Mo.

L’installation des extensions VPN est automatique et forcée, se déroulant au niveau du registre, et n’implique pas l’utilisateur ni ne nécessite aucune action du côté de la victime.

Finalement, le programme d’installation vérifie la présence de produits antivirus sur la machine infectée, puis supprime netsafe sur Google Chrome et netPlus sur Microsoft Edge, couvrant l’un ou l’autre cas d’utilisation.

Contrôle AV

Les extensions malveillantes utilisent une interface utilisateur VPN réaliste avec certaines fonctionnalités et une option d’abonnement payant pour créer un sentiment d’authenticité.

L’analyse du code montre que l’extension a également accès aux « onglets », « stockage », « proxy », « webRequest », « webRequestBlocking », « declarativeNetRequest », « scripts », « alarmes », « cookies », « activeTab », « gestion » et  » hors écran. »

ReasonLabs souligne que l’abus de l’autorisation « hors écran » permet au logiciel malveillant d’exécuter des scripts via l’API hors écran et d’interagir furtivement avec le DOM (Document Object Model) actuel de la page Web.

Cet accès étendu au DOM permet aux extensions de voler des données utilisateur sensibles, d’effectuer des détournements de navigation, de manipuler des requêtes Web et même de désactiver d’autres extensions installées sur le navigateur.

Une autre fonction de l’extension est de désactiver les autres extensions de remise en argent et de coupons pour éliminer la concurrence sur l’appareil infecté et rediriger les bénéfices vers les attaquants.

ReasonLabs rapporte que les logiciels malveillants ciblent plus de 100 extensions de remise en argent, notamment Avast SafePrice, AVG SafePrice, Honey: Coupons et récompenses automatiques, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Conseiller de marché, ChinaHelper, et Rétro-éclairé.

La communication des extensions avec les serveurs C2 (commandement et contrôle) implique l’échange de données concernant les instructions et les commandes,l’identification de la victime, l’exfiltration des données sensibles, etc.

Ce rapport met en évidence les problèmes de sécurité massifs liés aux extensions de navigateur Web, dont beaucoup sont très obscurcis pour rendre plus difficile la détermination du comportement qu’ils présentent.

Pour cette raison, vous devez régulièrement vérifier les extensions installées dans votre navigateur et rechercher les nouveaux avis dans le Chrome Web Store pour voir si d’autres signalent un comportement malveillant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *