De fausses publicités Bitwarden Password manager sur Facebook poussent une extension malveillante de Google Chrome qui collecte et vole des données utilisateur sensibles du navigateur.

Mais warden est une application de gestion de mots de passe populaire avec un niveau « gratuit » comprenant un cryptage de bout en bout, une prise en charge multiplateforme, une intégration MFA et une interface conviviale.

Sa base d’utilisateurs n’a cessé de croître au cours des deux dernières années, en particulier à la suite de failles de sécurité de concurrents qui ont conduit de nombreuses personnes à rechercher des alternatives.

Une nouvelle campagne de publicité malveillante se faisant passer pour Bit Warden a été repérée par Bitdefender Labs, dont les chercheurs rapportent que l’opération a été lancée le 3 novembre 2024.

Plusieurs annonces de la même campagne

Publicités malveillantes sur Facebook
La campagne publicitaire Facebook avertit les utilisateurs qu’ils « utilisent une version obsolète de Bit warden » et qu’ils doivent mettre à jour le programme immédiatement pour sécuriser leurs mots de passe.

Le lien inclus dans l’annonce est  » téléchargement du chrome Web Store[.] com, ‘ qui prétend être le Chrome Web Store officiel de Google à ‘chromewebstore.google.com. »

La page de destination présente également un design ressemblant étroitement au Chrome Web Store, y compris un bouton « Ajouter à Chrome ».

Site Web malveillant imitant le vrai Google Web Store

Cependant, au lieu que l’extension s’installe automatiquement lorsque vous cliquez sur le lien, les visiteurs sont invités à télécharger un fichier ZIP à partir d’un dossier Google Drive.

Bien que cela devrait être un signe clair de danger, les utilisateurs qui ne connaissent pas le Chrome Web Store peuvent procéder à l’installation manuelle, en suivant les instructions sur la page Web.

L’installation nécessite d’activer le « Mode développeur » sur Chrome et de charger manuellement l’extension sur le programme, donc essentiellement, les contrôles de sécurité sont contournés.

Une fois installée, l’extension s’enregistre en tant que « Both warden Password Manager » version 0.0.1 et sécurise les autorisations qui lui permettent d’intercepter et de manipuler les activités des utilisateurs.

Ses principales fonctions sont les suivantes:

  • Collecter des cookies Facebook, en particulier le cookie « c_user » contenant l’identifiant de l’utilisateur.
  • Collectez des données IP et de géolocalisation à l’aide d’API publiques
  • Recueillir Facebook détails de l’utilisateur, informations de compte, et les données de facturation via l’API graphique de Facebook
  • Manipule le DOM du navigateur pour afficher de faux messages de chargement à des fins de légitimité ou de tromperie.
  • Encode les données sensibles et les transmet à une URL de script Google sous le contrôle des attaquants.

Pour atténuer ce risque, mais il est conseillé aux utilisateurs de warden d’ignorer les publicités invitant à mettre à jour les extensions, car les extensions Chrome sont automatiquement mises à jour lorsque le fournisseur publie une nouvelle version.

Les extensions ne doivent être installées que via la boutique en ligne officielle de Google ou en suivant les liens du site officiel du projet, dans ce cas, bitwarden.com.

Lors de l’installation d’une nouvelle extension, vérifiez toujours les autorisations demandées et traitez les demandes trop agressives impliquant l’accès aux cookies, les demandes réseau et les données du site Web avec une grande suspicion.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *