Vol de données à travers les extensions de Chrome

Menaces

Les propriétaires de magasins de logiciels (Google, Apple, Amazon, et autres) doivent se battre aussi intensément contre les malwares que les fournisseurs de solution de sécurité. Comme pour tous les cercles, ce processus est vicieux : les cybercriminels écrivent un malware qui se faufile dans les magasins en ligne, après quoi il est dénoncé et divulgué (mais aussi effacé), la politique de sécurité est mise à jour pour éviter que de tels faits ne se reproduisent, et les cybercriminels trouvent comment glisser leurs créations dans le magasin en détournant cette nouvelle politique.

Nous vous recommandons continuellement d’installer des applications téléchargées à partir de sources officielles, mais cela ne signifie pas que ces sites ne soient pas infectés par des malwares ; cela veut tout simplement dire qu’il y en a moins qu’ailleurs. Même si Google Play est assez sûr, c’est une autre paire de manches avec Chrome Web Store. Nos experts y ont récemment trouvé une extension malveillante qui s’attaque aux données bancaires des utilisateurs.

Un cheval de Troie bancaire dans votre navigateur

La coupable est l’extension « Desbloquear Conteúdo » (« Déblocage de contenus » en portugais) qui a essentiellement mené une attaque de type « homme du milieu« . Lorsque l’utilisateur visitait le site internet de sa banque, le script malveillant redirigeait le trafic à travers un serveur proxy qui appartenait aux cybercriminels, ce qui leur permettait d’analyser le trafic et de prendre ce qui les intéressait.

Le malware contenait également des scripts conçus pour extraire certaines informations saisies en ligne par les utilisateurs. Par exemple, lorsqu’un utilisateur se connectait sur la page de connexion de la banque, le malware utilisait un écran qui cachait l’original, et qui correspondait à la perfection à l’interface de la banque, sauf que les champs utilisateur, mot de passe et code de confirmation unique appartenaient au malware. Quand l’utilisateur cliquait sur le bouton se connecter, le malware copiait les données.

Le domaine qui hébergeait le serveur C&C corrompu utilisait la même adresse IP que d’autres domaines qui avaient déjà été dénoncés comme malveillants ; et c’est une des raisons pour lesquelles ce procédé a interpellé nos chercheurs. Après avoir confirmé leurs soupçons, les chercheurs ont contacté Google, et le malware a rapidement été supprimé de Chrome Web Store.

N’oubliez pas que pendant l’installation, les extensions de Chrome vous demandent des autorisations d’accès, et obtiennent souvent des pouvoirs presque illimités sur votre ordinateur. La plupart des programmes malveillants n’ont besoin que d’une seule autorisation : « Lire et modifier toutes vos données sur les sites internet que vous consultez », ce qui est assez puissant.

Par conséquent, vous devez gérer vos extensions avec beaucoup de prudence. Elles ne sont pas nécessairement bénignes, même s’il est si facile de les installer. On pourrait facilement croire qu’elles ne pourraient pas être puissantes, ni porter préjudice.

Pourquoi vous devriez faire attention aux extensions de navigateurs

Se protéger des extensions de navigateur malveillantes

Voici quelques conseils qui vont vous aider à repousser la mascarade des malwares comme s’il s’agissait d’une extension de navigateur facile à utiliser :

– Installez uniquement les extensions en lesquelles vous avez entièrement confiance. Malheureusement, il n’existe aucun test parfait en termes de confiance, mais essayez de vous en tenir aux extensions fournies par des développeurs réputés.

– N’ajoutez pas d’extensions si vous n’en avez pas vraiment besoin.

– Si vous n’avez plus besoin d’une extension, supprimez-la. Vous pouvez toujours l’installer de nouveau si nécessaire.

– Utilisez une solution de sécurité éprouvée comme Kaspersky Internet Security. Toutes les nouvelles extensions de Chrome nous sont automatiquement envoyées pour que nous les analysions, donc les malwares ne peuvent pas se cacher, et ce même pour les toutes dernières extensions.