{"id":21343,"date":"2023-12-22T10:56:17","date_gmt":"2023-12-22T08:56:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21343"},"modified":"2023-12-22T10:56:17","modified_gmt":"2023-12-22T08:56:17","slug":"dangerous-browser-extensions-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dangerous-browser-extensions-2023\/21343\/","title":{"rendered":"Extensions de navigateur dangereuses"},"content":{"rendered":"

Nous \u00e9crivons souvent sur ces pages de blog que les extensions de navigateur peuvent \u00eatre tr\u00e8s dangereuses. Pour illustrer ce fait, nous avons d\u00e9cid\u00e9 de leur consacrer un article. Dans cet article, nous examinerons les cas d\u2019extensions malveillantes en 2023 les plus int\u00e9ressants, inhabituels, r\u00e9pandus et dangereux. Nous verrons \u00e9galement de quoi ces extensions sont capables et, bien s\u00fbr, comment se prot\u00e9ger.<\/p>\n

Extensions Roblox avec une porte d\u00e9rob\u00e9e<\/h2>\n

Pour donner le ton et \u00e9galement mettre en lumi\u00e8re l\u2019une des plus grandes pr\u00e9occupations li\u00e9es aux extensions dangereuses, commen\u00e7ons par une histoire qui a commenc\u00e9 l\u2019ann\u00e9e derni\u00e8re. En novembre\u00a02022, deux extensions malveillantes portant le m\u00eame nom \u2013 SearchBlox \u2013 ont \u00e9t\u00e9 d\u00e9couvertes<\/a> dans le Chrome Web Store, la boutique officielle des extensions de navigateur Google Chrome. L\u2019une de ces extensions a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 200\u00a0000\u00a0fois.<\/p>\n

L\u2019objectif d\u00e9clar\u00e9 de ces extensions \u00e9tait de rechercher un joueur particulier sur les serveurs de Roblox. Cependant, leur objectif r\u00e9el \u00e9tait de pirater les comptes des joueurs Roblox et de voler leurs biens virtuels dans le jeu. Apr\u00e8s la publication<\/a> des informations relatives \u00e0 ces extensions malveillantes sur BleepingComputer, elles ont \u00e9t\u00e9 supprim\u00e9es du Chrome Web Store et automatiquement supprim\u00e9es des appareils des utilisateurs qui les avaient install\u00e9es.<\/p>\n

\"SearchBlox<\/a>

Les extensions malveillantes SearchBlox disponibles dans le Google Chrome Web Store pirataient les comptes des joueurs Roblox. Source<\/a><\/p><\/div>\n

Cependant, l\u2019histoire de Roblox ne s\u2019arr\u00eate pas l\u00e0. En ao\u00fbt\u00a02023, deux autres extensions malveillantes de nature similaire, RoFinder et RoTracker<\/a>, ont \u00e9t\u00e9 d\u00e9couvertes dans le Chrome Web Store. Tout comme SearchBlox, ces plug-ins offraient aux utilisateurs la possibilit\u00e9 de rechercher d\u2019autres joueurs sur les serveurs Roblox, mais en r\u00e9alit\u00e9 ils comportaient une porte d\u00e9rob\u00e9e. La communaut\u00e9 des utilisateurs de Roblox a finalement r\u00e9ussi \u00e0 \u00e9galement faire supprimer ces extensions de la boutique en ligne.<\/p>\n

\"RoTracke<\/a>

L\u2019extension malveillante RoTracker, \u00e9galement disponible sur le Google Chrome Web Store. Source<\/a><\/p><\/div>\n

La qualit\u00e9 de la mod\u00e9ration sur la plateforme la plus officielle au monde pour le t\u00e9l\u00e9chargement d\u2019extensions Google Chrome laisserait donc \u00e0 d\u00e9sirer, et il semble assez facile pour les cr\u00e9ateurs d\u2019extensions malveillantes d\u2019y introduire leurs cr\u00e9ations. Pour que les mod\u00e9rateurs rep\u00e8rent les extensions dangereuses et les retirent de la boutique, les avis des utilisateurs concern\u00e9s sont rarement suffisants. Il faut souvent compter sur les efforts des m\u00e9dias, des chercheurs en s\u00e9curit\u00e9 et\/ou d\u2019une grande communaut\u00e9 en ligne.<\/p>\n

De fausses extensions ChatGPT piratent des comptes Facebook<\/h2>\n

En mars\u00a02023, deux extensions malveillantes<\/a> ont \u00e9t\u00e9 d\u00e9couvertes<\/a> \u00e0 quelques jours d\u2019intervalle dans le Google Chrome Web Store, profitant toutes deux du battage m\u00e9diatique autour du service ChatGPT AI. L\u2019une d\u2019entre elles \u00e9tait une copie infect\u00e9e de l\u2019extension l\u00e9gitime \u00ab\u00a0ChatGPT for Google\u00a0\u00bb, offrant l\u2019int\u00e9gration des r\u00e9ponses de ChatGPT dans les r\u00e9sultats du moteur de recherche.<\/p>\n

L\u2019extension \u00ab\u00a0ChatGPT for Google\u00a0\u00bb infect\u00e9e a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e sur le Chrome Web Store le 14 f\u00e9vrier 2023. Ses cr\u00e9ateurs ont attendu un certain temps et n\u2019ont commenc\u00e9 \u00e0 la diffuser activement qu\u2019un mois plus tard, le 14 mars 2023, \u00e0 l\u2019aide d\u2019annonces Google Search. Les pirates informatiques ont r\u00e9ussi \u00e0 attirer un millier de nouveaux utilisateurs par jour, ce qui a r\u00e9sult\u00e9 en plus de 9 000 t\u00e9l\u00e9chargements au moment de la d\u00e9couverte de la menace.<\/p>\n

\"Version<\/a>

La version infect\u00e9e de \u00ab\u00a0ChatGPT for Google\u00a0\u00bb ressemblait \u00e0 s\u2019y m\u00e9prendre \u00e0 la v\u00e9ritable version. Source<\/a><\/p><\/div>\n

La copie de \u00ab\u00a0ChatGPT for Google\u00a0\u00bb int\u00e9grant un cheval de Troie fonctionnait comme la vraie, mais pr\u00e9sentait une fonctionnalit\u00e9 malveillante suppl\u00e9mentaire : la version infect\u00e9e comprenait un code suppl\u00e9mentaire con\u00e7u pour voler les cookies de session Facebook stock\u00e9s par le navigateur. En utilisant ces fichiers, les pirates informatiques ont r\u00e9ussi \u00e0 attaquer les comptes Facebook des utilisateurs qui avaient install\u00e9 l\u2019extension infect\u00e9e.<\/p>\n

Les comptes compromis pouvaient ensuite \u00eatre utilis\u00e9s \u00e0 des fins ill\u00e9gales. \u00c0 titre d\u2019exemple, les chercheurs ont cit\u00e9 le compte Facebook d\u2019un fabricant de maisons mobiles, qui a commenc\u00e9 \u00e0 promouvoir des contenus de l\u2019\u00c9tat islamique apr\u00e8s avoir \u00e9t\u00e9 pirat\u00e9.<\/p>\n

\"Compte<\/a>

Apr\u00e8s avoir \u00e9t\u00e9 pirat\u00e9, le compte Facebook a commenc\u00e9 \u00e0 promouvoir du contenu de l\u2019\u00c9tat islamique. Source<\/a><\/p><\/div>\n

Dans l\u2019autre cas, les fraudeurs ont cr\u00e9\u00e9 une extension tout \u00e0 fait in\u00e9dite appel\u00e9e \u00ab\u00a0Quick access to Chat GPT\u00a0\u00bb. En fait, l\u2019extension a tenu ses promesses, agissant comme un interm\u00e9diaire entre les utilisateurs et ChatGPT en utilisant l\u2019API officielle du service d\u2019IA. Cependant, son v\u00e9ritable objectif \u00e9tait \u00e0 nouveau de voler les cookies de session Facebook, permettant aux cr\u00e9ateurs de l\u2019extension de pirater les comptes professionnels Facebook.<\/p>\n

\"Extension<\/a>

Extension malveillante \u00ab\u00a0Quick access to Chat GPT\u00a0\u00bb. Source<\/a><\/p><\/div>\n

Plus int\u00e9ressant encore, pour promouvoir cette extension malveillante, les auteurs ont utilis\u00e9 des annonces Facebook, pay\u00e9es avec, vous l\u2019aurez devin\u00e9, les comptes professionnels qu\u2019ils avaient d\u00e9j\u00e0 pirat\u00e9s ! Ce stratag\u00e8me astucieux a permis aux cr\u00e9ateurs de \u00ab\u00a0Quick access to Chat GPT\u00a0\u00bb d\u2019attirer quelques milliers de nouveaux utilisateurs par jour. Finalement, les deux extensions malveillantes ont \u00e9t\u00e9 supprim\u00e9es de la boutique.<\/p>\n

ChromeLoader\u00a0: contenu pirat\u00e9 comportant des extensions malveillantes<\/h2>\n

Bien souvent, les cr\u00e9ateurs d\u2019extensions malveillantes ne placent pas ces extensions sur le Google Chrome Web Store et les distribuent par d\u2019autres moyens. Par exemple, en d\u00e9but d\u2019ann\u00e9e, des chercheurs ont remarqu\u00e9 l\u2019apparition d\u2019une nouvelle campagne malveillante en rapport avec le programme malveillant ChromeLoader, d\u00e9j\u00e0 bien connu dans le domaine de la cybers\u00e9curit\u00e9. L\u2019objectif principal de ce cheval de Troie est d\u2019installer une extension malveillante dans le navigateur de la victime.<\/p>\n

Cette extension, \u00e0 son tour, affiche des publicit\u00e9s intrusives dans le navigateur et falsifie les r\u00e9sultats de recherche avec des liens menant \u00e0 de faux prix, des sondages, des sites de rencontre, des jeux pour adultes, des logiciels ind\u00e9sirables, etc.<\/p>\n

Cette ann\u00e9e, les pirates ont utilis\u00e9 divers contenus pirat\u00e9s comme app\u00e2t pour inciter leurs victimes \u00e0 installer ChromeLoader. Par exemple, en f\u00e9vrier\u00a02023<\/a>, des chercheurs ont signal\u00e9 la propagation de ChromeLoader via des fichiers VHD<\/a> (un format d\u2019image disque) d\u00e9guis\u00e9s en jeux pirat\u00e9s ou \u00ab\u00a0cracks\u00a0\u00bb de jeux. Parmi les jeux utilis\u00e9s par les distributeurs figuraient Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing et bien plus. Comme vous pouvez le deviner, tous ces fichiers VHD contenaient le programme d\u2019installation de l\u2019extension malveillante.<\/p>\n

Quelques mois plus tard, en juin\u00a02023<\/a>, un autre groupe de chercheurs a publi\u00e9 un rapport d\u00e9taill\u00e9 sur les activit\u00e9s du m\u00eame ChromeLoader, d\u00e9taillant sa propagation \u00e0 travers un r\u00e9seau de sites proposant de la musique, des films et, une fois encore, des jeux informatiques pirat\u00e9s. Dans cette campagne, au lieu d\u2019un contenu authentique, des fichiers VBScript<\/a> ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s sur les ordinateurs des victimes, qui ont ensuite charg\u00e9 et install\u00e9 l\u2019extension de navigateur malveillante.<\/p>\n

\"Le<\/a>

L\u2019un des sites qui diffusaient le programme malveillant ChromeLoader sous l\u2019apparence d\u2019un contenu pirat\u00e9. Source<\/a><\/p><\/div>\n

Bien que les r\u00e9sultats de recherche modifi\u00e9s alertent rapidement la victime de la pr\u00e9sence de l\u2019extension dangereuse dans le navigateur, la supprimer n\u2019est pas si simple. ChromeLoader installe non seulement l\u2019extension malveillante, mais ajoute \u00e9galement au syst\u00e8me des scripts et des t\u00e2ches dans le Planificateur de t\u00e2ches Windows qui r\u00e9installent l\u2019extension \u00e0 chaque red\u00e9marrage du syst\u00e8me.<\/p>\n

Les pirates lisent la correspondance Gmail \u00e0 l\u2019aide d\u2019une extension d\u2019espionnage<\/h2>\n

En mars\u00a02023, l\u2019Office f\u00e9d\u00e9ral allemand pour la protection de la Constitution et l\u2019Agence nationale de renseignement sud-cor\u00e9enne ont publi\u00e9<\/a> un rapport conjoint sur les activit\u00e9s du groupe de cybercriminalit\u00e9 Kimsuky<\/a>. Ce groupe se sert d\u2019une extension infect\u00e9e pour les navigateurs bas\u00e9s sur Chromium \u2013 Google Chrome, Microsoft Edge, ainsi que le navigateur sud-cor\u00e9en Naver Whale \u2013 pour lire la correspondance Gmail de leurs victimes.<\/p>\n

Les auteurs de l\u2019attaque commencent par envoyer des emails \u00e0 des personnes particuli\u00e8res qui les int\u00e9ressent. L\u2019email contient un lien vers une extension malveillante appel\u00e9e AF ainsi qu\u2019un texte persuadant la victime d\u2019installer l\u2019extension. L\u2019extension commence \u00e0 fonctionner lorsque la victime ouvre Gmail dans le navigateur o\u00f9 elle est install\u00e9e. AF envoie alors automatiquement la correspondance de la victime au serveur\u00a0C2 des pirates.<\/p>\n

Ainsi, Kimsuky parvient \u00e0 acc\u00e9der au contenu de la messagerie de la victime. De plus, les cybercriminels n\u2019ont besoin de recourir \u00e0 aucune astuce pour pirater cette messagerie\u00a0; ils contournent tout simplement l\u2019authentification \u00e0 deux facteurs. En prime, cette m\u00e9thode permet de tout faire dans la plus grande discr\u00e9tion, en \u00e9vitant notamment que Google envoie des alertes \u00e0 la victime sur l\u2019acc\u00e8s au compte depuis un nouvel appareil ou un lieu suspect, comme ce serait le cas en cas de vol du mot de passe.<\/p>\n

Rilide\u00a0: une extension malveillante qui vole les cryptomonnaies et contourne l\u2019authentification \u00e0 deux facteurs<\/h2>\n

Les malfaiteurs utilisent aussi souvent des extensions malveillantes pour cibler les portefeuilles de cryptomonnaies. Les cr\u00e9ateurs de l\u2019extension Rilide, d\u00e9couverte pour la premi\u00e8re fois en avril\u00a02023<\/a>, l\u2019utilisent notamment pour suivre l\u2019activit\u00e9 li\u00e9e aux cryptomonnaies dans les navigateurs des utilisateurs infect\u00e9s. Lorsque la victime visite les sites d\u2019une liste sp\u00e9cifi\u00e9e, l\u2019extension malveillante vole les informations du portefeuille de cryptomonnaies, les identifiants de connexion aux messageries \u00e9lectroniques et les mots de passe.<\/p>\n

De plus, cette extension collecte et envoie l\u2019historique du navigateur au serveur\u00a0C2 et permet aux pirates de prendre des captures d\u2019\u00e9cran. Cependant, la caract\u00e9ristique la plus int\u00e9ressante de Rilide est sa capacit\u00e9 \u00e0 contourner l\u2019authentification \u00e0 deux facteurs.<\/p>\n

Lorsque l\u2019extension d\u00e9tecte qu\u2019un utilisateur est sur le point d\u2019effectuer une transaction de cryptomonnaie sur l\u2019un des services en ligne, elle injecte un script dans la page qui remplace la bo\u00eete de dialogue de saisie du code de confirmation, puis vole le code en question. Le portefeuille du destinataire du paiement est remplac\u00e9 par celui des pirates. Ensuite, l\u2019extension confirme la transaction \u00e0 l\u2019aide du code vol\u00e9.<\/p>\n

\"Promotion<\/a>

Comment l\u2019extension malveillante Rilide a \u00e9t\u00e9 promue sur X (Twitter) sous le couvert de jeux de blockchain. Source<\/a><\/p><\/div>\n

Rilide attaque les utilisateurs de navigateurs bas\u00e9s sur Chromium \u2013 Chrome, Edge, Brave et Opera \u2013 en imitant une extension l\u00e9gitime de Google Drive pour \u00e9viter les soup\u00e7ons. Rilide semble \u00eatre vendu librement sur le march\u00e9 noir, de sorte qu\u2019il est utilis\u00e9 par des criminels qui n\u2019ont aucun lien entre eux. Pour cette raison, diff\u00e9rents modes de diffusion ont \u00e9t\u00e9 d\u00e9couverts\u00a0: des sites Internet malveillants aux emails, en passant par des installateurs de jeux de blockchain<\/a> infect\u00e9s promus sur Twitter<\/span> X.<\/p>\n

L\u2019un des modes de diffusion de Rilide particuli\u00e8rement int\u00e9ressants \u00e9tait une pr\u00e9sentation PowerPoint trompeuse<\/a>. Cette pr\u00e9sentation se pr\u00e9sentait comme un guide de s\u00e9curit\u00e9 pour les employ\u00e9s de Zendesk, mais il s\u2019agissait en fait d\u2019un guide \u00e9tape par \u00e9tape pour l\u2019installation de l\u2019extension malveillante.<\/p>\n

\"La<\/a>

Un guide \u00e9tape par \u00e9tape pour l\u2019installation de l\u2019extension malveillante, d\u00e9guis\u00e9e en une pr\u00e9sentation sur la s\u00e9curit\u00e9 pour les employ\u00e9s de Zendesk. Source<\/a><\/p><\/div>\n

Des dizaines d\u2019extensions malveillantes disponibles dans le Chrome Web Store pour un total de 87\u00a0millions de t\u00e9l\u00e9chargements<\/h2>\n

Et, bien s\u00fbr, on ne peut pas passer \u00e0 c\u00f4t\u00e9 de l\u2019histoire de l\u2019\u00e9t\u00e9 lorsque des chercheurs ont d\u00e9couvert plusieurs dizaines d\u2019extensions malveillantes<\/a> dans le Google Chrome Web Store, qui ont \u00e9t\u00e9 collectivement \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s plus de 87\u00a0millions de fois. Il s\u2019agissait de diff\u00e9rents types de plug-ins de navigateur, allant d\u2019outils de conversion de fichiers PDF aux bloqueurs de publicit\u00e9s en passant par des traducteurs et des VPN.<\/p>\n

Les extensions ont \u00e9t\u00e9 ajout\u00e9es au Chrome Web Store d\u00e8s 2021 ou 2022. Par cons\u00e9quent, au moment de leur d\u00e9couverte, elles \u00e9taient d\u00e9j\u00e0 l\u00e0 depuis plusieurs mois, un an, voire plus. Parmi les commentaires sur les extensions, certains utilisateurs vigilants se sont plaints du fait que les extensions masquaient les r\u00e9sultats de recherche par des publicit\u00e9s. Malheureusement, les mod\u00e9rateurs du Chrome Web Store ont ignor\u00e9 ces plaintes. Les extensions malveillantes n\u2019ont \u00e9t\u00e9 supprim\u00e9es de la boutique qu\u2019apr\u00e8s que deux groupes de chercheurs en s\u00e9curit\u00e9 ont attir\u00e9 l\u2019attention de Google sur le probl\u00e8me.<\/p>\n

\"Extension<\/a>

Autoskip for YouTube, l\u2019extension malveillante la plus populaire, a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de neuf millions de fois sur le Google Chrome Web Store. Source<\/a><\/p><\/div>\n

Comment se prot\u00e9ger des extensions malveillantes\u00a0?<\/h2>\n

Comme vous pouvez le constater, les extensions de navigateur dangereuses peuvent se retrouver sur votre ordinateur \u00e0 partir de diff\u00e9rentes sources, y compris le Google Chrome Web Store officiel. Les pirates informatiques peuvent les utiliser \u00e0 diverses fins allant du piratage de compte \u00e0 la modification des r\u00e9sultats de recherche, en passant par la lecture de la correspondance et le vol de cryptomonnaies. Par cons\u00e9quent, il est important de prendre les pr\u00e9cautions suivantes\u00a0:<\/p>\n