Plus de 500 extensions de navigateur téléchargées des millions de fois à partir du Chrome Web Store de Google ont subrepticement transféré des données de navigation privée sur des serveurs contrôlés par des attaquants, ont déclaré jeudi des chercheurs.
Les extensions faisaient partie d’un programme de malvertising et de fraude publicitaire de longue date qui a été découvert par la chercheuse indépendante Jamila Kaya. Elle et des chercheurs de Duo Security, propriété de Cisco, ont finalement identifié 71 extensions du Chrome Web Store qui comptaient plus de 1,7 million d’installations. Après que les chercheurs ont rapporté en privé leurs résultats à Google, la société a identifié plus de 430 extensions supplémentaires. Google a depuis supprimé toutes les extensions connues.
« Dans le cas rapporté ici, les créateurs d’extensions Chrome avaient spécifiquement créé des extensions qui masquaient la fonctionnalité publicitaire sous-jacente des utilisateurs », ont écrit Kaya et Duo Security Jacob Rickerd dans un rapport. « Cela a été fait afin de connecter les clients du navigateur à une architecture de commande et de contrôle, d’exfiltrer les données de navigation privée à l’insu des utilisateurs, d’exposer l’utilisateur à des risques d’exploitation par le biais de flux publicitaires et d’essayer d’échapper aux mécanismes de détection des fraudes du Chrome Web Store. . «
Un labyrinthe de redirections, de logiciels malveillants, etc.
Les extensions ont été principalement présentées comme des outils fournissant divers utilitaires de promotion et de publicité en tant que service. En fait, ils se sont livrés à des fraudes publicitaires et à des publicités malveillantes en mélangeant les navigateurs infectés à travers un dédale de domaines fragmentaires. Chaque plugin s’est d’abord connecté à un domaine qui a utilisé le même nom que le plugin (par exemple: Mapstrek[.]com ou ArcadeYum[.]com) pour vérifier les instructions de désinstallation.
Les plugins ont ensuite redirigé les navigateurs vers l’un des quelques serveurs de contrôle codés en dur pour recevoir des instructions supplémentaires, des emplacements pour télécharger des données, des listes de flux publicitaires et des domaines pour les futures redirections. Les navigateurs infectés ont ensuite téléchargé les données des utilisateurs, mis à jour les configurations des plugins et parcouru un flux de redirections de sites.
Le rapport de jeudi s’est poursuivi:
L’utilisateur reçoit régulièrement de nouveaux domaines de redirection, car ils sont créés par lots, plusieurs des domaines précédents étant créés le même jour et à la même heure. Ils fonctionnent tous de la même manière, recevant le signal de l’hôte et les envoyant ensuite à une série de flux publicitaires, puis à des publicités légitimes et illégitimes. Certains d’entre eux sont répertoriés dans la section «Domaines finaux» des IOC, bien qu’ils soient trop nombreux pour être répertoriés.
De nombreuses redirections ont conduit à des publicités bénignes pour les produits de Macy’s, Dell et Best Buy. Ce qui a rendu le système malveillant et frauduleux est (a) le grand volume de contenu publicitaire (jusqu’à 30 redirections dans certains cas), (b) la dissimulation délibérée de la plupart des annonces des utilisateurs finaux, et (c) l’utilisation de la flux de redirection d’annonces pour envoyer des navigateurs infectés vers des sites malveillants et de phishing. Deux échantillons de logiciels malveillants liés aux sites de plug-in étaient:
- ARCADEYUMGAMES.exe, qui lit les clés liées au service terminal et accède aux informations potentiellement sensibles à partir des navigateurs locaux, et
- MapsTrek.exe, qui a la possibilité d’ouvrir le presse-papiers
Tous les sites utilisés dans le système, sauf un, n’étaient pas auparavant classés comme malveillants ou frauduleux par les services de renseignement sur les menaces. L’exception était l’État du Missouri, qui indiquait DTSINCE[.]com, l’un des rares serveurs de contrôle codés en dur, en tant que site de phishing.
Les chercheurs ont trouvé des preuves que la campagne fonctionne depuis au moins janvier 2019 et s’est développée rapidement, en particulier de mars à juin. Il est possible que les opérateurs aient été actifs pendant une période beaucoup plus longue, peut-être dès 2017.
Alors que chacun des 500 plugins semblait différent, tous contenaient du code source presque identique, à l’exception des noms de fonction, qui étaient uniques. Kaya a découvert les plugins malveillants à l’aide de CRXcavator, un outil pour évaluer la sécurité des extensions Chrome. Il a été développé par Duo Security et a été mis à disposition gratuitement l’année dernière. Presque aucun des plugins n’a de notes d’utilisateurs, une caractéristique qui n’a pas permis aux chercheurs de savoir précisément comment les extensions ont été installées. Google a remercié les chercheurs d’avoir signalé leurs résultats.
Méfiez-vous des extensions
Cette dernière découverte survient sept mois après qu’un autre chercheur indépendant a documenté des extensions de navigateur qui ont levé les historiques de navigation de plus de 4 millions de machines infectées. Alors que la grande majorité des installations ont affecté les utilisateurs de Chrome, certains utilisateurs de Firefox ont également été balayés. Nacho Analytics, la société qui a agrégé les données et les a vendues ouvertement, a fermé ses portes suite à la couverture Ars de l’opération.
Le rapport de jeudi contient une liste de 71 extensions malveillantes, ainsi que leurs domaines associés. À la suite d’une longue pratique, Google n’a identifié aucune des extensions ou des domaines qu’il a trouvés dans sa propre enquête. Les ordinateurs qui possédaient l’un des plugins ont reçu une notification contextuelle indiquant qu’il avait été « automatiquement désactivé ». Les personnes qui ont suivi un lien ont reçu un avertissement rouge indiquant: « Cette extension contient des logiciels malveillants ».
La découverte d’extensions de navigateur plus malveillantes et frauduleuses rappelle que les utilisateurs doivent être prudents lors de l’installation de ces outils et ne les utiliser que lorsqu’ils offrent de véritables avantages. C’est toujours une bonne idée de lire les avis des utilisateurs pour vérifier les rapports de comportement suspect. Les utilisateurs doivent vérifier régulièrement les extensions qu’ils ne reconnaissent pas ou n’ont pas utilisées récemment et les supprimer.
Message mis à jour pour décrire la notification fournie par Google.