Google a supprimé plus de 500 extensions Chrome malveillantes de sa boutique en ligne officielle à la suite d'une enquête de deux mois menée par la chercheuse indépendante Jamila Kaya et l'équipe de sécurité Duo de Cisco.
Les extensions, qui ont maintenant été supprimées de la boutique en ligne et désactivées dans les navigateurs des utilisateurs, ont injecté des publicités malveillantes dans les sessions de navigation Web des utilisateurs. Le code malveillant injecté par les extensions a été configuré pour s'activer sous certaines conditions et rediriger les utilisateurs vers des sites spécifiques.
Bien que les extensions conduisent parfois les utilisateurs vers des sites légitimes tels que Macy's, Dell ou BestBuy via des liens d'affiliation, ils ont également conduit les utilisateurs vers des sites de téléchargement de logiciels malveillants connus ou pages de phishing.
Selon un nouveau rapport de l'équipe Duo Security de Cisco, les extensions faisaient partie d'une opération de malware plus importante qui est active depuis au moins deux ans. Cependant, l'équipe de recherche derrière le rapport pense également que le groupe derrière cette opération peut être actif depuis le début des années 2010.
Sommaire
Extensions Chrome malveillantes
L'opération a été découverte par Jamila Kaya qui a découvert les extensions malveillantes lors de la chasse aux menaces lorsqu'elle a remarqué un modèle d'URL commun lors des visites de sites malveillants.
Kaya a ensuite utilisé un service d'analyse des extensions Chrome appelé CRXcavator qui l'a aidée à localiser le groupe initial d'extensions qui partagent une base de code presque identique mais a utilisé des noms génériques pour masquer leur véritable activité. Elle a fourni des informations supplémentaires sur sa découverte dans une interview avec ZDNet dans lequel elle a dit:
"Individuellement, j'ai identifié plus d'une douzaine d'extensions qui partageaient un modèle. En contactant Duo, nous avons pu rapidement les empreintes digitales en utilisant la base de données de CRXcavator et découvrir l'ensemble du réseau. Nous avons ensuite contacté Google avec nos résultats, qui étaient réceptifs et collaboratifs. en éliminant les extensions. "
Selon Cisco Duo, le premier ensemble d'extensions a été installé par plus de 1,7 million d'utilisateurs de Chrome. Cependant, Google a lancé sa propre enquête et a trouvé encore plus d'extensions qui correspondent au même modèle, ce qui a conduit le géant de la recherche à interdire plus de 500 extensions.
Google a supprimé les extensions Chrome malveillantes de sa boutique en ligne officielle ainsi que les a désactivées dans les navigateurs des utilisateurs pour empêcher encore plus d'utilisateurs d'être victimes de cette escroquerie malveillante.
Via ZDNet