Les extensions douteuses du navigateur mettent les utilisateurs des médias sociaux en danger

Les utilisateurs de plateformes de médias sociaux tels qu’Instagram et Facebook, ainsi que d’autres services en ligne, ont été avertis d’être sur le qui-vive face aux extensions tierces de navigateur Google Chrome et Microsoft Edge qui sont en fait des mécanismes de diffusion de logiciels malveillants.

C’est selon les chercheurs de la menace à Avast, qui disent qu’ils ont découvert au moins 28 des extensions douteuses qui ont, à ce jour, été téléchargé environ trois millions de fois.

Dans de nombreux cas, les extensions basées sur Javascript visent à aider les utilisateurs à télécharger des vidéos à partir des plates-formes affectées à conserver, mais elles contiennent du code malveillant qui permet aux extensions de télécharger des logiciels malveillants sur l’appareil de la victime.

Le malware associé est capable de manipuler l’expérience en ligne de la victime de plusieurs façons, comme rediriger le trafic vers des annonces indésirables ou des sites Web malveillants de phishing, ou d’exfiltrer des données personnelles telles que les dates de naissance, les adresses e-mail et les informations sur les appareils actifs, y compris les adresses IP.

Avast malware chercheur Jan Rubín a déclaré que l’équipe croyait que l’objectif derrière l’activité malveillante était de monétiser le trafic redirigé – pour chaque redirection vers un domaine tiers cybercriminels contrôlés, ils recevront une certaine forme de paiement.

« Notre hypothèse est que soit les extensions ont été délibérément créées avec le malware intégré, ou l’auteur a attendu que les extensions deviennent populaires, puis a poussé une mise à jour contenant le malware », a déclaré Rubín.

« Il se pourrait également que l’auteur a vendu les extensions originales à quelqu’un d’autre après les avoir créé, puis l’acheteur a introduit le malware par la suite. »

Rubín surveille la menace depuis novembre 2020, mais estime qu’elle aurait pu être active pendant au moins deux ans – les avis sur le Chrome Web Store mentionnent le détournement de liens datant de cette période.

Il a ajouté: « Les portes dérobées des extensions sont bien cachées et les extensions ne commencent à montrer un comportement malveillant jours après l’installation, ce qui rend difficile pour tout logiciel de sécurité à découvrir. »

Le malware est également difficile à détecter car il obscurcit sa présence s’il détecte l’utilisateur est à la recherche d’un de ses domaines ou, apparemment, s’ils ont des compétences de développement web et pourrait donc être en mesure de repérer ce qu’il fait.

Au moment d’écrire ces lignes, les extensions infectées étaient encore disponibles au téléchargement, bien que Computer Weekly comprenne que Google et Microsoft sont conscients des problèmes et qu’ils les examinent.

La liste actuelle des extensions détectées est : Message direct pour Instagram; DM pour Instagram; Mode invisible pour Instagram Direct Message; Téléchargeur pour Instagram; Instagram Télécharger vidéo et image; App Phone pour Instagram; App Phone pour Instagram; Histoires pour Instagram; Téléchargeur vidéo universel; Téléchargeur vidéo universel; Téléchargeur vidéo pour Facebook; Téléchargeur vidéo pour Facebook; Vimeo Video Downloader; Vimeo Video Downloader; Contrôleur de volume; Zoomeur pour Instagram et Facebook; Déblocage VK. Fonctionne vite; Odnoklassniki Débloquer. Fonctionne rapidement; Télécharger la photo sur Instagram; Spotify Music Downloader; Télécharger la photo sur Instagram; Pretty Kitty, l’animal de compagnie de chat; Téléchargeur vidéo pour YouTube; Téléchargeur de musique SoundCloud; The New York Times Nouvelles; et l’application Instagram avec message direct DM.

Il est important de noter que lorsqu’une plate-forme spécifique, comme Instagram ou Vimeo, est nommée, aucune des extensions n’est officiellement associée à ces plateformes. Les utilisateurs doivent néanmoins désactiver ou désinstaller immédiatement les extensions au moins jusqu’à ce que le problème soit résolu, puis numériser et supprimer le malware.