Articles de presse

Des extensions de navigateur tierces, dont Instagram, Facebook et Vimeo, infectées par des malwares

Environ 3 millions de personnes touchées dans le monde. Les experts de l‘équipe Threat Intelligence d’Avast recommandent de désactiver, ou de désinstaller, ces extensions.

Environ 3 millions de personnes touchées dans le monde. Les experts de l‘équipe Threat Intelligence d’Avast recommandent de désactiver, ou de désinstaller, ces extensions.


Prague, République tchèque, le 17 décembre 2020 - Des chercheurs d'Avast (LSE : AVST), leader mondial des produits de sécurité et de confidentialité numériques, ont identifié des logiciels malveillants cachés dans au moins 28 extensions tierces de Google Chrome et de Microsoft Edge associées à des plateformes très populaires. Le malware a la fonctionnalité de rediriger le trafic de l'utilisateur vers des annonces ou des sites de phishing, ainsi que de voler les données personnelles des utilisateurs ; telles que les dates de naissance, les adresses e-mail et les appareils actifs. Selon les chiffres de téléchargement des app stores, environ trois millions de personnes pourraient être touchées dans le monde.

Les extensions qui aident les utilisateurs à télécharger des vidéos à partir de ces plateformes incluent des extensions des navigateurs Google Chrome et Microsoft Edge, dont notamment Video Downloader for Facebook, Video Downloader for Vimeo, Story Downloader for Instagram, et VK Unblock. Les chercheurs d’Avast ont identifié un code malveillant dans les extensions basées sur Javascript, qui permet à ces dernières de télécharger d'autres malwares sur le PC d'un utilisateur.

Les utilisateurs ont également signalé que ces extensions manipulaient leur expérience en ligne et les redirigeaient vers d'autres sites Web. En effet, chaque fois que l’un d’eux clique sur un lien, les extensions envoient des informations relatives au clic au serveur de contrôle de l'attaquant. Le cybercriminel peut ensuite décider de rediriger la victime vers une nouvelle URL piratée, avant de la rediriger plus tard vers le site Web voulant être visité. La confidentialité de l'utilisateur est donc compromise par cette procédure, car un journal complet de ses clics est envoyé à ces sites Web intermédiaires tiers. Les hackers exfiltrent et collectent également les dates de naissance, les adresses e-mail et les informations de l'appareil de l'utilisateur ; y compris l'heure de la première et dernière connexion, le nom de l'appareil, le système d'exploitation, le navigateur utilisé et sa version, et même les adresses IP pour trouver éventuellement l'historique de localisation géographique approximative de l'utilisateur.

Les chercheurs d'Avast pensent que l'objectif est de monétiser le trafic : pour chaque redirection vers un domaine tiers, les cybercriminels recevraient un paiement. Néanmoins, l'extension a également la capacité de rediriger les utilisateurs vers des publicités ou des sites de phishing.

« Notre hypothèse est que, soit les extensions ont été délibérément créées avec le malware intégré, soit l'auteur a attendu que les extensions deviennent populaires, puis a poussé une mise à jour contenant le malware, détaille Jan Rubin, chercheur sur les logiciels malveillants chez Avast. Il se peut aussi que l'auteur ait vendu les extensions originales à quelqu'un d'autre, après les avoir créées, puis que cet acheteur ait introduit le malware par la suite. »

L'équipe Threat Intelligence d'Avast surveille cette menace depuis novembre 2020, mais pense qu'elle est active depuis plusieurs années sans que personne ne s'en soit aperçu. Des critiques négatives mentionnant le détournement de liens sont ainsi visibles sur le Chrome Web Store depuis décembre 2018. 

« Les portes dérobées des extensions sont bien cachées, et les extensions ne commencent à présenter un comportement malveillant que quelques jours après l'installation, ajoute Jan Rubin, ce qui rend la découverte difficile pour tout logiciel de sécurité. »

« Le logiciel malveillant est assez difficile à détecter car il a la capacité de se "cacher", poursuit Jan Vojtěšek, chercheur chez Avast. Le virus détecte si l'utilisateur consulte l'un de ses domaines cachés sur Google ou, par exemple, s’il est développeur Web et, si c'est le cas, n'effectuera aucune activité malveillante sur son navigateur. Il évite d'infecter des personnes plus compétentes en matière de développement Web, puisqu'elles pourraient plus facilement découvrir ce que font les extensions en arrière-plan ».

Actuellement, les extensions infectées sont toujours disponibles au téléchargement. Avast les a signalés aux équipes de Microsoft et de Google Chrome, qui ont confirmé qu’elles examinaient actuellement le problème. En attendant, Avast recommande aux utilisateurs de désactiver ou de désinstaller les extensions jusqu'à ce que le problème soit résolu, puis de rechercher le malware et le supprimer.

La liste des extensions détectées compromises est disponible ci-dessous :

Direct Message for Instagram

Direct Message for Instagram™

DM for Instagram

Invisible mode for Instagram Direct Message

Downloader for Instagram

Instagram Download Video & Image

App Phone for Instagram

App Phone for Instagram

Stories for Instagram

Universal Video Downloader

Universal Video Downloader

Video Downloader for FaceBook™

Video Downloader for FaceBook™

Vimeo™ Video Downloader

Vimeo™ Video Downloader

Volume Controller

Zoomer for Instagram and FaceBook

VK UnBlock. Works fast.

Odnoklassniki UnBlock. Works quickly.

Upload photo to Instagram™

Spotify Music Downloader

Stories for Instagram

Upload photo to Instagram™

Pretty Kitty, The Cat Pet

Video Downloader for YouTube

SoundCloud Music Downloader

The New York Times News

Instagram App with Direct Message DM