Prague, République tchèque, le 17 décembre 2020 - Des chercheurs d'Avast (LSE : AVST), leader mondial des produits de sécurité et de confidentialité numériques, ont identifié des logiciels malveillants cachés dans au moins 28 extensions tierces de Google Chrome et de Microsoft Edge associées à des plateformes très populaires. Le malware a la fonctionnalité de rediriger le trafic de l'utilisateur vers des annonces ou des sites de phishing, ainsi que de voler les données personnelles des utilisateurs ; telles que les dates de naissance, les adresses e-mail et les appareils actifs. Selon les chiffres de téléchargement des app stores, environ trois millions de personnes pourraient être touchées dans le monde.
Les extensions qui aident les utilisateurs à télécharger des vidéos à partir de ces plateformes incluent des extensions des navigateurs Google Chrome et Microsoft Edge, dont notamment Video Downloader for Facebook, Video Downloader for Vimeo, Story Downloader for Instagram, et VK Unblock. Les chercheurs d’Avast ont identifié un code malveillant dans les extensions basées sur Javascript, qui permet à ces dernières de télécharger d'autres malwares sur le PC d'un utilisateur.
Les utilisateurs ont également signalé que ces extensions manipulaient leur expérience en ligne et les redirigeaient vers d'autres sites Web. En effet, chaque fois que l’un d’eux clique sur un lien, les extensions envoient des informations relatives au clic au serveur de contrôle de l'attaquant. Le cybercriminel peut ensuite décider de rediriger la victime vers une nouvelle URL piratée, avant de la rediriger plus tard vers le site Web voulant être visité. La confidentialité de l'utilisateur est donc compromise par cette procédure, car un journal complet de ses clics est envoyé à ces sites Web intermédiaires tiers. Les hackers exfiltrent et collectent également les dates de naissance, les adresses e-mail et les informations de l'appareil de l'utilisateur ; y compris l'heure de la première et dernière connexion, le nom de l'appareil, le système d'exploitation, le navigateur utilisé et sa version, et même les adresses IP pour trouver éventuellement l'historique de localisation géographique approximative de l'utilisateur.
Les chercheurs d'Avast pensent que l'objectif est de monétiser le trafic : pour chaque redirection vers un domaine tiers, les cybercriminels recevraient un paiement. Néanmoins, l'extension a également la capacité de rediriger les utilisateurs vers des publicités ou des sites de phishing.
« Notre hypothèse est que, soit les extensions ont été délibérément créées avec le malware intégré, soit l'auteur a attendu que les extensions deviennent populaires, puis a poussé une mise à jour contenant le malware, détaille Jan Rubin, chercheur sur les logiciels malveillants chez Avast. Il se peut aussi que l'auteur ait vendu les extensions originales à quelqu'un d'autre, après les avoir créées, puis que cet acheteur ait introduit le malware par la suite. »
L'équipe Threat Intelligence d'Avast surveille cette menace depuis novembre 2020, mais pense qu'elle est active depuis plusieurs années sans que personne ne s'en soit aperçu. Des critiques négatives mentionnant le détournement de liens sont ainsi visibles sur le Chrome Web Store depuis décembre 2018.
« Les portes dérobées des extensions sont bien cachées, et les extensions ne commencent à présenter un comportement malveillant que quelques jours après l'installation, ajoute Jan Rubin, ce qui rend la découverte difficile pour tout logiciel de sécurité. »
« Le logiciel malveillant est assez difficile à détecter car il a la capacité de se "cacher", poursuit Jan Vojtěšek, chercheur chez Avast. Le virus détecte si l'utilisateur consulte l'un de ses domaines cachés sur Google ou, par exemple, s’il est développeur Web et, si c'est le cas, n'effectuera aucune activité malveillante sur son navigateur. Il évite d'infecter des personnes plus compétentes en matière de développement Web, puisqu'elles pourraient plus facilement découvrir ce que font les extensions en arrière-plan ».
Actuellement, les extensions infectées sont toujours disponibles au téléchargement. Avast les a signalés aux équipes de Microsoft et de Google Chrome, qui ont confirmé qu’elles examinaient actuellement le problème. En attendant, Avast recommande aux utilisateurs de désactiver ou de désinstaller les extensions jusqu'à ce que le problème soit résolu, puis de rechercher le malware et le supprimer.
La liste des extensions détectées compromises est disponible ci-dessous :