Des extensions Chrome malicieuses ont infecté plus de 100 000 ordinateurs

Mickaël Bazoge |

Une fois de plus, des extensions pour Chrome ont permis à des malandrins de subtiliser des informations confidentielles (mais aussi de miner des cryptomonnaies à l'insu des utilisateurs). Ces sept extensions, disponibles au téléchargement depuis le Chrome Web Store officiel, ont infecté plus de 100 000 ordinateurs.

La méthode de propagation des extensions malicieuses.

Proposées depuis le mois de mars, elles ont été repérées par les chercheurs de Radware : cinq avaient été supprimées par Google, deux l'ont été suite à la découverte de cette société spécialisée dans la sécurité informatique.

Ces sept extensions (Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate et iHabno) se diffusaient via des liens partagés sur Facebook qui menaient les victimes sur de fausses pages YouTube réclamant l'installation d'un de ces plug-ins.

La fausse page YouTube.

Une fois téléchargée, l'extension exécutait du code Javascript installant de force l'ordinateur au sein d'un botnet. Ce dernier volait les informations d'identification des comptes Facebook et Instagram, collectait des données confidentielles provenant de Facebook, et envoyait des liens infectés aux amis de la victime.

De plus, ces extensions installaient un mineur de cryptomonnaies (monero, bytecoin et electroneum) ; sur les six derniers jours, les brigands ont pu récupérer environ mille dollars en monero. De plus, ces derniers faisaient en sorte qu'il était très difficile aux utilisateurs de Chrome de supprimer les plug-ins.

Google a mis en place un système de validation sur le Web Store de Chrome, et supprime les extensions malicieuses de manière proactive, mais il arrive que certaines passent entre les mailles du filet. Les réussites enregistrées régulièrement par les malfrats les encouragent à toujours tenter leur chance.

avatar r e m y | 

C'est fini la belle époque où les adeptes de Chrome présentaient ce navigateur comme la solution ultime pour ne pas être confronté aux failles de sécurité de Flash...

avatar bonnepoire | 

Suffit de ne pas installer n'importe quelle merde dessus.

avatar Moonwalker | 

Il suffit de ne pas l’installer du tout.

avatar hrurussia | 

@Moonwalker

Je suis plutôt d'accord. J'utilise Chrome sur mon téléphone, parce que c'est le mieux intégré à Android, et j'aime beaucoup, mais sur mon Macbook, Chrome c'est juste le truc qui fait hyper ventiler l'ordinateur, je comprends pas, du coup ... bye

avatar Moonwalker | 

Dis ça à Locke. :D

avatar C1rc3@0rc | 

@r e m y

«C'est fini la belle époque où les adeptes de Chrome présentaient ce navigateur comme la solution ultime pour ne pas être confronté aux failles de sécurité de Flash...»

Flash sur un navigateur c'est la pire des faille possible. Chrome permet de limiter un peu les degats, mais il n'a jamais ete question de securité dans cette situation.

«Ces sept extensions (Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate et iHabno) se diffusaient via des liens partagés sur Facebook qui menaient les victimes sur de fausses pages YouTube réclamant l'installation d'un de ces plug-ins.»
Ou la tres efficace technique du phishing via Facebook demontre encore une fois son efficacité...
Certes cette technique est une des plus utilisées pour installer des versions de Flash embarquant en plus un malware. La il s'agit juste d'une generalisation

Le navigateur a beau etre securisé, si l'utilisateur installe via cette strategie une extension, il n'y a aucune possibilité pour le navigateur de proteger l'utilisateur...

«Une fois téléchargée, l'extension exécutait du code Javascript installant de force l'ordinateur au sein d'un botnet. Ce dernier volait les informations d'identification des comptes Facebook et Instagram, collectait des données confidentielles provenant de Facebook, et envoyait des liens infectés aux amis de la victime.»

Le probleme est encore un fois les possibilités laissées a Javascript.
Conçu a l'origine pour animer une page Web statique, ses possibilités aujourd'hui vont de plus en plus loin et beaucoup trop loin.
La seule solution de securisation c'est de restreindre Javascript a l'animation et a la verification des donnees, mais l'empecher d'en telecharger, envoyer et d'en generer!

On voit aussi ici l'exploitation sociale de Facebook. Il est effectivement plus automatique d'accepter un lien d'une personne que l'on connait que de cliquer sur un lien d'une page qu'on visite...

Bref ici on a different niveaux d'exploitation qui demontre une chose: la dangerosité des detournement du Web. Et cela va etre de pire en pire au fur et a mesure que les sites Web acquierent des possibilités d'application et que les navigateurs deviennent des OS dans l'OS.

avatar Serdinant | 

SAFARI

avatar Nicolas R. | 

Le meilleur outil est la vigilance en passant par l'(in)formation

avatar spece92 | 

Vous (et les autres) n’arrêtez pourtant pas de faire la promotion de chrome

avatar marc_os | 

Cela concerne-t-il nos Macintosh ?
Oui, non, l'article ne le dit pas directement.
La copie d'écran faite semble-t-il sur autre chose que macOS laisse suggérer que cela ne "nous" concernerait pas directement.
Est-ce bien le cas ?

avatar marc_os | 

Bon, ben je vais devoir chercher la source l'info qui n'est pas citée bien sûr, ou un vrai site d'information. :/

PS: https://arstechnica.com/information-technology/2018/05/malicious-chrome-...

avatar ce78 | 

Je n’ai pas Chrome.

Safari (en nav privée) et Firefox en version bridée (pour un accès à un extranet avec une clé RGS***).

Et sinon Tor.

Chrome c’est Google, donc non.

Et ProtonVPN.

avatar alan1bangkok | 

n'étant pas complètement parano et non  AmenUser..., j'utilise aussi Chrome.
n'étant pas complément con je n'installe pas n'importe quoi dessus

avatar NerdForever | 

@alan1bangkok

Tout à fait! Mais comme souvent dans ces histoires, le problème majeur de situe en face de l'écran...

avatar adixya | 

@ce78

En fait tu travailles dans la mise au point d’armes nucléaires ou quoi ?

avatar NerdForever | 

@adixya

C'est malin maintenant qu'il est démasqué il va avaler sa capsule de cyanure...

avatar ce78 | 

@adixya

Dans le juridique, lol.

avatar Bigdidou | 

Installer un truc qui s'appelle Wiki Skill Popup ou Fix je sais plus quoi à partir d'un lien FB, faut être quand même être sacrément motivé.
Je me demande toujours comment ceux qui installent des trucs pareils ont pu maintenir suffisamment longtemps leur informatique pour arriver jusque là.
Voire ont pu rester en vie, sans être totalement dépouillés de tout...

avatar xDave | 

@Bigdidou

Et bien, pour avoir formé un paquet de personnes, et de tous niveaux en informatique, certaines choses restent particulièrement obscures.
Pour "nous", des évidences, mais je me rends compte qu'il faut expliquer parfois le B.A.BA
Alors quand on voit à quel point les "petits salopards" peuvent être imaginatifs et très forts pour détruire ce que font des boîtes pourtant aussi armées que Google, il ne faut pas être surpris.

avatar Bigdidou | 

@xDave

"Pour "nous", des évidences, mais je me rends compte qu'il faut expliquer parfois le B.A.BA "

J'admets.
Là où je travaille, le ransomware qui a failli nous mettre à genou, c'est quelqu'un qui s'est demandé ce que pouvait bien contenir le dossier "spam".
Puis qui a ouvert les messages un à un jusqu'à ce que...
Ça s'invente pas.

avatar Average Joe | 

Comme quoi, le problème numéro 1 se passe entre la chaise et le clavier… Classique (comme au piano en somme).

CONNEXION UTILISATEUR