La semaine dernière, les chercheurs en sécurité de Proofpoint ont révélé que huit extensions Chrome, qui avaient déjà été téléchargées plus de 4 millions de fois, ont été utilisées comme vecteur d’attaque. Les développeurs derrière ces extensions ont été victimes de vol d’identifiants et les acteurs malveillants se sont alors servis de ces accès nouvellement acquis sur la vitrine de téléchargement de Google des versions modifiées des extensions qui embarquent le code malveillant.
Parmi ces extensions figuraient Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1, Social Fixer 20.1.1, TouchVPN, Betternet VPN ainsi que deux autres extensions Copyfish et Web Developer.
« Dans de nombreux cas, les victimes ont vu s’afficher de fausses alertes JavaScript les incitant à "réparer" leur PC, puis se sont vues redirigées vers des programmes d'affiliation à partir desquels les acteurs de la menace pourraient tirer profit », ont expliqué les chercheurs. Outre cela, les chercheurs ont fait valoir que le code est également conçu pour dérober des identifiants de connexion à l’hébergeur Cloudflare.
Une situation qui a sans doute motivé Google à réagir. En effet, ses ingénieurs ont ajouté deux fonctionnalités au navigateur Chrome qui vont alerter les utilisateurs d’extensions dès lors que ces dernières vont tenter de détourner les paramètres du proxy ou la nouvelle page d'onglet.
Ces avertissements, qui ont été repérés dans les builds de Google Chrome Canary (v62.x), se présentent sous la forme de fenêtres popup qui apparaissent sur le côté droit de l'écran, près du menu déroulant Chrome.
Le premier de ces avertissements concerne les extensions qui prennent en charge les paramètres de proxy de l'utilisateur, ce qui détourne efficacement la connexion Internet de l'utilisateur. Les développeurs d'extensions malveillants utilisent le détournement de proxy pour rediriger le trafic malveillant et le faire passer par leurs serveurs, où ils injectent ou remplacent des annonces légitimes par les leurs.
L’utilisateur sera alors averti et recevra le message suivant : « Cette extension a pris le contrôle de vos paramètres de proxy, ce qui signifie qu’elle peut changer, casser ou écouter tout ce que vous faites en ligne. Si vous ne savez pas pourquoi ce changement s’est produit, vous ne le voulez probablement pas. »
Le second avertissement est relatif aux extensions qui modifient l'onglet d'accueil de l'utilisateur. Habituellement, les extensions malveillantes détournent le nouvel onglet d'un navigateur pour insérer leur propre page Web personnalisée ou rediriger les utilisateurs vers un moteur de recherche.
L’utilisateur va lire : « une extension a changé la page qui s’affiche lorsque vous ouvrez un nouvel onglet. Si vous ne voulez pas ce changement, vous pouvez restaurer vos réglages précédents. »
Comme vous pouvez le constater, chaque message s’accompagne de boutons qui permettent à l’utilisateur de restaurer les paramètres précédents ou d’autoriser l’extension à continuer son travail.
Source : BC, Proofpoint
Et vous ?
Que pensez-vous de cette solution ?
Chrome va vous alerter si une extension modifie vos paramètres de proxy
Ou change votre page d'accueil
Chrome va vous alerter si une extension modifie vos paramètres de proxy
Ou change votre page d'accueil
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !