Chrome : ces extensions sont à désinstaller le plus vite
McAfee a enquêté sur plusieurs extensions malveillantes. En tous, les enquêteurs ont découvert cinq extensions avec plus de 1.400.000 téléchargements.
Plusieurs extensions pour le navigateur Google Chrome se font passer, entre autres, pour des visionneuses Netflix. En réalité, elles suivent l’activité de navigation des utilisateurs et récupèrent leurs données.
Des extensions aux diverses fonctions
Les extensions concernées par le rapport “offrent diverses fonctions telles que permettre aux utilisateurs de regarder ensemble des émissions Netflix, des coupons de sites Web et la prise de captures d’écran d’un site Web”, indique McAfee. Seul problème, en plus d’offrir la fonctionnalité prévue, elles suivent également l’activité de navigation de leurs utilisateurs.
Chaque site Web visité est envoyé à des serveurs appartenant au créateur du programme malveillant. Bien entendu, la plupart des utilisateurs des extensions, donc les victimes, ne sont pas conscients de ce risque de violation de la vie privée. Explications.
Un code malveillant
Ces extensions malveillantes sont conçues pour charger un morceau de JavaScript, lui-même chargé de surveiller les sites Web visités. Autrement dit, les cybercriminels ont inséré un code dans les sites de commerce électronique visités. Une fois ce code malveillant inséré dans les portails de commerce électronique, il est capable de modifier les cookies du site et de recevoir un paiement affilié pour tout article acheté, alerte le rapport.
Ce document est le résultat de la découverte, en mars 2022, de treize extensions de navigateur Chrome accusées de redirection d’utilisateurs vers des sites de phishing et d’exfiltration d’informations sensibles. Les États-Unis, l’Europe et l’Inde sont les régions cibles. Voici la liste des suspects :
Netflix Party – mmnbenehknklpbendgmgngeaignppnbe
FlipShope – Price Tracker Extension – adikhbfjdbjkhelbdnffogkobkekkkej
Full Page Screenshot Capture – pojgkmkfincpdkdgjepkmdekcahmckjp
Netflix Party 2 – flijfnhifgdcbhglkneplegafminjnhn
AutoBuy Flash Sales gbnahglfafmhaehbdmjedfhdmimjcbed
www.netflixparty1.com
netflixpartyplus.com
flipshope.com
goscreenshotting.com
langhort.com
Unscart.in
autobuyapp.com
Un piège difficile à détecter
En plus de recevoir des paiements, le logiciel malveillant intègre aussi une technique qui retarde l’activité malveillante de 15 jours à compter de l’installation de l’extension. Une manipulation qui lui permet de camoufler son activité et de ne pas déclencher de signaux d’alarme.
Bonne nouvelle, depuis hier, le Chrome Web Store s’est séparé de cinq d’entre elles. Mais il est toujours recommandé aux utilisateurs des extensions malveillantes de les supprimer manuellement de leur navigateur Chrome. De même, il est systématiquement utile de vérifier l’authenticité si l’extension demande des autorisations qui lui permettent de s’exécuter sur tous les sites web visités.
