Des pirates ont compromis 36 extensions populaires du Chrome Web Store, infectant des millions d’utilisateurs avec du code malveillant. La cyberattaque repose sur une campagne de phishing sophistiquée.
La semaine dernière, des pirates ont profité du réveillon de Noël pour compromettre des extensions Chrome populaires. Les cybercriminels ont glissé du code malveillant dans une nouvelle version de l’extension en servant des comptes des développeurs sur le Google Chrome Web Store. Ces nouvelles versions ont été téléchargées et installées par les internautes. Les extensions ont alors pu siphonner une partie des données des utilisateurs.
Selon les investigations menées par Cyberhaven, l’une des cibles de la cyberattaque, les pirates ont compromis un total de 36 extensions Chrome pour arriver à leurs fins. Aux dires de la société de cybersécurité, ces extensions cumulent plus de 2 600 000 d’usagers. Cyberhaven indique continuer à « surveiller afin de détecter d’autres infections ».
À lire aussi : vol massif sur Google Chrome – un ransomware pille les mots de passe des internautes
Aux origines : une campagne de phishing sophistiquée
Quelques jours après les faits, il s’est avéré que toute l’opération repose sur une vaste campagne de phishing visant les développeurs d’extensions. Comme le rapportent nos confrères de Bleeping Computer, une vague de phishing a débuté au début du mois de décembre 2024. Les pirates préparent cependant l’attaque depuis mars dernier.
L’attaque débute par l’envoi d’un mail de phishing ciblant directement les développeurs d’extensions Chrome. Pour berner leurs cibles, les pirates se servent des noms de domaine comme supportchromestore.com, forextensions.com ou encore chromeforextension.com.
Sur Google Group, un développeur indique avoir reçu « un mail de phishing plus sophistiqué que d’habitude ». Celui-ci mettait les utilisateurs en garde contre « une prétendue violation de la politique des extensions Chrome, spécifiquement pour un motif intitulé : Détails inutiles dans la description ».
En se faisant passer pour Google, les attaquants affirment que l’extension risque d’être supprimée à cause d’une description non adéquate. Sans surprise, le mail encourage les développeurs à corriger le tir dans les plus brefs délais en cliquant sur un lien vers le Chrome Web Store.
« Le lien dans cet e-mail ressemble à celui de la boutique officielle, mais il redirige vers un site de phishing conçu pour tenter de prendre le contrôle de votre extension Chrome, avec probablement l’intention de la mettre à jour avec des logiciels malveillants », témoigne le développeur, faisant référence à la vague d’offensives survenues le soir du réveillon.
C’est un procédé particulièrement classique pour les pirates spécialisés dans les attaques de phishing. Une fois arrivé sur la page frauduleuse, le développeur visé sera invité à accorder aux pirates l’autorisation de gérer les extensions du Chrome Web Store par le biais de son compte.
Pour ça, les pirates se servent d’une application OAuth malveillante, dénuée d’un système de double authentification. Il s’agit d’un protocole standard d’autorisation qui permet à une application tierce d’accéder à des ressources protégées sur un autre service, sans que l’utilisateur ait besoin de partager ses identifiants, comme des mots de passe. En quelques clics, les développeurs donnent donc le pouvoir aux cybercriminels.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Bleeping Computer