Depuis 2020, Kaspersky a bloqué plus de 6 millions de téléchargements d’extensions malveillantes. Dans la grande majorité des cas, il s’agit de publiciels qui cherchent à faire de l’argent sur votre dos.
Les extensions de navigateurs, c’est bien pratique, mais leur utilisation n’est pas sans risque. Des millions d’internautes sont victimes d’extensions malveillantes chaque année, comme vient de révéler Kaspersky, un éditeur d’antivirus. Rien que sur son propre parc de clients, l’entreprise a pu bloquer plus de 6 millions de téléchargements d’extensions malveillantes depuis le début 2020.
Deux tiers de ces extensions bloquées étaient de type « publiciels » et un tiers de type « malware ». Dans les deux cas, elles se présentent sous de fausses apparences et proposent souvent des fonctions utilitaires et pratiques : conversion PDF, correction grammaticale et orthographique, téléchargement de vidéos, proxy, etc. Kaspersky a profité de son analyse pour mettre quatre familles d’extensions malveillantes en exergue.
Et hop, on change le moteur de recherche
La première est « WebSearch ». C’est la famille de publiciels la plus répandue et la plus basique. Dès l’installation, elle va remplacer le moteur de recherche par défaut de l’utilisateur par un autre (« myway.com »). En fonction des recherches effectuées, celui-ci affichera donc ses propres liens publicitaires. C’est une variante de la fameuse « toolbar » qui a énervé des générations d’internautes. Dans cette famille, vous trouverez les extensions suivantes : « EasyPDFCombine », « PDF Viewer & Converter by FromDocToPDF », « OnlineMapFinder », EasyDocMerge ». Ces logiciels ont été supprimés des boutiques applicatives des navigateurs, mais certains les utilisent toujours.
La deuxième famille est « DealPly » qui est également de type publiciel. Généralement, ces extensions ne sont pas téléchargées directement par l’utilisateur, mais par un malware provenant d’un logiciel craqué. Comme précédemment, le moteur de recherche est remplacé par un autre. L’internaute se verra aussi transporté directement vers des sites sponsorisés sans qu’il le souhaite. Se débarrasser de ce genre d’extension est plus compliqué, car le malware responsable de son installation la rend par ailleurs persistante par un ajout dans la base de registre. Une fois supprimée, elle réapparaîtra automatiquement au prochain lancement du navigateur. Parmi les extensions de cette famille, citons « Internal Chromium Extension » et Search Manager ».
Génération de faux traffic
La troisième famille est « AddScript ». C’est un malware qui contient du code obfusqué qui, une fois décodé, se livrera à des actions plutôt intrusives comme les lecteurs de vidéo en arrière-plan ou le dépôt de faux cookies dans le répertoire du navigateur. Le but, vous l’aurez compris, est une arnaque publicitaire. Il s’agit de générer de fausses vues vidéos ou de faire croire que l’internaute s’est déjà rendu sur certaines pages. Quelques exemples : « Y2Mate Video Downloader », « Helper (an easy way to find best prices) », « SaveFrom.net helper » et « friGate3 Proxy helper ».
La quatrième famille, enfin, est « FB Stealer ». Comme avec DealPly, ces extensions sont plutôt installées par des malwares embarqués dans des logiciels craqués. Là encore, l’extension procède à un changement du moteur de recherche. Il va également subtiliser les cookies de session Facebook de l’utilisateur, se connecter en lieu et place de ce dernier et changer de mot de passe. « Une fois à l’intérieur du compte, les attaquants peuvent demander de l’argent aux amis de la victime, en essayant d’en obtenir le plus possible avant que l’utilisateur ne retrouve l’accès au compte », souligne Kaspersky.
Source :
Kaspersky