Un empire chinois de l’espionnage sur Chrome, Edge et Firefox a été débusqué par les chercheurs en cybersécurité de Koi. Patient et méthodique, le groupe DarkSpectre a inondé les boutiques d’extensions en apparence légitimes qui sont en fait taillées pour siphonner vos données. L’entité vise notamment les informations sur des réunions d’entreprises.
Le mois dernier, les chercheurs de Koi Security ont découvert que 145 extensions Chrome et Edge avaient pris l’habitude de siphonner l’historique, les cookies et les recherches des internautes. L’opération, qui s’est étalée sur plus de sept ans, a été baptisée ShadyPanda par les experts. Plus de 5,6 millions d’utilisateurs ont été touchés.
Peu après, les chercheurs chinois ont attribué une autre campagne malveillante, intitulée GhostPoster, au même acteur malveillant. Il y a quelques jours, les experts ont constaté que le même cybercriminel était aussi à l’origine d’une troisième opération visant les navigateurs Google Chrome, Microsoft Edge et Mozilla Firefox.
À lire aussi : Mise en avant par Google, cette extension Chrome espionne vos conversations avec ChatGPT, Gemini et 8 autres IA
Les réunions en ligne dans le viseur des cybercriminels
Intitulée The Zoom Stealer par les chercheurs de Koi, cette troisième campagne consiste à collecter des informations sur des réunions en ligne organisées par des entreprises. Parmi les données volées, on trouve l’URL de réunion (avec mot de passe intégré), les identifiants de réunion, le sujet, la description, et l’heure programmée par les participants. Des informations sur les participants sont aussi exfiltrées, comme les noms, les titres/postes, les biographies, les photos de profil, les affiliations professionnelles, les logos d’entreprise, et les métadonnées de session des intervenants. Toutes ces informations sont collectées à des fins d’espionnage industriel, de renseignement et d’ingénierie sociale. En clair, les données peuvent permettre à des pirates de manipuler les victimes.
Dans le cadre de cette opération d’espionnage, le groupe chinois s’est servi de 18 extensions sur Chrome, Edge et Firefox. La cyberattaque a fait plus de deux millions de victimes, indique le rapport de Koi. Toutes les extensions épinglées fonctionnaient correctement. Selon Koi, il s’agissait d’outils « fonctionnels qui apportaient une réelle valeur ajoutée », ce qui complique encore la détection par les internautes. Ce sont surtout des téléchargeurs de vidéos, des minuteurs de réunion ou encore des outils d’admission automatique des participants. Voici la liste de toutes les extensions épinglées :
- Capture audio Chrome
- ZED: Easy Zoom Downloader
- X (Twitter) Video Downloader
- Google Meet Auto Admit
- Zoom.us Always Show “Join From Web”
- Timer for Google Meet
- CVR: Chrome Video Recorder
- GoToWebinar & GoToMeeting Download Recordings
- Meet Auto Admit
- Google Meet Enhancement (Emojis, Text, Camera Effects)
- Mute on Meet
- Google Meet Push-To-Talk
- Photo Downloader for Facebook, Instagram, +
- Zoomcoder Extension
- Auto Join for Google Meet
- Edge Audio Capture
- Twitter X Video Downloader
- x-video-downloader
Les extensions liées à Zoom Stealer n’ont pas toutes disparu des boutiques d’extensions. Si certaines ont été signalées et bloquées, d’autres restent toujours disponibles. Le rapport cite le cas de Chrome Audio Capture, une extension en apparence légitime « qui compte à elle seule plus de 800 000 installations ». Elle est toujours sur le Chrome Web Store.
À lire aussi : Alerte rouge sur Google Chrome – une mystérieuse faille de sécurité est exploitée par des pirates
28 applications de visioconférence
Une fois installées, les extensions demandaient un accès « à plus de 28 plateformes de vidéoconférence », à commencer par Zoom, Microsoft Teams, Google Meet, Cisco WebEx ou encore ON24. Comme l’expliquent les chercheurs, de nombreuses extensions n’ont pourtant aucune raison d’accéder à un service de visioconférence. C’est le cas des outils de téléchargement de vidéos. De même, un minuteur taillé pour Google Meet n’est pas censé vous demander un accès à d’autres plateformes de communication.
Les attaques ont toutes été attribuées à DarkSpectre, une entité criminelle d’origine chinoise qui s’est spécialisée dans l’abus d’extensions de navigateur pour la fraude publicitaire et l’espionnage. Le groupe maintient de nombreuses extensions dormantes et légitimes pendant des années, avant de déployer des mises à jour malveillantes qui vont lui permettre de siphonner des données sensibles. Le groupe criminel dispose de plus de 300 extensions taillées pour l’espionnage et le vol d’informations.
« DarkSpectre a constitué une base de données susceptible d’alimenter des opérations d’usurpation d’identité à grande échelle, en offrant aux attaquants : des identifiants pour rejoindre des appels confidentiels, des listes de participants pour savoir qui incarner et tout le contexte nécessaire pour rendre ces impostures crédibles », met en garde Koi.
Plus que jamais, méfiez-vous des extensions que vous installez sur votre navigateur. Avant d’installer une extension, prenez le temps de vous renseigner sur celle-ci et sur son développeur. Consultez systématiquement les avis et les commentaires.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.