Google a supprimé plus de 500 ajouts nuisibles au navigateur Chrome de sa boutique officielle sur Internet après une enquête conjointe de deux mois menée par l’équipe Duo Security de Cisco et Jamila Kaya, un chercheur en sécurité qui a constaté que ces modules complémentaires injectent des publicités nuisibles et transfèrent les données de navigation des utilisateurs vers les serveurs Sous le contrôle des assaillants.
Ces ajouts font partie d’une campagne de publicité et de fraude qui fonctionne depuis au moins janvier 2019, bien que les preuves indiquent que l’auteur du stratagème pourrait être actif depuis 2017, et l’équipe de recherche pense également que le groupe qui a organisé ce processus peut être actif depuis le début 2010.
Selon l’enquête, 70 de ces modules complémentaires ont été installés plus de 1,7 million de fois, et lors du partage de cette découverte avec Google, la société a identifié 430 des extensions de navigateur les plus problématiques, et toutes ont été désactivées.
Jacob Rickerd, de l’équipe Duo Security de Cisco, a déclaré: «L’apparition d’annonces malveillantes en tant que vecteur d’attaque continuera d’augmenter tant que les annonces basées sur le suivi resteront partout, en particulier si les utilisateurs restent privés de mécanismes de protection.»
En utilisant un outil appelé CRXcavator pour évaluer les modules complémentaires de sécurité Chrome de Duo Security, les chercheurs ont pu s’assurer que les plug-ins de navigateur fonctionnent en connectant secrètement les clients du navigateur au contrôle et au serveur de contrôle des attaquants, ce qui permet d’extraire des données de navigation privées à l’insu des utilisateurs.
Les plugins, qui fonctionnent comme des modules complémentaires pour les promotions et les services publicitaires, contiennent un code source presque identique, mais ils diffèrent par les noms de travail, et sont donc en mesure d’échapper aux mécanismes de découverte de logiciels malveillants et de logiciels malveillants pour le Chrome Web Store.
En plus de demander des autorisations complètes qui permettent aux plugins d’accéder au presse-papiers et à tous les cookies stockés localement dans le navigateur, les plugins se connectent périodiquement à un site avec le même nom de plugin, pour vérifier les instructions de désinstallation du navigateur.
Il est à noter que ce n’est pas la première fois que des modules complémentaires sont détectés pour voler des données dans le navigateur Chrome, comme le chercheur en sécurité Sam Jadali a révélé en juillet dernier une énorme fuite de données appelée DataSpii causée par des modules complémentaires de navigateur Google installés par des millions d’utilisateurs.
Source : l’enquête