Certains ont même reçu des badges « vérifiés » et « en vedette » de Google et Microsoft
Wtf ?! Plusieurs extensions de navigateur avec un total combiné de plus de 2,3 millions de téléchargements auraient détourné les sessions de navigation et le suivi de l’activité des utilisateurs. Beaucoup de ces modules complémentaires malveillants sont restés disponibles dans les magasins Web Chrome et Edge pendant des années, certains recevant même les badges convoités « en vedette » et « vérifiés », soulevant de sérieuses questions sur les processus d’examen de l’extension utilisés par Google et Microsoft.
Selon des chercheurs de KOI Security, les extensions malveillantes faisaient partie d’une opération coordonnée impliquant au moins 18 modules complémentaires connus répertoriés dans les magasins de chrome et d’extension de bord. Surnommée « Reddirection », la campagne de détournement de navigateur aurait infecté plus de 2,3 millions d’utilisateurs de la part des deux navigateurs, ce qui en fait l’une des plus grandes opérations de ce type jamais documentées.
L’une des extensions suspectes, le sélecteur de couleurs – GECO, avait plus de 100 000 installations sur Chrome et une note de 4,2 étoiles de plus de 800 avis. Il a également reçu des notes similaires sur le magasin des modules complémentaires Edge de Microsoft, avec plus de 1 000 installations, ce qui lui donne une apparence de légitimité.
Décrivant l’extension comme un «cheval de Troie soigneusement conçu», l’analyste de la sécurité de KOI, Idan Dardikman, a noté que ce n’était pas le travail des escrocs amateurs, mais plutôt une opération sophistiquée orchestrée par des personnes qui savaient clairement ce qu’elles faisaient. Bien que l’extension ait depuis été supprimée de la boutique en ligne Chrome, elle était toujours disponible sur le magasin Edge Add-ons au moment de la rédaction.
Les autres extensions malveillantes de la campagne comprennent divers claviers emoji, des outils de prévision météorologiques, des contrôleurs de vitesse vidéo, des procurations VPN pour Discord et Tiktok, les catalyseurs de thème sombres, les boosters de volume et les déblockers YouTube. La plupart d’entre eux ont rempli leurs fonctions annoncées assez bien, ce qui leur a permis de rester non détectée pendant des années.
Beaucoup de ces extensions auraient commencé inoffensives, certains gagnant même un badge « vérifié » sur la boutique en ligne Chrome. Le code est resté propre pendant des années avant que les fonctionnalités malveillantes ne soient introduites tranquillement grâce à des mises à jour. Ces mises à jour ont permis d’installer automatiquement le code caché sur des millions de périphériques sur les deux navigateurs, sans aucune interaction utilisateur.
Les chercheurs de KOI ont émis un avis exhortant les utilisateurs affectés à supprimer immédiatement toutes les extensions suspectes de Chrome et Edge. Les utilisateurs sont également invités à effacer leurs données de navigateur pour éliminer les identifiants de suivi stockés et à exécuter une analyse de logiciels malveillants à la demande à l’échelle du système pour vérifier toute infection supplémentaire.
La liste complète des extensions malveillantes liées à la campagne Reddirection est disponible sur le blog de sécurité KOI sur Medium.
