Google Chrome : 1,4 million de téléchargements pour ces 5 extensions malveillantes !

Les chercheurs en sécurité de McAfee ont identifié 5 extensions pour Google Chrome qui se montrent particulièrement curieuses. En effet, ces extensions collectent des informations sur l'activité des utilisateurs dans le navigateur dans un but bien précis. Au total, ces extensions comptabilisent plus de 1,4 million de téléchargements !

L'objectif de ces extensions malveillantes est de générer de l'argent en abusant du principe de l'affiliation. Le principe est le suivant : l'extension surveille l'activité de l'utilisateur sur Internet, et quand il visite un site de e-commerce, l'extension modifie les cookies afin de faire croire que l'utilisateur est arrivé sur le site en utilisant un lien d'affiliation. Ainsi, si l'utilisateur effectue un achat, les auteurs de ces extensions touchent une commission.

Cette manipulation est assurée par le script "B0.js" qui envoie les données de navigation de l'internaute vers un domaine contrôlé par les attaquants ("langhort[.]com"). Si le site web visité est dans la liste des sites pour lesquels l'auteur de l'extension est affilié, le serveur répond à B0.js avec l'une des deux fonctions possibles.

  • La première fonction "Result['c'] - passf_url" ordonne au script d'insérer l'URL fournie (lien de référence associé à l'affiliation) sous forme d'iframe sur le site web visité.
  • Le seconde fonction "Result['e'] setCookie" ordonne à B0.js de modifier le cookie ou de le remplacer pour activer le processus d'affiliation.

Les chercheurs de McAfee ont mis en ligne une vidéo de démo :

Voici la liste des extensions découvertes par McAfee, avec le nombre de téléchargements :

  • Netflix Party (ID : mmnbenehknklpbendgmgngeaignppnbe) – 800 000 téléchargements
  • Netflix Party 2 (ID : flijfnhifgdcbhglkneplegafminjnhn) – 300 000 downloads
  • Full Page Screenshot Capture – Screenshotting (ID : pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 téléchargements
  • FlipShope – Price Tracker Extension (ID : adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 téléchargements
  • AutoBuy Flash Sales (ID : gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 téléchargements

À première vue, ces extensions semblent légitimes, car elles fonctionnent réellement, en respectant les fonctionnalités annoncées. Par contre, en tâche de fond, elle effectue des actions douteuses et non respectueuses de la vie privée des utilisateurs. Si vous êtes un utilisateur de l'une de ces extensions, il est préférable de la supprimer. Pour éviter d'être détectées, certaines extensions vont jusqu'à attendre 15 jours avant d'entrer en action.

Pour le moment, les extensions "Full Page Screenshot Capture – Screenshotting" et "FlipShope – Price Tracker Extension" sont toujours disponibles sur le Chrome Web Store, tandis que les autres sont supprimées du magasin d'extension (ce qui n'empêche pas de les utiliser si elles sont déjà installées).

Dernièrement, c'est une fausse extension Internet Download Manager pour Google Chrome qui a fait également parler d'elle.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4076 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.