Qu’est-ce qui vient juste de se passer? Les chercheurs de Guardio Security ont découvert une « vaste campagne » d’extensions de navigateur malveillantes collectant des données. Les analystes l’ont surnommé « Dormant Colors » en raison de l’accent mis par le malware sur les thèmes de couleur et de style – Action Colors, Power Colors, Super Colors, etc. Dormant Colors se compose de 30 extensions différentes que des millions d’utilisateurs ont téléchargées.

Les « assistants » apparemment inoffensifs se présentent comme des modificateurs de page Web, permettant aux utilisateurs de modifier des éléments tels que les couleurs d’arrière-plan et les styles de police sur les pages Web qu’ils visitent. Cependant, sous le capot, ils ont plusieurs tentatives malveillantes, notamment le détournement de vos historiques de recherche/navigation, l’insertion de publicités dans les pages visitées et le chargement latéral de code malveillant sans être détecté.

Le résultat est un réseau d’ordinateurs infectés que les pirates peuvent utiliser pour d’autres activités néfastes.

« Cela commence par la campagne de publicité malveillante trompeuse, se poursuit par une nouvelle façon astucieuse de charger le véritable code malveillant sans que personne ne s’en aperçoive (jusqu’à présent !), Et enfin par le vol non seulement de vos recherches et de vos données de navigation, mais également de l’affiliation à 10 000 personnes ciblées. – une capacité facilement exploitable pour le harponnage ciblé, le socket de contrôle de compte et l’extraction d’informations d’identification – le tout en utilisant ce puissant réseau de millions d’ordinateurs infectés dans le monde ! »

Les 30 extensions identifiées fonctionnent dans Chrome et Edge. Ils pouvaient être trouvés dans les référentiels de Google et de Microsoft, mais les deux sociétés ont supprimé la plupart des entrées qu’elles ont confirmées comme malveillantes. Cependant, cela ne fait rien pour ceux qui les ont encore installés. De plus, comme le code des extensions ne sert que de ruse, les applications peuvent facilement être renommées et téléchargées avec un autre compte.

Guardio a déclaré que la nature du logiciel permet aux attaquants de cibler des utilisateurs individuels ou des domaines entiers en utilisant de faux résultats de recherche, le piratage de sites et le harponnage ciblé. Pour ce faire, il vole les données du navigateur d’un utilisateur et les envoie à un serveur de commande et de contrôle. Les pirates peuvent utiliser ces données pour mettre à jour l’extension avec de nouveaux vecteurs d’attaque en utilisant « l’injection de code silencieuse ».

Normalement, les modérateurs de Google et de Microsoft peuvent repérer un code manifestement malveillant et le rejeter avant qu’il ne soit approuvé. Cependant, les chercheurs ont découvert que les opérateurs de logiciels malveillants conçoivent les extensions d’une manière qui leur permet d’être inspectées.

« Dans son état initial, l’extension est inoffensive. En parcourant le code, vous découvrirez des tonnes de fonctions liées à la couleur et au style avec des noms comme cssbgcolors() et setlightmodes() », explique Guardio.

Aucun code malveillant apparent n’est présent dans ce qui est soumis au magasin. Le problème vient de fausses pages Web qui invitent les utilisateurs à installer l’extension apparemment inoffensive à partir de la vitrine légitime. L’utilisateur est alors redirigé vers une page de « merci » et une série d’autres redirections chargent le malware.

La leçon ici est d’examiner attentivement les extensions que vous choisissez d’installer dans vos navigateurs. Même s’ils proviennent d’une source fiable, ils ne correspondent peut-être pas à vos attentes. Et surtout restez sceptique chaque fois qu’une page Web vous indique que vous devez télécharger quoi que ce soit pour afficher son contenu. C’est une indication claire que quelque chose ne va pas et il est étonnant que les gens tombent encore dans le piège de cette astuce en 2022.

Si vous avez des extensions de style de page Web installées sur Chrome ou Edge, vous voudrez peut-être consulter la description détaillée de Guardio.