Plus de 100 extensions malveillantes ont été identifiées dans la boutique officielle de Google Chrome, visant à subtiliser les jetons d’accès OAuth2, à déployer des portes dérobées et à mener des fraudes publicitaires.
Des chercheurs de la société de sécurité des applications Socket ont mis en lumière que ces extensions font partie d’une campagne coordonnée fonctionnant sur la même infrastructure de commande et de contrôle (C2).
Les extensions ont été publiées sous cinq identités distinctes de développeurs, couvrant diverses catégories : des clients de sidebar Telegram, des jeux de machines à sous et de Keno, des outils d’amélioration pour YouTube et TikTok, ainsi qu’un outil de traduction de texte et diverses utilitaires.
D’après les chercheurs, la campagne utilise un backend central hébergé sur un serveur Contabo couplé à plusieurs sous-domaines responsables du vol de session, de la collecte d’identité, de l’exécution de commandes et des opérations de monétisation.
Une analyse approfondie a révélé des preuves d’une opération de type MaaS (« malware-as-a-service »), suggérant une implication russe, notamment à partir de commentaires dans le code relatifs à l’authentification et au theft des sessions.
Extensions liées à la même campagne
Source : Socket
Vol de données et détournement de comptes
Le plus grand groupe, qui comprend 78 extensions, injecte du code HTML contrôlé par les attaquants dans l’interface utilisateur via la propriété ‘innerHTML’.
Un second groupe, composé de 54 extensions, utilise ‘chrome.identity.getAuthToken’ pour recueillir des informations telles que l’email, le nom, la photo de profil et l’identifiant du compte Google de la victime.
Ces outils dérobent également le jeton d’accès OAuth2, un token à durée limitée autorisant les applications à accéder aux données d’un utilisateur ou à agir en son nom.
Collecte de données de compte Google
Source : Socket
Une troisième série de 45 extensions comporte une fonction cachée qui s’active au démarrage du navigateur, agissant comme une porte dérobée capable de récupérer des commandes depuis le C2 et d’ouvrir des URLs arbitraires, sans nécessiter d’interaction de la part de l’utilisateur.
Une extension considérée comme “la plus grave” par Socket vole les sessions Telegram Web toutes les 15 secondes, extrait les données de session depuis ‘localStorage’ ainsi que le token de session pour Telegram Web, puis envoie ces informations au C2.
Selon Socket, “l’extension gère également un message entrant (set_session_changed) qui exécute l’opération inverse : effacer le ‘localStorage’ de la victime, le remplacer par des données de session fournies par les attaquants et recharger Telegram.” Cela permet à l’opérateur de changer le compte Telegram d’un utilisateur sans qu’il en ait connaissance.
Les chercheurs ont également découvert trois extensions qui suppriment les en-têtes de sécurité et injectent des publicités sur YouTube et TikTok, une autre qui proxifie les requêtes de traduction via un serveur malveillant, et une extension inactive de vol de session Telegram utilisant une infrastructure mise en scène.
Socket a alerté Google au sujet de cette campagne, cependant, toutes les extensions malveillantes étaient toujours disponibles sur la boutique Chrome lors de la publication de leur rapport.
BleepingComputer a confirmé que nombre des extensions mentionnées dans le rapport de Socket restaient accessibles lors de la publication. Nous avons contacté Google pour obtenir un commentaire, mais nous n’avons pas reçu de réponse.
Il est conseillé aux utilisateurs de vérifier leurs extensions installées en fonction des identifiants publiés par Socket et de désinstaller immédiatement toute correspondance.