Des extensions de navigateur tierces, dont Instagram, Facebook et Vimeo, infectées par des malwares
Des extensions de navigateur tierces, dont Instagram, Facebook et Vimeo, infectées par des malwares et touchent environ 3 millions de personnes dans le monde, les experts de l‘équipe Threat Intelligence d’Avast recommandent de les désactiver.
Des chercheurs d'Avast (LSE : AVST), ont identifié des logiciels malveillants cachés dans au moins 28 extensions tierces de Google Chrome et de Microsoft Edge associées à des plateformes très populaires. Le malware a la fonctionnalité de rediriger le trafic de l'utilisateur vers des annonces ou des sites de phishing, ainsi que de voler les données personnelles des utilisateurs ; telles que les dates de naissance, les adresses e-mail et les appareils actifs. Selon les chiffres de téléchargement des app stores, environ trois millions de personnes pourraient être touchées dans le monde.
Les extensions qui aident les utilisateurs à télécharger des vidéos à partir de ces plateformes incluent des extensions des navigateurs Google Chrome et Microsoft Edge, dont notamment Video Downloader for Facebook, Video Downloader for Vimeo, Story Downloader for Instagram, et VK Unblock. Les chercheurs d’Avast ont identifié un code malveillant dans les extensions basées sur Javascript, qui permet à ces dernières de télécharger d'autres malwares sur le PC d'un utilisateur.
Les utilisateurs ont également signalé que ces extensions manipulaient leur expérience en ligne et les redirigeaient vers d'autres sites Web. En effet, chaque fois que l’un d’eux clique sur un lien, les extensions envoient des informations relatives au clic au serveur de contrôle de l'attaquant. Le cybercriminel peut ensuite décider de rediriger la victime vers une nouvelle URL piratée, avant de la rediriger plus tard vers le site Web voulant être visité. La confidentialité de l'utilisateur est donc compromise par cette procédure, car un journal complet de ses clics est envoyé à ces sites Web intermédiaires tiers. Les hackers exfiltrent et collectent également les dates de naissance, les adresses e-mail et les informations de l'appareil de l'utilisateur ; y compris l'heure de la première et dernière connexion, le nom de l'appareil, le système d'exploitation, le navigateur utilisé et sa version, et même les adresses IP pour trouver éventuellement l'historique de localisation géographique approximative de l'utilisateur.
Les chercheurs d'Avast pensent que l'objectif est de monétiser le trafic : pour chaque redirection vers un domaine tiers, les cybercriminels recevraient un paiement. Néanmoins, l'extension a également la capacité de rediriger les utilisateurs vers des publicités ou des sites de phishing.
« Notre hypothèse est que, soit les extensions ont été délibérément créées avec le malware intégré, soit l'auteur a attendu que les extensions deviennent populaires, puis a poussé une mise à jour contenant le malware,» détaille Jan Rubin, chercheur sur les logiciels malveillants chez Avast. « Il se peut aussi que l'auteur ait vendu les extensions originales à quelqu'un d'autre, après les avoir créées, puis que cet acheteur ait introduit le malware par la suite. »
L'équipe Threat Intelligence d'Avast surveille cette menace depuis novembre 2020, mais pense qu'elle est active depuis plusieurs années sans que personne ne s'en soit aperçu. Des critiques négatives mentionnant le détournement de liens sont ainsi visibles sur le Chrome Web Store depuis décembre 2018.
« Les portes dérobées des extensions sont bien cachées, et les extensions ne commencent à présenter un comportement malveillant que quelques jours après l'installation, ajoute Jan Rubin, ce qui rend la découverte difficile pour tout logiciel de sécurité. »
« Le logiciel malveillant est assez difficile à détecter, car il a la capacité de se "cacher", poursuit Jan Vojtesek, chercheur spécialisé dans les malwares chez Avast. Le virus détecte si l'utilisateur consulte l'un de ses domaines cachés sur Google ou, par exemple, s’il est développeur Web et, si c'est le cas, n'effectuera aucune activité malveillante sur son navigateur. Il évite d'infecter des personnes plus compétentes en matière de développement Web, puisqu'elles pourraient plus facilement découvrir ce que font les extensions en arrière-plan ».
Actuellement, les extensions infectées sont toujours disponibles au téléchargement. Avast les a signalées aux équipes de Microsoft et de Google Chrome, qui ont confirmé qu’elles examinaient actuellement le problème. En attendant, Avast recommande aux utilisateurs de désactiver ou de désinstaller les extensions jusqu'à ce que le problème soit résolu, puis de rechercher le malware et le supprimer.
La liste des extensions détectées compromises est disponible ci-dessous :
Direct Message for Instagram
Direct Message for Instagram™
DM for Instagram
Invisible mode for Instagram Direct Message
Downloader for Instagram
Instagram Download Video & Image
App Phone for Instagram
App Phone for Instagram
Stories for Instagram
Universal Video Downloader
Universal Video Downloader
Video Downloader for FaceBook™
Video Downloader for FaceBook™
Vimeo™ Video Downloader
Vimeo™ Video Downloader
Volume Controller
Zoomer for Instagram and FaceBook
VK UnBlock. Works fast.
Odnoklassniki UnBlock. Works quickly.
Upload photo to Instagram™
Spotify Music Downloader
Stories for Instagram
Upload photo to Instagram™
Pretty Kitty, The Cat Pet
Video Downloader for YouTube
SoundCloud Music Downloader
The New York Times News
Instagram App with Direct Message DM
À propos d’Avast
Avast (LSE : AVST), entreprise du FTSE 100, est une firme spécialisée dans les produits de sécurité et de la confidentialité en ligne. Avec plus de 435 millions d’utilisateurs en ligne, Avast offre des produits sous les marques Avast et AVG qui protègent contre les menaces informatiques et celles grandissantes contre les objets connectés.
Source : Avast
Et vous ?
Avez-vous déjà fait la mauvaise expérience de ces malwares sur vos réseaux et autres plateformes ?
Répondre avec citation
Partager