Cette campagne de logiciels espions peut transformer les extensions de votre navigateur en logiciels malveillants : comment rester en sécurité

Une opération malveillante de longue date qui a évolué sur plusieurs années a transformé les extensions de navigateur de Chrome et Edge en logiciels espions grâce à des mises à jour ajoutant des fonctionnalités malveillantes. Selon un rapport de Koi Security, la campagne ShadyPanda touche 4,3 millions d'utilisateurs qui ont téléchargé ces extensions de navigateur désormais compromises.

La campagne ShadyPanda se compose de 20 extensions malveillantes sur le Chrome Web Store et de 125 sur Edge ; les premières soumissions d'extensions sont apparues en 2018, et les premiers signes de comportement malveillant ne sont apparus que cinq ans plus tard, lorsqu'un ensemble d'entre elles se faisant passer pour du papier peint et des outils de productivité ont commencé à montrer des signes que quelque chose n'allait pas.

Selon Koi Security, la campagne de malware s'est déployée lentement, par étapes, grâce au mécanisme de mise à jour automatique conçu pour assurer la sécurité des utilisateurs :

« Le pipeline de mise à jour fiable de Chrome et Edge a transmis silencieusement des logiciels malveillants aux utilisateurs. Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des changements de version silencieux qui transforment les outils de productivité en plates-formes de surveillance. »

Voici tout ce que vous devez savoir sur cette campagne massive d'extensions malveillantes ainsi que les mesures que vous pouvez prendre pour sécuriser votre navigateur et vos données dès maintenant.

De la fraude à l'accès complet au navigateur

Les extensions commencent leur activité malveillante en injectant des codes de suivi dans des liens légitimes, ce qui leur a permis de tirer des revenus des achats des utilisateurs. Le détournement de recherche, où les requêtes de recherche sont redirigées, était également l’un des comportements observés par les chercheurs. Les requêtes de recherche ont été enregistrées, monétisées, vendues, manipulées et exfiltrées.

ShadyPanda peut collecter une gamme d'informations personnelles auprès des utilisateurs, notamment l'historique de navigation, les requêtes de recherche, les frappes au clavier, les cookies, le stockage local et de session, les données d'empreintes digitales et les clics de souris avec coordonnées. Les extensions qui avaient acquis une « bonne » réputation ont été modifiées au fil des années pour inclure une mise à jour de porte dérobée permettant une exécution de code à distance toutes les heures ; télécharger et exécuter du JavaScript arbitraire avec un accès complet au navigateur. Cela signifie qu’ils étaient capables de surveiller chaque site Web visité par un utilisateur et d’exfiltrer les URL de navigation, les informations d’empreintes digitales et les identifiants persistants.

Plus inquiétant encore, les extensions étaient capables de lancer des attaques d'adversaire au milieu (AitM), ce qui signifie qu'elles étaient capables de faciliter le vol d'informations d'identification, le détournement de session et l'injection de code dans n'importe quel site Web. De plus, toute tentative d'accès aux outils de développement du navigateur le fera adopter un comportement inoffensif.

Alors que Google a depuis supprimé les extensions de la boutique en ligne, Koi Security a remarqué la campagne active sur la plate-forme Microsoft Edge Add-ons avec une extension répertoriée comme ayant 3 millions d'installations. Il n’y a aucun moyen de savoir s’il s’agit de chiffres gonflés, destinés à créer un sentiment de légitimité.

Comment se protéger des extensions de navigateur malveillantes

La plupart de ces extensions sont des applications de fond d'écran ou de productivité et si vous en avez téléchargé, vous devez les supprimer immédiatement. Alors que Koi Security répertorie toutes les extensions à la fin de son rapport, trois des extensions les plus fréquemment mentionnées sont Maître propre, WeTab et Infini V+.

Après avoir supprimé les extensions, vous devez réinitialiser les mots de passe de votre compte – la recommandation s’applique à tous les comptes de l’ensemble de votre présence en ligne. Comme cela peut être une entreprise assez sérieuse, vous souhaiterez peut-être utiliser l'un des meilleurs gestionnaires de mots de passe pour faciliter les choses. Non seulement un gestionnaire de mots de passe peut vous aider à garder vos mots de passe organisés et sécurisés, mais il peut également créer automatiquement des mots de passe forts et uniques pour chacun de vos comptes en ligne.

Comme toujours, je recommande également d’utiliser le meilleur logiciel antivirus sur votre ordinateur. Même si un antivirus n'a peut-être pas détecté ces extensions malveillantes en raison du fonctionnement de cette campagne, il peut rechercher des logiciels malveillants, des logiciels espions et des virus même lorsque vous faites une erreur et téléchargez quelque chose qui ne devrait pas se trouver sur votre ordinateur. Les programmes antivirus disposent également d'extensions de navigateur qui peuvent vous déconseiller de visiter des sites Web suspects, protéger vos données avec des sauvegardes dans le cloud et peuvent vous fournir un VPN et d'autres extras pour ajouter une couche de sécurité supplémentaire pour vous protéger lorsque vous êtes en ligne.

Compte tenu du succès et de la durée de cette campagne, je doute que ce soit la dernière fois que nous entendions parler de ShadyPanda. Cependant, en limitant le nombre d’extensions que vous avez installées et en vérifiant soigneusement chacune d’elles avant de l’ajouter à votre navigateur, vous pouvez protéger vos données et vos appareils.

---

---