Douche froide pour des utilisateurs des navigateurs Google Chrome et Microsoft Edge. Baptisée « RedDirection », une vaste campagne d'attaque a été mise au jour par les chercheurs de Koi Security. Elle révèle que 18 extensions pour ces navigateurs ont été installées au total 2,3 millions de fois.

Parfaitement légitimes en apparence, certaines extensions bénéficiaient d'un statut de vérification ou étaient mises en avant dans les boutiques officielles Chrome Web Store (1,7 million de téléchargements pour 10 extensions) et Microsoft Edge Add-ons. Leur nature malveillante est apparue après coup.

Un cheval de Troie parfaitement déguisé

Chaque extension offrait la fonctionnalité promise, gagnant ainsi la confiance des utilisateurs. Que ce soit pour appliquer un thème sombre, gérer la vitesse d'une vidéo ou obtenir la météo, tout fonctionnait comme attendu. Sauf qu'en arrière-plan, un mécanisme de compromission sophistiqué était à l'œuvre.

À chaque fois qu'un utilisateur se rendait sur une nouvelle page web, l'extension interceptait l'adresse URL et l'envoyait à un serveur distant.

Par la suite, les attaquants pouvaient à tout moment décider de rediriger le navigateur vers une page frauduleuse, comme un faux site bancaire pour voler des identifiants ou une page factice réclamant une soi-disant mise à jour critique d'un logiciel comme Zoom pour installer des nuisibles.

La confiance, le piège ultime

Le coup de maître des attaquants a été d'exploiter la chaîne d'approvisionnement des navigateurs. Les extensions n'étaient pas malveillantes dès leur première version. Elles ont pu rester sûres pendant des années, accumulant des avis positifs, des milliers de téléchargements et parfois même des badges « vérifié » ou « sélection de l'éditeur ».

Le malware n'a été introduit que bien plus tard, via une mise à jour automatique et silencieuse, sans nul besoin de cliquer sur un lien suspect.

Conçus pour simplifier la vie des utilisateurs, les mécanismes de confiance et de déploiement à grande échelle de Google et Microsoft se sont retournés contre eux, amplifiant la portée de l'attaque. Une faille systémique pour Koi Security.

colour-picker-tool-geco-chrome-web-store Souce image : Koi Security

Comment réagir et se protéger ?

Face à une telle menace, la prudence est de mise. Les signaux habituels tels que le nombre d'installations ou les avis ne suffisent plus à garantir la sécurité d'une extension.

Si vous avez installé des outils du type « Color Picker, Eyedropper - Geco colorpick », « Volume Max - Ultimate Sound Booster » ou encore « Unlock TikTok », il est temps de passer à l'action et de les supprimer. En éliminant au passage les données de navigation pour éviter le suivi d'identifiants potentiellement stockés.

Le cas échéant, une analyse antivirus complète ne sera pas superflue pour vérifier l'absence d'infections supplémentaires, tout en surveillant certains comptes. À noter que le ménage a été fait dans le Chrome Web Store pour les extensions malveillantes découvertes par Koi Security.

Indicateurs de compromission

Extensions Chrome :

  • Emoji keyboard online - copy&past your emoji (kgmeffmlnkfnjpgmdndccklfigfhajen)
  • Free Weather Forecast (dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
  • Video Speed Controller - Video manager (gaiceihehajjahakcglkhmdbbdclbnlf)
  • Unlock Discord - VPN Proxy to Unblock Discord Anywhere (mlgbkfnjdmaoldgagamcnommbbnhfnhf)
  • Dark Theme - Dark Reader for Chrome (eckokfcjbjbgjifpcbdmengnabecdakp)
  • Volume Max - Ultimate Sound Booster (mgbhdehiapbjamfgekfpebmhmnmcmemg)
  • Unblock TikTok - Seamless Access with One-Click Proxy (cbajickflblmpjodnjoldpiicfmecmif)
  • Unlock YouTube VPN (pdbfcnhlobhoahcamoefbfodpmklgmjm)
  • Color Picker, Eyedropper - Geco colorpick (eokjikchkppnkdipbiggnmlkahcdkikp)
  • Weather (ihbiedpeaicgipncdnnkikeehnjiddck)

Extensions Edge :

  • Unlock TikTok (jjdajogomggcjifnjgkpghcijgkbcjdi)
  • Volume Booster - Increase your sound (mmcnmppeeghenglmidpmjkaiamcacmgm)
  • Web Sound Equalizer (ojdkklpgpacpicaobnhankbalkkgaafp)
  • Header Value (lodeighbngipjjedfelnboplhgediclp)
  • Flash Player - games emulator (hkjagicdaogfgdifaklcgajmgefjllmd)
  • Youtube Unblocked (gflkbgebojohihfnnplhbdakoipdbpdm)
  • SearchGPT - ChatGPT for Search Engine (kpilmncnoafddjpnbhepaiilgkdcieaf)
  • Unlock Discord (caibdnkmpnjhjdfnomfhijhmebigcelo)
Source : Koi Security