Google jeudi supprimé Le grand porte-jarretelles, une extension Chrome populaire utilisée par des millions d’utilisateurs, depuis son Chrome Web Store pour contenir des logiciels malveillants. Il a également pris la décision inhabituelle de le désactiver des ordinateurs des utilisateurs.

“Cette extension contient des logiciels malveillants,” lis une notification laconique de Google, mais il est apparu depuis que le module complémentaire a ajouté furtivement des fonctionnalités qui pourraient être exploitées pour exécuter du code arbitraire à partir d’un serveur distant, y compris le suivi des utilisateurs en ligne et la fraude publicitaire.

“L’ancien responsable semble avoir vendu l’extension à des parties inconnues, qui ont l’intention malveillante d’exploiter les utilisateurs de cette extension dans la fraude publicitaire, le suivi, etc.”, Calum McConnell m’a dit dans un message GitHub.

auditeur de mot de passe

L’extension, qui comptait plus de deux millions d’installations avant d’être désactivée, suspendrait les onglets qui ne sont pas utilisés, les remplaçant par un écran gris vide jusqu’à ce qu’ils soient rechargés lors du retour aux onglets en question.

Les signes du comportement louche de l’extension circulaient depuis novembre, conduisant Microsoft à bloquer l’extension (v7.1.8) sur les navigateurs Edge en novembre dernier.

Selon The Register, Dean Oemcke, le développeur original de l’extension, aurait vendu l’extension en juin 2020 à une entité inconnue, à la suite de quoi deux nouvelles versions ont été publiées directement aux utilisateurs via le Chrome Web Store (7.1.8 et 7.1.9).

Les utilisateurs de l’extension peuvent récupérer les onglets en utilisant une solution de contournement Ici, ou comme alternative, peut également utiliser la dernière version disponible sur GitHub (v7.1.6) en activant le mode développeur Chrome.

Mais l’activation du mode développeur peut également avoir d’autres conséquences, comme l’a révélé le chercheur en sécurité Bojan Zdrnja, qui a révélé une nouvelle méthode permettant aux acteurs de la menace d’abuser du Fonction de synchronisation Chrome pour contourner les pare-feu et établir des connexions aux serveurs contrôlés par les attaquants pour l’exfiltration des données.

Zdrnja a déclaré que l’adversaire avait créé un module complémentaire de sécurité malveillant qui se faisait passer pour Forcepoint Endpoint Chrome Extension pour Windows, qui a ensuite été installé directement sur le navigateur après l’activation du mode développeur.

“Bien qu’il existe certaines limites sur la taille des données et la quantité de requêtes, c’est en fait parfait pour les commandes C&C (qui sont généralement petites), ou pour voler des données petites mais sensibles – comme les jetons d’authentification,” Zdrnja m’a dit.

Mais étant donné que cette attaque nécessite accès physique à un système cible, il est peu probable qu’il soit résolu par Google.



Leave a Reply