Google a récemment supprimé 106 autres extensions de son Chrome Web Store après avoir été découvert en train de collecter illégalement des données sensibles sur les utilisateurs dans le cadre d’une « campagne de surveillance mondiale massive » ciblant les secteurs du pétrole et du gaz, des finances et des soins de santé.
Awake Security, qui divulgué les résultats à la fin de la semaine dernière, a déclaré que les modules complémentaires malveillants du navigateur étaient liés à un seul registraire de domaine Internet, GalComm.
Cependant, il n’est pas immédiatement clair qui est derrière l’effort de spyware.
« Cette campagne et les extensions Chrome impliquaient des opérations telles que prendre des captures d’écran de l’appareil victime, charger des logiciels malveillants, lire le presse-papiers et récolter activement des jetons et des entrées d’utilisateurs », a déclaré Awake Security.
Les extensions en question se présentent comme des utilitaires offrant des capacités de conversion de fichiers d’un format à l’autre, entre autres outils pour une navigation sécurisée, tout en s’appuyant sur des milliers de fausses critiques pour inciter les utilisateurs sans méfiance à les installer.
De plus, les acteurs derrière l’opération ont utilisé des techniques d’évasion pour éviter de signaler les domaines comme malveillants par des solutions anti-malware, permettant ainsi à la campagne de surveillance de passer inaperçue.
Au total, les extensions ont été téléchargées près de 33 millions de fois en trois mois avant que Awake Security ne contacte Google en mai.
Le géant de la recherche, en réponse aux divulgations, a désactivé les extensions de navigateur problématiques. La liste complète des ID d’extension incriminés peut être accessible ici.
Les données de télémétrie ont révélé que certaines de ces extensions étaient actives sur les réseaux des «services financiers, pétrole et gaz, médias et divertissement, soins de santé et produits pharmaceutiques, commerce de détail, haute technologie, enseignement supérieur et organisations gouvernementales», bien qu’il n’y ait aucune preuve que ils étaient en fait utilisés pour collecter des données sensibles.
« Galcomm n’est pas impliqué et n’est en aucune complicité avec une quelconque activité malveillante », a déclaré le propriétaire du bureau d’enregistrement basé en Israël. Moshe Fogel a déclaré à Reuters, qui a interrompu le développement.
Les extensions trompeuses sur le Chrome Web Store ont continué d’être un problème, avec les mauvais acteurs qui l’exploitent pour la malvertising et d’autres campagnes de vol de données.
Plus tôt en février, Google a supprimé 500 extensions malveillantes après avoir été détectées en train de diffuser des logiciels publicitaires et d’envoyer l’activité de navigation des utilisateurs vers des serveurs contrôlés par des attaquants. Puis en avril, la société a retiré un autre ensemble de 49 extensions qui se sont fait passer pour des portefeuilles de crypto-monnaie pour voler des informations sur le Keystore.
Il est recommandé aux utilisateurs d’examiner les autorisations d’extension en visitant « chrome: // extensions » sur le navigateur Chrome, d’envisager de désinstaller celles qui sont rarement utilisées ou de passer à d’autres alternatives logicielles qui ne nécessitent pas un accès invasif à l’activité du navigateur.
