Les logiciels malveillants restent un problème sur le Chrome Web Store
La grande image: Les extensions de navigateur malveillantes restent un problème sur le Chrome Web Store, mais Google a été proactif ces dernières années dans ses tentatives pour rendre la vie plus sûre des utilisateurs de Chrome. La société supprime régulièrement les extensions malveillantes de son magasin et a désormais supprimé trois modules complémentaires dangereux qui se faisaient passer pour des VPN.
Les fausses extensions VPN ont été découvertes par des chercheurs en cybersécurité de ReasonLabs, qui affirment que les logiciels malveillants ont été distribués via des torrents de jeux vidéo populaires, tels que Grand Theft Auto, Les Sims 4, Heroes 3 et Assassin’s Creed. Les installateurs de chevaux de Troie, qui étaient des applications Electron d’une taille comprise entre 60 Mo et 100 Mo, auraient été trouvés dans plus de 1 000 fichiers torrent différents et fonctionnaient au début comme des VPN légitimes pour éviter d’être détectés.
Une fois les fichiers téléchargés sur un ordinateur, les extensions VPN s’installent automatiquement sur le système sans aucune interaction de la part de l’utilisateur. Le programme d’installation aurait également vérifié la présence d’un logiciel anti-malware sur l’appareil infecté avant d’installer de force l’une des trois fausses extensions VPN au moins. Le plus populaire des trois était netPlus, qui comptait plus d’un million d’utilisateurs, tandis que les deux autres étaient netSave et netWin, qui représentaient 500 000 installations supplémentaires.
Les développeurs des extensions malveillantes ont fait de leur mieux pour les présenter comme authentiques en proposant de véritables fonctionnalités VPN, ainsi que des niveaux d’abonnement payants qui leur donnaient une apparence authentique à première vue. Cependant, tous les trois abusaient de l’autorisation « hors écran », leur permettant d’exécuter des scripts via l’API Offscreen, obtenant ainsi un accès complet au DOM (Document Object Model) actuel de la page Web, leur permettant ainsi de voler des données utilisateur sensibles.
Les extensions étaient également capables de détourner les navigateurs, de manipuler les requêtes Web et même de désactiver automatiquement d’autres extensions. Selon le rapport, le malware a désactivé les extensions de cashback sur l’ordinateur infecté et redirigé les bénéfices vers les criminels. Le malware aurait ciblé plus de 100 extensions de cashback légitimes, notamment Avast SafePrice, AVG SafePrice, Honey : Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper et Backlit.
Google a supprimé les trois extensions de la boutique en ligne Chrome après avoir été contacté par ReasonLabs, mais pas avant d’avoir infecté environ 1,5 million d’appareils. Bien que ces extensions appartiennent désormais au passé, il est peu probable qu’elles soient les derniers logiciels malveillants présents sur le Chrome Web Store. Il est donc impératif que les utilisateurs restent vigilants sur ce qu’ils installent sur leurs appareils.
Jeu de briques
Snake
Pacman
Bubble