Les modules complémentaires malveillants Chrome et Edge avaient un nouveau moyen de se cacher sur 3 millions d’appareils
Durant le mois de Décembre 2020, Ars a signalé que près de 3 millions d’utilisateurs ont été infectés par des extensions de navigateur Chrome et Edge volant des données personnelles et qui redirigeaient les utilisateurs vers des sites de pub ou de phishing. A présent, les chercheurs qui ont découvert cette arnaque ont révélé que les développeurs d’extensions ont pris ces efforts afin de camoufler leurs actes néfastes.
Comme nous l’avons déjà indiqué, les 28 extensions disponibles dans les référentiels officiels Google et Microsoft étaient un moyen de téléchargement des photos, des vidéos ou d’autres contenus à partir de sites comme Facebook, Instagram, Vimeo et Spotify. Elles auraient aussi permis de collecter les dates de naissance, les adresses e-mail ainsi que les informations sur les appareils des utilisateurs. En plus de cette collecte, cette arnaque aurait causé la redirection des clics et des résultats de recherche vers des sites malveillants. Les extensions ont fini par être supprimées par Google et Microsoft.
Selon les chercheurs d’Avast, les développeurs d’extensions avaient utilisé un nouveau procédé pour masquer le trafic malveillant envoyé entre les appareils infectés et les serveurs de commande et de contrôle auxquels ils se connectaient. Pour être plus précis, les extensions canalisaient les commandes dans les en-têtes de contrôle du cache du trafic qui était camouflé pour apparaitre en forme de données liées à Google Analytics, utilisées par les sites Web dans la mesure des interactions des visiteurs.
Avast a expliqué que les extensions ont envoyé ce qui semblait être des requêtes Google Analytics standard à https: //stats.script-protection [.] Com / __ utm.gif. De ce fait, le serveur attaquant répondait avec un en-téte Cache-Control spécialement formé, par la suite décrypté, analysé et exécuté par le client.