Ces extensions Chrome sont à supprimer sous peine que vos mots de passe soient siphonnées

Suivez-nous Ajouter Buzzarena à vos sources

Huit ans. C’est pendant huit ans que deux extensions Chrome, appelées Phantom Shuttle, ont siphonné les données de milliers d’internautes sous le nez de Google. Ce sont les chercheurs de Socket.dev qui ont mis au jour cette opération criminelle qui transforme chaque victime en source de revenus pour les pirates.

Phantom Shuttle Google Chrome
© Unsplash

Récemment, on a appris que 4,3 millions d’utilisateurs Chrome et Edge étaient espionnés depuis sept ans par des extensions infectées. Mais là, c’est encore plus puisque l’on parle de deux extensions disponibles sur le Chrome Web Store depuis au moins 2017.

Phantom Shuttler, des extensions malveillantes qui visent Chrome

Des logiciels présentés comme des outils de test de connectivité réseau et de VPN. Elles ciblent principalement les utilisateurs chinois, notamment les professionnels et développeurs du commerce international qui ont besoin de vérifier leur localisation depuis différentes localisations.

Le piège est très vicieux. Les extensions proposent une formule payante entre environ 1,40 et 13,60 dollars par mois avec l’intégration des paiements Alipay et WeChat Pay. Une façade commerciale légitime en apparence qui a permis aux criminels de tromper les utilisateurs et Google pendant des années sans éveiller les soupçons.

© Socket.dev
© Socket.dev

Une fois installées, les extensions détournent l’intégralité du trafic web de la victime vers des serveurs proxy gérés par les pirates. Le mécanisme repose sur l’injection automatique d’identifiants proxy codés en dur (topfany/963852wei) dans chaque requête d’authentification HTTP sans que l’utilisateur ne voit quoi que ce soit. Un listener enregistré sur chrome.webRequest.onAuthRequired intercepte les demandes d’authentification avant même qu’elles n’apparaissent à l’écran.

Les pirates interceptent donc tout ce qui transite, que ce soit les identifiants, les mots de passe, le numéro de carte bancaire, les données de paiement saisies dans les formulaires, les informations personnelles et les cookies de session.

Une attaque dissimulée qui a échappé aux radars de Google

Le code malveillant a été dissimulé avec soin dans une bibliothèque JavaScript très répandue, jQuery version 1.12.2. En préfixant le malware aux fichiers jquery-1.12.2.min.js et scripts.js, les pirates sont parvenus à échapper à la sécurité de Google. La détection est encore plus compliquée par les identifiants proxy eux-mêmes via un système d’encodage par index des caractères.

Les extensions maintiennent une connexion permanente avec leurs serveurs de commandes et contrôle situés à l’adresse phantomshuttle.space, hébergée sur Alibaba Cloud à Hong Kong à l’adresse IP 47.244.125.55. Toutes les 5 minutes, le malware transmet les adresses mail et mots de passe des utilisateurs en clair vers l’infrastructure des attaquants. Sur le papier, c’est pour vérifier le statut VIP de l’abonnement.

Phantom Shuttle
© Socket.dev

Bref, les malwares utilisent beaucoup de méthodes pour échapper à la détection, que ce soit un mode proxy dit intelligent ou encore la redirection pour une liste de plus de 170 domaines à haute valeur. Les chercheurs en cybersécurité de Socket.dev soulignent que ces 8 ans d’activité et le fait que l’infrastructure soit toujours opérationnelle montrent qu’il s’agit d’un acteur malveillant bien établi, avec des opérations criminelles longue durée.

À ce jour, les deux extensions sont toujours disponibles sur le Chrome Web Store. Socket.dev a soumis des demandes de retrait à l’équipe de sécurité de Google qui n’a pas encore répondu.

Comment se protéger contre les extensions malveillantes ?

Comme expliqué précédemment, ce n’est pas la première fois que Chrome est touché par des extensions malveillantes. Mais on parle aussi de failles zero-day que les pirates exploitent avant que Google ne les corrige.

Pour se protéger, le mieux est d’utiliser des extensions avec beaucoup d’avis et proposées par des éditeurs réputés. Pensez à jeter un œil aux avis et commentaires avant toute installation. Et si vous avez installé Phantom Shuttle, la désinstallation immédiate s’impose, puis un changement de tous vos mots de passe utilisés dans le navigateur.

Il faut aussi faire un ménage régulier via chrome://extensions pour supprimer celles qui ne sont plus utilisées ou identifiées comme suspectes.

  • Socket.dev dit avoir identifié deux extensions nommées Phantom Shuttle présentes sur le Chrome Web Store depuis au moins 2017.
  • D’après leur analyse, elles redirigent le trafic via des serveurs proxy et peuvent capter identifiants, données de paiement, cookies et infos personnelles.
  • Les chercheurs indiquent que l’infrastructure est toujours active et recommandent de supprimer les extensions puis de changer les mots de passe utilisés dans le navigateur.

Source : Socket.dev

Vous appréciez notre contenu ?
👉 Soutenez-nous en nous suivant sur Google et ne manquez plus aucun article, promo ou bon plan exclusif !
G Suivez-nous sur Google
Bernard David Corroy
Bernard David Corroy

Grand passionné du numérique et des nouvelles technologies, je suis un geek dans l’âme depuis 1998 avec beaucoup d’appétence pour l’innovation et les défis techniques. Mon aventure dans le digital a débuté quand internet n’en était qu’à ses débuts.

Réagissez à cet article !

Vous aimerez aussi
Derniers articles