Depuis 7 ans, l’opération de cyber espionnage a lieu, comme l’ont repéré les chercheurs de Koi Security. Une campagne appelée ShadyPanda, qui a transformé des extensions pour navigateur Chrome et Edge en de véritables mouchards. On parle de 4,3 millions de personnes touchées.
Les attaques par les extensions, ce n’est pas rare. Mais ShadyPanda se distingue par son ampleur et son mode opératoire à la patience redoutable. Les pirates ont d’abord publié des extensions tout à fait légitimes dès 2018, puis attendu qu’elles accumulent des téléchargements et que les utilisateurs soient en confiance.
Des extensions Chrome et Edge espionnent les utilisateurs depuis des années
Ensuite, du code malveillant a été injecté via des mises à jour silencieuses. « Pas de phishing, pas d’ingénierie sociale, juste des extensions de confiance avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », explique l’équipe de Koi Security dans son rapport.
La campagne a eu lieu en 4 étapes. En 2023, c’est un premier lot de 145 extensions, plus exactement 20 sur Chrome et 125 sur Edge, qui se faisaient passer pour des applications de fond d’écran ou pour améliorer sa productivité. Ces extensions vérolées faisaient de la fraude en injectant discrètement des codes d’affiliation dans des liens eBay, Amazon et Booking.com. Chaque achat fait par un utilisateur permettait aux pirates de toucher une commission sans que la victime ne soit au courant.
Mais la montée en puissance a vraiment eu lieu en 2024 avec une extension appelée Infinity V+. Elle redirigeait toutes les recherches des utilisateurs vers Trovi.com. Un navigateur malveillant bien connu des spécialistes en cybersécurité : « Chaque recherche web était redirigée via Trovi.com, les requêtes enregistrées, monétisées et revendues. Les résultats de recherche étaient manipulés à des fins lucratives. » L’extension exfiltrait aussi les cookies vers Daregoodthing.com et transmettait les requêtes de recherche à des sous-domaines Gotocdn.
La situation n’a cessé de s’aggraver au fil du temps
Un tournant grave a ensuite eu lieu en 2024. Cinq extensions publiées entre 2018 et 2019 ont entre-temps été certifiées, « Featured » et « Verified » par Google. Une mise à jour les a transformées en véritable porte dérobée. En tout, ces cinq extensions avaient 300 000 téléchargements.
« Chaque navigateur infecté exécute un framework d’exécution de code à distance. Toutes les heures, il vérifie api.extensionplay[.]com pour de nouvelles instructions, télécharge du JavaScript arbitraire et l’exécute avec un accès complet aux API du navigateur« , explique Koi Security. « Ce n’est pas un malware avec une fonction fixe. C’est une porte dérobée. »
La quatrième phase est toujours en cours et représente une énorme menace. Cinq extensions Edge mises en ligne par Starlab Technologies en 2023 ont accumulé 4 millions de téléchargements. Ce sont des logiciels espions complets qui récupèrent l’historique de navigation, les requêtes de recherche, les frappes au clavier, les clics de souris, et pire encore, leurs coordonnées exactes. Sont aussi récupérées par les pirates les données d’empreintes numériques, le stockage local et les cookies. Les informations subtilisées sont ensuite transmises à 17 serveurs en Chine.
Que faire si vous avez installé une extension Chrome ou Edge vérolée ?
Si vous avez installé une extension identifiée comme connectée à ShadyPanda, il faut la supprimer immédiatement. La liste complète est disponible dans le rapport de Koi Security. Il est aussi recommandé de réinitialiser tous ses mots de passe et d’effacer ses données de navigation, que ce soit l’historique, les cookies ou les fichiers en cache.
Surveillez toute activité suspecte sur vos comptes, notamment bancaires, surtout si l’extension vérolée était installée au moment où vous les avez consultés. L’authentification à deux facteurs est aussi une protection à mettre en place si ce n’est pas encore le cas.
Depuis, Google a supprimé les extensions infectées de son Chrome Web Store. La situation est différente chez Microsoft, puisque certaines extensions étaient toujours disponibles sur le Microsoft Edge Add-On Store. L’une d’elles a toutefois été retirée, elle s’appelle WeTab.
- Une campagne de cyber espionnage appelée ShadyPanda détourne depuis 7 ans des extensions Chrome et Edge.
- Ces extensions transformées en mouchards collectent l’activité en ligne des victimes et envoient les données vers des serveurs en Chine.
- Les utilisateurs concernés doivent supprimer les extensions listées par Koi Security, changer leurs mots de passe et activer l’authentification à deux facteurs.
Réagissez à cet article !