Après la sortie de la fonctionnalité ‘Monitor’ de Secure Annex, l’auteur a aidé à évaluer une liste d’extensions qu’une organisation avait configurées pour la surveillance. Cependant, il a identifié certaines extensions qui étaient ’non répertoriées’ dans le Chrome Web Store. Ces extensions non répertoriées ne sont pas indexées par les moteurs de recherche et n’apparaissent pas lors de la recherche dans le Chrome Web Store. La seule façon d’y accéder est de connaître l’URL. Ces extensions pourraient présenter un risque de sécurité car elles échappent aux contrôles habituels.

Secure Annex a identifié plus de 30 extensions de navigateur malveillantes, utilisées à l’insu des utilisateurs pour compromettre la sécurité de plus de 4 millions d’installations. Ces extensions, souvent camouflées en outils légitimes, visaient des objectifs variés : vol de cookies, surveillance du comportement, collecte de données sensibles, etc.

🕵️‍♂️ Méthodologie d’analyse

  • Revue manuelle et automatisée d’extensions disponibles sur le Chrome Web Store et d’autres plateformes.
  • Analyse du code pour détecter des actions suspectes comme la capture de sessions utilisateurs, l’accès non autorisé à des sites, ou la communication avec des serveurs C2.
  • Corrélation avec des indicateurs réseau pour identifier une infrastructure malveillante commune entre certaines extensions.

🧪 Principaux constats

  • Plus de 30 extensions malveillantes identifiées, parfois très populaires.
  • Certaines extensions exfiltrent des cookies de session, ce qui permet aux attaquants de se faire passer pour l’utilisateur.
  • D’autres permettent un suivi discret de l’activité en ligne (trackers intégrés).
  • Utilisation de techniques d’obfuscation pour éviter la détection.
  • Présence d’un code dormant qui ne s’active qu’après un délai ou selon certaines conditions, rendant leur comportement malveillant plus difficile à détecter.

🛡️ Recommandations

  • Pour les particuliers :

    • Supprimer toutes les extensions non utilisées.
    • Ne jamais installer une extension sans vérifier ses avis et permissions.
    • Utiliser un antivirus qui scanne aussi les navigateurs.

  • Pour les organisations :

    • Restreindre l’installation d’extensions via une politique d’entreprise.
    • Mettre en place des solutions de gestion centralisée des navigateurs.
    • Analyser le trafic réseau pour détecter des communications vers des domaines C2 connus.

🔗 Source originale : https://secureannex.com/blog/searching-for-something-unknow/