L’article publié par Socket met en lumière les risques croissants associés aux extensions de navigateur malveillantes. Ces extensions, souvent disponibles dans des magasins de confiance comme les Add-ons de Mozilla, sont utilisées pour hijacker des sessions utilisateur, rediriger le trafic et manipuler le comportement des utilisateurs.
L’analyse de Socket révèle que certaines extensions exploitent les permissions standard des navigateurs pour faciliter des escroqueries, rediriger le trafic, et gonfler artificiellement les métriques d’engagement. Par exemple, l’extension Shell Shockers io utilise des popups trompeurs pour rediriger les utilisateurs vers des pages d’escroquerie de support technique.
Une campagne malveillante nommée “Operation Phantom Enigma” a ciblé 722 utilisateurs en Amérique latine, démontrant comment des extensions de confiance peuvent être exploitées pour des fraudes financières. Les extensions peuvent également exfiltrer des données, intercepter le trafic réseau, et même voler des cryptomonnaies.
Cet article est une publication de recherche visant à alerter sur l’évolution des menaces posées par les extensions de navigateur, soulignant la nécessité de vigilance et de contrôle rigoureux des permissions accordées à ces outils.
🧠 TTP et IOC détecté
TTP
T1176: Browser Extensions, T1566: Phishing, T1203: Exploitation for Client Execution, T1056: Input Capture, T1071: Application Layer Protocol, T1567: Exfiltration Over Web Service
IOC
Operation Phantom Enigma, Shell Shockers io
🔗 Source originale : https://socket.dev/blog/the-growing-risk-of-malicious-browser-extensions