L’article de gbhackers révèle une découverte inquiétante par Koi Security concernant une campagne de détournement de navigateur sophistiquée nommée “RedDirection”.
Cette opération a compromis plus de 1,7 million d’utilisateurs via 11 extensions Chrome vérifiées par Google, et s’est étendue à Microsoft Edge avec des infections totalisant 2,3 millions à travers les plateformes. Les attaquants ont exploité des signaux de confiance tels que les badges de vérification, les mises en avant et les nombres élevés d’installations pour distribuer des logiciels malveillants sous couvert d’outils de productivité et de divertissement légitimes.
La campagne RedDirection se distingue par sa stratégie trompeuse consistant à rester bénigne pendant des années avant d’introduire du code malveillant via des mises à jour silencieuses, une tactique qui a échappé à la vigilance des marchés d’extensions de Google et Microsoft.
Ces mises à jour, installées automatiquement sans intervention de l’utilisateur, ont transformé des outils de confiance en plateformes de surveillance capables de suivre chaque visite de site web, de capturer les URLs et de rediriger les utilisateurs vers des pages frauduleuses via une infrastructure de commande et de contrôle (C2) telle que admitclick.net et click.videocontrolls.com.
Cet article constitue une analyse de menace et vise à informer le public des risques liés à l’utilisation d’extensions de navigateur potentiellement malveillantes.
🧠 TTP et IOC détecté
TTP
Tactic: Initial Access, Technique: T1176 - Browser Extensions; Tactic: Persistence, Technique: T1546.014 - Event Triggered Execution: Browser Extensions; Tactic: Command and Control, Technique: T1071.001 - Application Layer Protocol: Web Protocols
IOC
Domain: admitclick.net, click.videocontrolls.com
🔗 Source originale : https://gbhackers.com/11-google-verified-chrome-extensions-infected/