Selon Socket (Socket.dev), l’équipe Socket Threat Research Team a mis au jour une campagne coordonnée opérant depuis au moins neuf mois et distribuant 131 clones rebrandés d’une extension d’automatisation pour WhatsApp Web via le Chrome Web Store, visant des utilisateurs brésiliens.
• Nature de la menace: un cluster de spamware permettant l’automatisation d’envois massifs de messages sur WhatsApp Web, en violation des politiques du Chrome Web Store et de WhatsApp. La campagne opère sur un modèle de revente/franchise, avec des variantes différenciées par noms, logos et pages d’atterrissage, mais partageant le même code et la même infrastructure. 🚨
• Acteurs et portée: les 131 variantes ont été publiées sous les labels éditeur WL Extensão et WLExtensao, via deux comptes développeur liés à DBX Tecnologia et Grupo OPT, totalisant plus de 20 905 utilisateurs actifs. La promotion inclut des affirmations trompeuses au sujet de la sécurité de Chrome.
• Technique: injection au document-start dans WhatsApp Web, usage des helpers window.WPP.* pour la dispersion de messages, et service workers Manifest V3 pour la planification et l’envoi programmé, avec des fonctions destinées à contourner les limites de taux et certains contrôles anti-spam. 🧩
• Détection: Socket indique que ses mécanismes de protection pour extensions Chrome peuvent détecter ces menaces via l’analyse des permissions et la surveillance comportementale.
• IOCs et TTPs
- IOCs: domaines et comptes développeur liés à grupoopt.com[.]br; labels éditeur: WL Extensão, WLExtensao.
- TTPs: web injection au démarrage du document; abus de
window.WPP.*; service workers MV3 pour planification; évasion des limites de taux; rebranding en masse pour la distribution; abuse du supply chain via le Chrome Web Store.
Il s’agit d’une publication de recherche présentant une analyse technique d’une campagne de spamware et les capacités de détection associées.
🔗 Source originale : https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store