🔍 Contexte

Rapport publié le 9 juin 2026 par MalExt (Jean-Marie R. / Toborrm9) via la plateforme Malicious Extension Sentry Project. L’analyse a été réalisée à l’aide du scanner automatisé MalExt Sentry, qui surveille en continu les stores d’extensions de navigateur.

🎯 Description de la campagne

SearchJack est une campagne structurée de 23 extensions Chrome déceptives qui détournent silencieusement le moteur de recherche par défaut des utilisateurs. Chaque extension se présente sous une apparence légitime (imagerie satellite, outils de productivité, lecteurs d’actualités, cartes) mais son objectif réel est la génération de revenus via des programmes d’affiliation de recherche (principalement Yahoo Hosted Search).

  • 23 extensions identifiées, 22 éditeurs distincts, ~758 000 utilisateurs affectés
  • 8 brokers de monétisation distincts identifiés via le paramètre hspart dans les redirections Yahoo
  • Les brokers incluent : trp, infospace (System1), flowsurf, adk, becovi (Becovi Ltd, Dublin), imageadvan, mnet, fc, dcola

🧩 Mécanismes techniques

  • Abus de la clé chrome_settings_overrides dans les manifestes d’extensions avec is_default: true pour forcer le remplacement du moteur de recherche
  • Pattern shell : la majorité des extensions sont des wrappers manifest-only sans permissions, scripts background ni content scripts
  • Pattern cheval de Troie : certaines extensions implémentent partiellement une fonctionnalité annoncée pour passer la revue du store
  • Pattern admin path : les extensions affiliées à System1/infospace routent via des endpoints /admin/public/link (ex: earth3d[.]net, earthapp[.]net, loginonlineapp[.]com)
  • Obfuscation runtime (Search Toggler) : injection des règles de routage via chrome.declarativeNetRequest.updateDynamicRules() dans background.js, invisible à l’analyse statique

⚠️ Cas notables

  • Nautilus Search : affirmation mensongère dans le store (« nous ne collectons pas vos données ») contredite par la politique de confidentialité de Kinner Lake Ltd. qui divulgue la collecte d’IP, requêtes et identifiants techniques
  • Search Toggler : trois identités corporatives déconnectées (searchtoggler[.]com, VPP Technologies LLC, worthathousandwords[.]com) ; comportement réel invisible à l’analyse statique
  • Fusebase Search (Nimbus Web Inc) : ratio anormal de 609 avis pour 490 installations actives (ratio 1,24), suggérant une manipulation des avis ou une réaffectation de l’extension
  • Earth 3D : éditeur anonyme (edgarlife1980[@]gmail[.]com), politique de confidentialité référençant une entité fictive (« Mutual Media DBA Innosoft Group, Houston TX »)

📋 Extensions identifiées (sélection)

Nom ID Installs Broker
PerfecTab Search hohedjmdoemgcpgdapepfhnilbedldnm 100K flowsurf
Quick Search Tool keadechokmcohlcampccppbjjeabghcd 100K adk
Better Search epdmngmgidehpmhjamdjcaecpligmcfh 100K trp
Earth hnfdneofpohlkoeljnmkdocokcdkjiaa 50K infospace
Earth 3D kbobdmmjbaljcombpliahadgoafgohcd 40K infospace
Great Start mccmkaicbneobeclkbloeoopcfeipmio 30K becovi
Search Toggler hodgcolihbmeagfcfpdfpnapfflmpbkb 10K imageadvan

📌 Type d’article

Publication de recherche produite par MalExt Sentry. But principal : documenter et exposer une campagne d’adware/search hijacking structurée, identifier les brokers de monétisation et fournir des données exploitables pour une action d’application au niveau des brokers.

🧠 TTPs et IOCs détectés

TTP

  • T1176 — Browser Extensions (Persistence)
  • T1112 — Modify Registry (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • Domaines : myperfecttab.comVT · URLhaus · ThreatFox
  • Domaines : query.quicksearchtool.comVT · URLhaus · ThreatFox
  • Domaines : search.getbettersearch-api.comVT · URLhaus · ThreatFox
  • Domaines : newtab.clubVT · URLhaus · ThreatFox
  • Domaines : nautilus-notes.comVT · URLhaus · ThreatFox
  • Domaines : earthapp.netVT · URLhaus · ThreatFox
  • Domaines : wanderlustar.comVT · URLhaus · ThreatFox
  • Domaines : services.templatesearch-svc.orgVT · URLhaus · ThreatFox
  • Domaines : earth3d.netVT · URLhaus · ThreatFox
  • Domaines : myfocalfind.comVT · URLhaus · ThreatFox
  • Domaines : greatstartapp.comVT · URLhaus · ThreatFox
  • Domaines : freshfruittab.comVT · URLhaus · ThreatFox
  • Domaines : viewmenuprices.comVT · URLhaus · ThreatFox
  • Domaines : searchtoggler.comVT · URLhaus · ThreatFox
  • Domaines : loginonlineapp.comVT · URLhaus · ThreatFox
  • Domaines : seek.searchthatweb.comVT · URLhaus · ThreatFox
  • Domaines : search.freshysearch-api.netVT · URLhaus · ThreatFox
  • Domaines : myvideolibrary.infoVT · URLhaus · ThreatFox
  • Domaines : bestfreemaps.comVT · URLhaus · ThreatFox
  • Domaines : searchanything.coVT · URLhaus · ThreatFox
  • Domaines : oasrchrdr.comVT · URLhaus · ThreatFox
  • Domaines : s.fusebase-search.comVT · URLhaus · ThreatFox
  • Domaines : dy1.comVT · URLhaus · ThreatFox
  • Domaines : worthathousandwords.comVT · URLhaus · ThreatFox
  • URLs : https://myperfecttab.com/search/?q={searchTerms}URLhaus
  • URLs : https://query.quicksearchtool.com/s?query={searchTerms}URLhaus
  • URLs : https://search.getbettersearch-api.com/search/{searchTerms}URLhaus
  • URLs : https://newtab.club/search?q={searchTerms}URLhaus
  • URLs : https://nautilus-notes.com/search?q={searchTerms}URLhaus
  • URLs : https://earthapp.net/admin/public/link?q={searchTerms}URLhaus
  • URLs : https://wanderlustar.com/k?source=7023.139&kw={searchTerms}URLhaus
  • URLs : https://services.templatesearch-svc.org/search/{searchTerms}URLhaus
  • URLs : https://earth3d.net/admin/public/link?q={searchTerms}URLhaus
  • URLs : https://myfocalfind.com/search?q={searchTerms}URLhaus
  • URLs : https://greatstartapp.com/serp.php?v=1.0.1&id=mccmkaicbneobeclkbloeoopcfeipmio&q={searchTerms}URLhaus
  • URLs : https://freshfruittab.com/search?q={searchTerms}URLhaus
  • URLs : https://viewmenuprices.com/auto-suggest/search.php?q={searchTerms}URLhaus
  • URLs : https://searchtoggler.com/ext/search?src=default&q={searchTerms}URLhaus
  • URLs : https://loginonlineapp.com/admin/public/link?q={searchTerms}URLhaus
  • URLs : https://seek.searchthatweb.com?PCSF=true&q={searchTerms}URLhaus
  • URLs : https://search.freshysearch-api.net/search/{searchTerms}URLhaus
  • URLs : https://myvideolibrary.info/search.php?q={searchTerms}URLhaus
  • URLs : https://bestfreemaps.com/search-direction.php?q={searchTerms}URLhaus
  • URLs : https://searchanything.co/search.html?q={searchTerms}&acTypeId=1URLhaus
  • URLs : https://bestfreemaps.com/search-earth-de.php?q={searchTerms}URLhaus
  • URLs : https://oasrchrdr.com?dgd=RD1005461&PCSF=true&q={searchTerms}URLhaus
  • URLs : https://s.fusebase-search.com/search?q={searchTerms}URLhaus
  • Emails : edgarlife1980@gmail.com
  • Fichiers : background.js
  • Fichiers : redirect-rules.json

Malware / Outils

  • MalExt Sentry (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ malext.io — source non référencée (0pts)
  • ✅ 11635 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 50 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/6 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://malext.io/reports/SearchJack/