Google a fait du nettoyage au niveau du Chrome Web Store. Plus de 500 extensions malveillantes disponibles pour son navigateur Chrome ont été retirées à la suite d’une enquête de deux mois réalisée par la chercheuse en sécurité Jamila Kaya et l’équipe de sécurité de Cisco Duo.
Les extensions en question avaient toutes un point commun : elles injectaient des publicités malveillantes dans les sessions de navigation des utilisateurs. Le code malveillant injecté par les extensions s’activait sous certaines conditions et redirigeait les utilisateurs vers des sites spécifiques. Dans certains cas, la destination était un lien d’affiliation sur des sites légitimes comme Macys, Dell ou Best Buy. Mais dans d’autres cas, la destination était un site de téléchargement de logiciels malveillants ou une page de phishing.
Il y a eu tout un travail derrière pour diffuser des publicités et le rapport publié par les chercheurs suggère que les extensions faisaient partie d’une opération malveillante plus vaste active depuis au moins deux ans. Quant au groupe derrière cette opération, les chercheurs pensent qu’il est actif depuis au moins le début des années 2010.
Jamila Kaya explique avoir analysé plusieurs extensions qui partageaient quasiment le même code, avaient des noms différents et se voulaient très vagues sur leur fonction. Selon l’équipe de Cisco Duo, 1,7 million d’utilisateurs ont été touchés par la première série d’extensions. Les chercheurs ont ensuite contacté Google, qui a découvert plus de 500 extensions piégées. Le groupe ne dit pas combien d’utilisateurs ont été touchés au total pour le coup. Il a en tout cas fait le nécessaire pour bloquer les extensions chez ceux qui les avaient déjà installées.
