Les extensions de navigateur peuvent ajouter de nouvelles fonctionnalités pour vous aider à en faire plus dans Google Chrome, Microsoft Edge et d’autres navigateurs Web basés sur Chromium, mais elles peuvent également être utilisées comme moyen de prendre le contrôle de votre PC ou même de l’infecter avec des logiciels malveillants.
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet)un nouveau botnet appelé Cloud9 a été découvert par des chercheurs en sécurité de Zimperium. Le botnet utilise extensions malveillantes pour enregistrer les frappes au clavier, voler les mots de passe, injecter des publicités et infecter les ordinateurs vulnérables avec des logiciels malveillants. Les navigateurs avec cette extension malveillante installée peuvent même être utilisés pour lancer Attaques DDoS conçu pour prendre le contrôle des sites Web en les submergeant de trafic.
L’extension de navigateur Cloud9 fonctionne comme un cheval de Troie d’accès à distance (RAT) et les pirates peuvent l’utiliser pour exécuter à distance des commandes dans le navigateur d’une victime une fois qu’il a été ajouté à Chrome ou Edge.
Distribué via de faux programmes et des mises à jour de Flash Player
Contrairement à la meilleures extensions Google Chrome, vous ne trouverez pas Cloud9 sur le Chrome Web Store, car cette extension malveillante serait facilement détectée et bloquée par l’équipe de sécurité de Google. Au lieu de cela, les pirates utilisent certaines de leurs tactiques les plus courantes pour inciter les utilisateurs à l’installer eux-mêmes.
Dans un article de blog (s’ouvre dans un nouvel onglet) Détaillant les conclusions de ses chercheurs en sécurité, Zimperium explique que les méthodes de distribution les plus courantes pour Cloud 9 sont « de faux exécutables et des sites Web malveillants déguisés en mises à jour d’Adobe Flash Player ».
Bien que ces faux exécutables soient susceptibles logiciel piraté que les victimes potentielles téléchargent pour éviter de payer pour des versions légales, les fausses mises à jour d’Adobe Flash Player ne sont plus aussi populaires parmi les pirates qu’auparavant. En effet, Adobe a officiellement mis fin à la prise en charge de son Flash Player autrefois omniprésent en janvier 2021. À cette époque, la société derrière Photoshop et certains des autres meilleur logiciel de retouche photo recommandé aux utilisateurs désinstaller Flash Player sur leurs appareils pour éviter d’être victime de fausses mises à jour comme celles-ci.
Bien qu’Adobe Flash Player ait été abandonné depuis, faux sites Web utilisez toujours les mises à jour du logiciel pour inciter les utilisateurs peu méfiants à télécharger des logiciels malveillants et, dans ce cas, une extension malveillante.
Exploitation des vulnérabilités pour infecter les appareils Windows avec des logiciels malveillants
Une fois installé dans Chrome ou Edge, Cloud9 utilise trois fichiers JavaScript pour collecter des informations système, pour le mien pour la crypto-monnaie utilisant un PC infecté et de mener des attaques DDoS.
Cette extension malveillante peut également infecter votre ordinateur avec des logiciels malveillants en exploitant des vulnérabilités connues dans Edge et même Internet Explorer. Une fois que le logiciel malveillant a été installé sur un système exécutant Cloud9, les pirates informatiques derrière celui-ci peuvent enregistrer les frappes au clavier pour voler les mots de passe saisis sur votre ordinateur. Cependant, l’extension dispose également d’un module « clipper » qui surveille le presse-papiers de votre système pour les mots de passe copiés ou les informations de carte de crédit.
Cloud9 est même capable d’injecter des publicités en chargeant des pages Web en arrière-plan, ce qui génère revenus publicitaires pour ses créateurs. Si cette extension malveillante est installée sur votre PC, vous remarquerez peut-être qu’elle s’exécute plus lentement que d’habitude – cela pourrait être un signe que votre système est utilisé pour effectuer des attaques DDoS.
Les chercheurs de Zimperium ont également observé que Cloud9 est fortement promu sur les forums de piratage. Tout comme avec malware-as-a-servicecette extension malveillante peut être utilisée par d’autres cybercriminels pour mener leurs propres attaques — moyennant un certain prix.
Comment se protéger des extensions de navigateur malveillantes
Le moyen le plus simple d’éviter les extensions malveillantes consiste à vous assurer de n’en télécharger que de nouvelles à partir du Chrome Web Store pour Google Chrome ou à partir de la boutique de modules complémentaires Microsoft Edge pour Microsoft Edge. Pourtant, de mauvaises extensions parviennent à passer outre Google et Microsoft de temps en temps, c’est pourquoi vous devriez probablement avoir l’une des meilleur logiciel antivirus solutions installées sur votre PC.
Tout comme avec les applications pour votre smartphone, vous devez toujours vous demander si vous avez vraiment besoin d’une extension avant de l’installer. Si l’un semble trop beau pour être vrai ou s’il propose de vous donner accès gratuitement à un service payant, il y a de fortes chances qu’il soit malveillant. Les pirates et autres cybercriminels créent souvent de fausses extensions pour prendre pied sur votre PC, c’est pourquoi vous devez être prudent lors de l’installation de toute nouvelle extension.
Dans une déclaration à BleepingComputer, un porte-parole de Google recommande également de s’assurer que la dernière version de Chrome est installée sur vos appareils, car elle disposera des « protections de sécurité les plus récentes ». Cela vaut également pour Microsoft Edge et tout autre navigateur basé sur Chromium comme Opera, Vivaldi et Brave.
Pour une protection supplémentaire sur Google Chrome, vous pouvez également activer le géant de la recherche Protection renforcée fonctionnalité dans les paramètres de confidentialité et de sécurité du navigateur. Cela vous aidera à vous protéger des exécutables malveillants tout en vous avertissant automatiquement des téléchargements à risque.