Les modules complémentaires Chrome et Edge, autrefois fiables, se sont discrètement transformés en outils de collecte de données, de manipulation de recherche et en porte dérobée d’exécution à distance affectant plus de 4,3 millions d’utilisateurs.
Une vaste campagne de surveillance ciblant les utilisateurs de Google Chrome et de Microsoft Edge n’est que la dernière évolution d’un projet de sept ans visant à distribuer des extensions de navigateur malveillantes.
En ciblant les extensions de navigateur fiables et en les militarisant seulement après qu’elles aient passé les contrôles d’acceptation initiaux et gagné un large public, parfois au fil des années, un groupe que Koi a qualifié de « ShadyPanda » a infecté 4,3 millions d’instances de navigateur pour récolter des données de navigation, détourner les résultats de recherche, manipuler le trafic et déployer une porte dérobée capable d’exécuter du code à distance.
Le risque pour les entreprises est important si l’un de ces navigateurs se trouve sur les ordinateurs de travail ou sur les appareils personnels des employés utilisés pour accéder aux ressources professionnelles, a prévenu Koi.
« Les postes de travail des développeurs infectés signifient des référentiels compromis et des clés API volées », a déclaré le chercheur en sécurité Tuval Admoni dans un article sur le blog Koi Security. « L’authentification basée sur le navigateur sur les plates-formes SaaS, les consoles cloud et les outils internes signifie que chaque connexion est visible pour ShadyPanda. »
Les extensions malveillantes ne sont plus distribuées, mais les organisations dont les machines sont infectées restent en danger : « Même si les extensions ont été récemment supprimées des marchés, l’infrastructure nécessaire aux attaques à grande échelle reste déployée sur tous les navigateurs infectés », a déclaré Admoni.
Campagne pluriannuelle aux motivations changeantes
L’analyse de Koi montre que ShadyPanda a maintenu une infrastructure d’extensions de navigateur pluriannuelle et multigénérationnelle remontant à 2017. Le groupe a parcouru des dizaines d’extensions, dont 20 publiées sur le Chrome Web Store et 125 distribuées pour Edge.
Les premières extensions se concentraient sur la fraude par affiliation, extrayant des commissions cachées sur les achats en ligne des victimes, pour ensuite se tourner vers la manipulation des résultats de recherche. Plus récemment, ils ont inclus un suivi comportemental sophistiqué, une collecte de données de session et une surveillance des empreintes digitales du navigateur affectant 4 millions d’utilisateurs, ainsi qu’une porte dérobée prenant en charge l’exécution de code à distance (RCE) affectant 300 000.
Aucun avis après soumission
Cette légitimité à long terme a construit une large base d’utilisateurs et a peut-être normalisé ces extensions au sein des entreprises, où les modules complémentaires de navigateur passent souvent sans examen minutieux. Ce n’est qu’après avoir accumulé la confiance et des millions d’installations que ShadyPanda a lancé des mises à jour malveillantes silencieuses. Il intégrait des routines cachées de suivi des installations qui cartographiaient le comportement des utilisateurs et optimisaient la portée avant de l’utiliser comme arme via une mise à jour malveillante.
Étant donné que les mises à jour de Chrome et Edge se produisent automatiquement et ne nécessitent pas de nouvelle approbation de l’utilisateur pour les autorisations existantes, l’exploit s’est produit discrètement.
« Le succès de ShadyPanda réside dans l’exploitation systématique de la même vulnérabilité pendant sept ans : les Marketplaces examinent les extensions lors de leur soumission », a déclaré Admoni. « Ils ne regardent pas ce qui se passe après l’approbation. »
Astuces d’évasion et d’homme dans le navigateur
ShadyPanda a également investi pour rester caché. Koi a découvert que lorsque les outils de développement étaient ouverts, la logique malveillante passait immédiatement à un comportement inoffensif, rendant l’analyse manuelle plus difficile. L’obscurcissement et l’activation contrôlée ont encore plus obscurci le composant malveillant, garantissant ainsi la furtivité.
Koi a noté que certaines de ces extensions étaient toujours actives dans la boutique Edge Add-ons au moment de la divulgation. L’éditeur de Clean Master, Starlab Technology, a lancé 5 extensions supplémentaires sur Microsoft Edge vers 2023, récoltant plus de 4 millions d’installations combinées. « Les 5 extensions sont toujours actives sur le marché Microsoft Edge », a déclaré Admoni, ajoutant que deux d’entre elles sont des logiciels espions complets.
Comme dans une attaque de type man-in-the-middle (MitM), ShadyPanda s’est positionné efficacement entre les utilisateurs et les sites Web qu’ils ont visités, en insérant une logique de suivi dans les pages qu’ils ont chargées. Cela a permis aux attaquants d’observer et de manipuler le trafic via le navigateur, donnant ainsi à l’acteur une visibilité continue sur la manière dont les utilisateurs infectés interagissaient avec le Web.
Admoni a souligné que la suppression des extensions pourrait ne pas aider car, vraisemblablement, les attaquants ont peut-être déjà collecté des données de grande valeur, notamment des cookies, des modèles de navigation, des jetons de session, des données d’empreintes digitales, etc.
Dans son article de blog, Koi a fourni une liste d’extensions Chrome et Edge malveillantes, ainsi que des domaines C2 et d’exfiltration de données pour soutenir les efforts de détection.
