browser address field

Vérifié, présenté et malveillant: la campagne Reddirection révèle les échecs du marché du navigateur

Lucas Morel

Malgré le statut vérifié et les notes élevées, 18 extensions ont déployé silencieusement le code de surveillance, ce qui soulève des questions urgentes sur les processus d’examen de l’extension de Chrome et de bord.

Une campagne de détournement de navigateur répandue a infecté plus de 2,3 millions d’utilisateurs grâce à 18 extensions malveillantes disponibles sur Google Chrome et Microsoft Edge.

Surnommée «reddirection» par des chercheurs de KOI Security, l’opération a exploité des indicateurs de confiance tels que des badges vérifiés, des notes élevées et un placement en vedette pour rester non détecté dans les deux écosystèmes de navigateur.

Les chercheurs de KOI ont décrit l’opération comme l’une des plus grandes campagnes malveillantes basées sur un navigateur qu’ils ont vues à ce jour.

Parmi les extensions identifiées, «Color Picker, Fullropper – Geco ColorPick» s’est démarqué avec plus de 100 000 installations, plus de 800 critiques positives et un statut vérifié dans la boutique en ligne Chrome. Malgré son apparence légitime et son interface utilisateur fonctionnelle, l’extension s’est avérée capturer l’activité de navigation et envoyer des données aux serveurs distants.

D’autres extensions offraient des fonctionnalités variées – des claviers Emoji et des prévisions météorologiques aux procurations VPN, aux thèmes sombres et aux boosters de volume – mais tous contenaient des capacités de surveillance et de détournement similaires cachées dans leur code.

« Ce n’est pas une extension de l’escroquerie évidente lancée ensemble dans un week-end », a déclaré Idan Dardikman, chercheur chez KOI Security, dans un article de blog sur la prolongation infestée de logiciels malveillants. « Il s’agit d’un cheval de Troie soigneusement conçu qui offre exactement ce qu’il promet, tout en détournant simultanément votre navigateur, en suivant chaque site Web que vous visitez et en maintenant une commande et contrôle persistants de la porte dérobée. »

Code malveillant déployé via des mises à jour d’extension

Les chercheurs de KOI ont constaté que la plupart des extensions malveillantes n’étaient pas nocives au moment de la publication initiale. Au lieu de cela, ils sont devenus dangereux plus tard grâce à des mises à jour de la version, une technique qui leur a permis de fonctionner non détectée pendant de longues périodes.

« En raison de la façon dont Google et Microsoft gèrent les mises à jour des extensions du navigateur, ces versions malveillantes ont automatiquement installé silencieusement plus de 2,3 millions d’utilisateurs sur les deux plates-formes – dont la plupart n’ont jamais rien cliqué », a déclaré Dardikman dans le post.

Les chercheurs ont déclaré que l’incident met en évidence les risques de compromis de la chaîne d’approvisionnement au sein des écosystèmes du navigateur. « Les mécanismes mêmes destinés à garantir la sécurité des utilisateurs – statut vérifié, placement en vedette, mises à jour sans couture – ont fini par amplifier la portée du malware », a-t-il ajouté.

Un porte-parole de Google a déclaré: « Peut confirmer que toutes les extensions de la boutique en ligne Chrome ont été supprimées. » Microsoft n’a pas commenté le développement.

Arjun Chauhan, directeur de la pratique du groupe Everest, a déclaré que la campagne reflète un changement dans la stratégie de l’attaquant. « Contrairement aux attaques traditionnelles de la chaîne d’approvisionnement qui ciblent les systèmes backend, cette campagne a infiltré les utilisateurs des outils tous les jours – leurs extensions de navigateur. L’activation retardée du code malveillant souligne une lacune critique dans les modèles de sécurité des entreprises. »

Il a noté que la vérification initiale ne suffit plus. «Les organisations doivent mettre en œuvre un suivi continu des extensions du navigateur, appliquer des contrôles d’autorisation stricts et éduquer les employés sur les risques associés à des outils apparemment dignes de confiance. L’adoption d’une approche zéro-frust des extensions du navigateur est désormais impérative.»

Risques de détournement et de phishing du navigateur

Selon leurs recherches, le code malveillant a été intégré dans le travailleur des services de fond de chaque extension et a utilisé des API de navigateur pour surveiller l’activité des onglets. Les données capturées, y compris les URL et les identifiants de suivi uniques, ont été envoyées à des serveurs contrôlés par l’attaquant, qui à leur tour ont fourni des instructions de redirection.

La configuration a permis plusieurs scénarios d’attaque, notamment la redirection vers des pages de phishing, le vol d’identification bancaire à l’aide de sites de connexion clonés et de fausses invites de mise à jour livrées grâce à des invitations de réunion détournées.

« Avec 2,3 millions d’utilisateurs sous surveillance à travers 18 extensions différentes, la campagne crée une capacité massive persistante d’homme dans le milieu qui peut être exploitée à tout moment », a déclaré Dardikman.

Infrastructure centralisée sur toutes les plateformes

La campagne s’étendait à la fois Chrome et Edge, chaque extension liée à son propre sous-domaine de commandement et de contrôle pour créer l’apparition d’acteurs distincts. Les chercheurs ont noté que toutes les extensions étaient finalement liées à un seul réseau coordonné.

Plusieurs extensions avaient également obtenu un statut de vedette ou vérifié sur les deux marchés, ce qui soulève d’autres préoccupations concernant les processus de dépistage des plateformes.

KOI Security recommande aux utilisateurs affectés de désinstaller immédiatement les extensions, d’effacer les données du navigateur pour supprimer les identificateurs de suivi, d’exécuter une analyse de logiciels malveillants complète et de surveiller les comptes en ligne pour une activité inhabituelle. Un examen complet des extensions installées est également conseillé.

Les extensions malveillantes connues incluent «Color Picker, Eyedropper – Geco ColorPick», «VPN Proxy to Unblock Discord Anywhere», «Emoji Clavier en ligne – Copier et coller votre emoji», «Free Mether Forecast», «Déblocage Discord», «Dark Thème» pour Chrome – «Volume MAX – Ultimate Sound Booster», «Unblock TikTok – SEAMUST MAX – ULTIMATE Proxy en un clic, «  » Déverrouiller YouTube VPN « , » Déverrouiller Tiktok « et » Weather « .

Gaps sur le marché et risques à long terme

L’incident souligne les faiblesses systémiques de la gouvernance d’extension du navigateur. Les processus de vérification de Google et Microsoft n’ont pas réussi à détecter les logiciels malveillants, même si certaines des extensions ont reçu des badges promotionnels et de confiance.

« Les attaquants ont réussi à exploiter tous les signaux de fiducie sur les utilisateurs – les badges de vérification, les comptes d’installation, le placement en vedette, les années de fonctionnement légitime et les critiques positives », a déclaré Dardikman. «Ces mécanismes de crédibilité ont été tournés contre les utilisateurs.»

Chauhan a ajouté que des modifications au niveau de la plate-forme sont nécessaires. «L’analyse statique et les revues manuelles ne peuvent pas suivre les menaces d’aujourd’hui. Pour empêcher des campagnes similaires, Google et Microsoft doivent investir dans une analyse dynamique, une surveillance des extensions en temps réel et des processus de mise à jour plus transparents. Le renforcement de ces domaines est essentiel pour restaurer la confiance des utilisateurs.»

Un réveil de sécurité plus large

Les chercheurs décrivent la campagne comme un tournant pour la sécurité du navigateur. Plutôt que de s’appuyer sur des attaques à victoire rapide, les acteurs de la menace derrière Reddirection ont développé une infrastructure patiente de longue date, leur permettant de se glisser sous détection pendant des années avant d’activer les logiciels malveillants.

Le timing est également notable. L’exposition de la campagne intervient quelques jours seulement après que Mitre a ajouté des «extensions IDE» en tant que nouvelle catégorie dans son cadre ATT&CK, attirant l’attention sur les menaces croissantes au sein des écosystèmes logiciels tiers.

« Si les extensions du navigateur qui passent chaque test de confiance peuvent se retourner dans des logiciels malveillants du jour au lendemain, le modèle de sécurité pour les gérer doit changer », a déclaré Dardikman dans le billet de blog.

Plus de nouvelles de la sécurité:

  • Le deuxième cyberattaque lié à l’espionnage frappe la CPI, exposant des menaces persistantes aux systèmes de justice mondiale
  • Les changements d’araignée dispersés se concentrent sur les compagnies aériennes alors que les frappes frappaient Hawaiian, Westjet – et maintenant Qantas
  • AMI Megarac Authentification Bypass Flaw est en cours d’exploiter, prévient CISA

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire