Extensions Chrome de vol d'informations

Par Mezo en Logiciels malveillants, Les voleurs

Se traduisent par :

Des analystes de sécurité ont identifié une extension malveillante pour Google Chrome, conçue pour collecter des données sensibles dans les environnements Meta Business. Cette extension, CL Suite de @CLMasters, se présente comme un outil de productivité pour les utilisateurs de Meta Business Suite et de Facebook Business Manager. Promue comme un utilitaire permettant d'extraire des données d'entreprise, de contourner les demandes de vérification et de générer des codes d'authentification à deux facteurs (2FA), elle a été publiée sur le Chrome Web Store le 1er mars 2025.

Malgré les affirmations de sa politique de confidentialité selon lesquelles les clés d'authentification à deux facteurs et les données de Business Manager restent confinées à l'environnement local, une analyse technique révèle une réalité différente. L'extension requiert des autorisations étendues sur les domaines meta.com et facebook.com et transmet subrepticement des informations sensibles à une infrastructure contrôlée par l'attaquant.

Table des matières

Capacités d’exfiltration de données secrètes

L'extension collecte et exporte discrètement des données sensibles issues de sessions Meta authentifiées. Les informations exfiltrées sont envoyées à un serveur hébergé sur getauth[.]pro, avec la possibilité de transférer ces mêmes données vers un canal Telegram géré par l'attaquant.

L'étendue complète des fonctionnalités de collecte de données de l'extension comprend :

Vol des clés TOTP et des codes 2FA actifs utilisés pour sécuriser les comptes Meta et Facebook Business
Extraction des données « Personnes » de Business Manager, compilées dans des fichiers CSV contenant les noms, adresses e-mail, rôles attribués, niveaux d'autorisation et statuts d'accès.
Énumération des entités Business Manager et des ressources liées, y compris les comptes publicitaires, les pages associées, les connexions de ressources, les configurations de facturation et les détails de paiement

Bien que le module complémentaire ne capture pas directement les mots de passe, les attaquants pourraient combiner les mots de passe à usage unique temporel volés avec des identifiants provenant de journaux de voleurs d'informations ou de bases de données divulguées pour obtenir un accès non autorisé aux comptes.

Des chercheurs en sécurité avertissent que même avec une base installée relativement restreinte, les renseignements recueillis suffisent à identifier des cibles d'entreprise de grande valeur et à faciliter des attaques ultérieures.

Grattage déguisé en productivité

Le cas de CL Suite illustre comment des extensions de navigateur à la portée limitée peuvent dissimuler une collecte de données agressive sous couvert d'améliorations légitimes des flux de travail. Des fonctionnalités telles que l'extraction de contacts, la collecte de données analytiques, la suppression des fenêtres contextuelles de vérification et la génération d'authentification à deux facteurs (2FA) intégrées au navigateur ne sont pas des utilitaires neutres. Au contraire, elles fonctionnent comme des outils d'extraction de données spécialement conçus pour siphonner les listes de contacts, les métadonnées et les informations d'authentification directement à partir des interfaces métier Meta authentifiées.

En s'intégrant aux flux de travail de confiance, ces extensions contournent la méfiance des utilisateurs et fonctionnent dans les limites de sécurité des sessions actives.

La campagne AiFrame : des assistants IA transformés en intermédiaires de données

Dans le cadre d'une campagne distincte mais coordonnée, baptisée AiFrame, des chercheurs ont découvert 32 extensions de navigateur présentées comme des assistants basés sur l'IA pour la synthèse, le chat, l'aide à la rédaction et l'optimisation de l'utilisation de Gmail. Ces modules complémentaires ont été installés plus de 260 000 fois au total.

Bien qu'elles paraissent légitimes, ces extensions reposent sur une architecture distante, gérée par un serveur. Au lieu de traiter les données localement, elles intègrent des superpositions iframe plein écran qui se connectent au domaine claude.tapnetic[.]pro. Cette conception permet aux opérateurs d'ajouter dynamiquement de nouvelles fonctionnalités sans avoir à publier de mises à jour via le Chrome Web Store.

Une fois déployées, ces extensions servent d'intermédiaires privilégiés entre le navigateur et l'infrastructure distante. Lorsqu'elles sont activées, elles analysent l'onglet actif et utilisent la bibliothèque Readability de Mozilla pour extraire le contenu de l'article. Elles permettent également la reconnaissance vocale et la transmission des transcriptions enregistrées à des serveurs externes.

Certaines extensions ciblent spécifiquement Gmail. Lorsque les utilisateurs accèdent à mail.google.com et activent les fonctions de réponse ou de résumé basées sur l'IA, le contenu visible des e-mails est extrait directement du DOM (Document Object Model) et transmis à des systèmes tiers contrôlés par les opérateurs. Par conséquent, le contenu des e-mails et leurs métadonnées contextuelles peuvent être transférés hors de l'environnement protégé de Gmail vers des serveurs distants, à l'insu de l'utilisateur.

Abus d’extensions à grande échelle et courtage de données

L’utilisation abusive des extensions de navigateur ne se limite pas à des campagnes isolées. Des chercheurs ont également identifié 287 extensions Chrome qui ont été installées 37,4 millions de fois au total, soit environ 1 % des utilisateurs de Chrome dans le monde, et qui transmettent l’historique de navigation à des courtiers en données.

Des enquêtes antérieures ont démontré comment les données de navigation collectées sont agrégées et monétisées par des entreprises telles que Similarweb et Alexa. Ces résultats soulignent l'ampleur que peut atteindre la surveillance via les extensions de navigateur.

Renforcement des défenses contre les extensions malveillantes

Face à l'escalade des menaces, les organisations et les utilisateurs individuels doivent adopter des pratiques de gestion des extensions rigoureuses. Parmi les mesures défensives efficaces, on peut citer :

N'installer que les extensions essentielles et bien notées provenant des plateformes officielles.
Effectuer des audits périodiques des extensions installées afin de détecter les autorisations excessives ou les comportements anormaux.

Utilisation de profils de navigateur distincts pour les activités sensibles

Mise en œuvre d'une liste blanche d'extensions au sein des environnements d'entreprise pour bloquer les modules complémentaires non autorisés ou non conformes

Les extensions de navigateur bénéficient de privilèges importants au sein des sessions de confiance. Sans surveillance rigoureuse, elles peuvent devenir de puissants vecteurs d'exfiltration de données et de compromission d'identifiants.

System Messages

The following system messages may be associated with Extensions Chrome de vol d'informations:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Extensions Chrome de vol d'informations

Capacités d’exfiltration de données secrètes

Grattage déguisé en productivité

La campagne AiFrame : des assistants IA transformés en intermédiaires de données

Abus d’extensions à grande échelle et courtage de données

Renforcement des défenses contre les extensions malveillantes

System Messages

Soumettre un Commentaire

Tendance

Logiciel de rançon Taqw

News-gavewe.com

Kravonexta.com

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Comment réparer « macOS ne peut pas vérifier que...

Discord affiche un écran noir lors du partage d'écran