Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Extensions de navigateur malveillantes ShadyPanda

Extensions de navigateur malveillantes ShadyPanda

Par Mezo en Logiciels malveillants
Se traduisent par :

Dans un exemple frappant d'exploitation informatique à long terme, un acteur malveillant connu sous le nom de ShadyPanda a mené une campagne de sept ans ciblant les extensions de navigateur, accumulant plus de 4,3 millions d'installations. Cette opération démontre comment même des logiciels légitimes peuvent être détournés de leur usage initial en l'absence de surveillance adéquate.

Des outils légitimes aux mises à jour malveillantes

Cinq des extensions compromises étaient initialement des applications légitimes, mais ont été modifiées avec des fonctionnalités malveillantes au milieu de l'année 2024. Ces mises à jour ont généré environ 300 000 installations avant que les extensions ne soient finalement supprimées. Les mises à jour malveillantes permettaient l'exécution de code à distance toutes les heures, autorisant ainsi les attaquants à télécharger et exécuter du code JavaScript arbitraire avec un accès complet au navigateur. Une fois activées, ces extensions :

  • Surveillez chaque site web visité.
  • Exfiltrer l'historique de navigation chiffré.
  • Collecter les empreintes digitales complètes du navigateur.

Clean Master en est un exemple frappant : ce logiciel était auparavant vérifié par Google. Son statut officiel a permis à ShadyPanda d’étendre sa base d’utilisateurs et de diffuser des mises à jour malveillantes sans éveiller les soupçons.

Surveillance de masse via des modules complémentaires populaires

Cinq autres extensions, dont WeTab, ont surveillé les utilisateurs à grande échelle. Ces modules complémentaires enregistraient les URL, les requêtes des moteurs de recherche, les clics de souris et autres interactions avec le navigateur, et transmettaient ces données à des serveurs situés en Chine. Au total, ces extensions ont été installées environ quatre millions de fois, dont trois millions pour WeTab à elle seule.

Les premiers signes d'un comportement malveillant sont apparus en 2023, impliquant les développeurs « nuggetsno15 » et « rocket Zhang », qui ont publié 20 extensions Chrome et 125 extensions Edge déguisées en fonds d'écran ou en outils de productivité.

Exploitation de la fraude à l’affiliation et du détournement de navigateur

Les extensions de ShadyPanda se livraient initialement à des fraudes d'affiliation, en injectant des codes de suivi sur des sites comme eBay, Amazon et Booking.com afin de générer des commissions illicites. Début 2024, ces tactiques ont évolué vers un contrôle actif du navigateur, incluant :

  • Collecte des requêtes de recherche.
  • Redirection des recherches via trovi.com, un pirate de navigateur connu.
  • Exfiltration des cookies à partir des domaines ciblés.

À la mi-2024, trois extensions à usage légitime de longue date ont été modifiées pour récupérer des charges utiles JavaScript horaires depuis 'api.extensionplay(dot)com', les exécutant pour surveiller chaque visite du site et transmettre des données chiffrées à 'api.cleanmasters(dot)store'. Les charges utiles étaient fortement obfusquées et passaient en mode bénin si des outils de développement étaient détectés, aidant ainsi le logiciel malveillant à échapper à la détection.

Capacités d’attaque avancées

Au-delà du simple suivi, ces extensions pourraient permettre de mener des attaques de type « adversaire au milieu » (AitM), facilitant ainsi :

  • Vol d'identifiants.
  • Détournement de session.
  • Injection de code arbitraire sur n'importe quel site.

La surveillance s'est intensifiée avec les modules complémentaires de Microsoft Edge comme WeTab, qui enregistraient de nombreuses interactions des utilisateurs, notamment le défilement, le temps passé sur les pages et toutes les traces de navigation. Ces extensions ne sont plus disponibles au téléchargement sur leurs plateformes respectives.

Actions recommandées pour les utilisateurs

Cette campagne s'est déroulée en quatre phases distinctes, passant d'outils légitimes à des logiciels espions sophistiqués. Bien qu'il soit difficile de déterminer si le nombre de téléchargements a été artificiellement gonflé pour paraître légitime, le risque pour les utilisateurs demeure important. Les utilisateurs ayant installé l'une de ces extensions doivent la supprimer immédiatement et changer régulièrement les mots de passe de tous leurs comptes en ligne.

Exemples d'extensions concernées :

  • Clean Master : le meilleur nettoyeur de cache Chrome
  • Speedtest Pro - Test de vitesse Internet en ligne gratuit
  • Site de blocage
  • sélecteur de moteur de recherche dans la barre d'adresse
  • Nouvel onglet SafeSwift
  • Infinity V+ Nouvel onglet
  • OneTab Plus : Gestion des onglets et productivité
  • WeTab 新标签页
  • Nouvel onglet Infinity pour mobile
  • Infinity New Tab (Pro)
  • Nouvel onglet Infinity
  • Rêver au loin Nouvel onglet
  • Gestionnaire de téléchargements Pro
  • Page d'accueil du fond d'écran Galaxy Theme HD 4K
  • Page d'accueil de Halo 4K Wallpaper HD
  • Leçons de ShadyPanda

Le succès de ShadyPanda démontre que la maîtrise technique ne suffit pas : la campagne a prospéré en exploitant une faille systémique des plateformes d’extensions de navigateurs. Si les extensions sont examinées lors de leur soumission, leur fonctionnement après validation reste largement incontrôlé. Ce manque de surveillance persistant a permis à des outils de confiance de se transformer discrètement en plateformes de surveillance, soulignant ainsi la nécessité d’une vigilance constante, même avec des logiciels vérifiés.

Tendance

Le plus regardé

Chargement...