Plus de 20 millions d’utilisateurs ont installé des bloqueurs d’annonces malveillants dans le Chrome Store

Si vous avez installé l’une des extensions de bloqueur de publicités mentionnées ci-dessous dans votre navigateur Chrome, vous pourriez avoir été piraté.

Un chercheur en sécurité a détecté cinq extensions de bloqueurs de publicités malveillantes dans le Google Chrome Store qui avaient déjà été installées par au moins 20 millions d’utilisateurs.
Malheureusement, les extensions de navigateur malveillantes n’ont rien de nouveau. Ils ont souvent accès à tout ce que vous faites en ligne et pourraient permettre à leurs créateurs de voler toute information que les victimes pourraient entrer sur un site Web, y compris les mots de passe, l’historique de navigation et les détails de la carte de crédit.
Découvert par Andrey Meshkov, co-fondateur d’Adguard, ces cinq extensions malveillantes sont des versions imitatrices de certains bloqueurs de publicités bien connus et légitimes.
Les créateurs de ces extensions ont également utilisé des mots clés populaires dans leurs noms et leurs descriptions pour se classer en tête des résultats de recherche, augmentant ainsi la possibilité d’obtenir plus d’utilisateurs pour les télécharger.
"Toutes les extensions que j’ai mises en évidence sont des arnaques simples avec quelques lignes de code et un code d’analyse ajouté par les auteurs", dit Meshkov .

Après que Meshkov a rapporté ses conclusions à Google mardi, le géant de la technologie a immédiatement supprimé toute l’extension de bloqueur de publicités malveillante mentionnée ci-dessous de son Chrome Store :

  • AdRemover pour Google Chrome ™ (10 millions d’utilisateurs et plus)
  • uBlock Plus (plus de 8 millions d’utilisateurs)
  • [Faux] Adblock Pro (2 millions + utilisateurs)
  • HD pour YouTube ™ (400 000 utilisateurs et plus)
  • Webutation (plus de 30 000 utilisateurs)

Il a téléchargé l’extension ’AdRemover’ pour Chrome, et après l’avoir analysé, il a découvert que le code malveillant caché dans la version modifiée de jQuery, une bibliothèque JavaScript bien connue, envoyait des informations sur certains sites Web à un serveur distant.
malveillants L’extension malveillante reçoit ensuite des commandes du serveur distant, qui sont exécutées dans l’extension ’page d’arrière-plan’ et peuvent modifier le comportement de votre navigateur de quelque façon que ce soit.

Pour éviter la détection, ces commandes envoyées par le serveur distant sont cachées dans une image sans danger.
"Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié (page d’arrière-plan de l’extension) et peuvent modifier le comportement de votre navigateur de quelque façon que ce soit", explique M. Meshkov.
"Fondamentalement, il s’agit d’un botnet composé de navigateurs infectés par les fausses extensions Adblock", dit Meshkov. "Le navigateur fera ce que le propriétaire du serveur du centre de commande lui ordonne de faire."
Le chercheur a également analysé d’autres extensions sur le Chrome Store et a trouvé quatre autres extensions utilisant des tactiques similaires.
Depuis l’extension du navigateur prend l’autorisation d’accéder à toutes les pages Web que vous visitez, il peut faire pratiquement n’importe quoi.
Donc, il est conseillé d’installer le moins d’extensions possible et uniquement auprès d’entreprises de confiance.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image