Cette extension Chrome permet aux pirates de s’emparer à distance de votre PC

Hibou Gourou

Des extensions malveillantes sur Google Chrome sont utilisées à distance par des pirates dans le but de voler des informations sensibles.

Comme l'a rapporté Bleeping Computer , un nouveau botnet du navigateur Chrome intitulé "Cloud9" est également capable d'enregistrer les frappes au clavier, ainsi que de distribuer des publicités et du code malveillant.

Représentation d'un pirate informatique pénétrant dans un système via l'utilisation de code.
Getty Images

Le botnet du navigateur fonctionne comme un cheval de Troie d'accès à distance (RAT) pour le navigateur Web Chromium, qui comprend à la fois Chrome et Microsoft Edge. En tant que tel, ce ne sont pas seulement les identifiants de connexion qui sont accessibles ; les pirates peuvent également lancer des attaques par déni de service distribué ( DDoS ).

L'extension Chrome en question n'est naturellement pas accessible via la boutique en ligne Chrome officielle de Google, vous vous demandez peut-être comment les victimes sont ciblées. Les sites Web qui existent pour propager des infections via de fausses notifications de mise à jour d'Adobe Flash Player sont utilisés à la place.

Les chercheurs en sécurité de Zimperium ont confirmé que les taux d'infection de Cloud9 ont été détectés dans plusieurs régions du monde.

La base de Cloud9 est constituée de trois fichiers JavaScript centraux qui peuvent obtenir des informations sur le système cible et extraire la crypto-monnaie sur ce même PC en plus d'injecter des scripts afin de lancer des exploits de navigateur.

Plusieurs vulnérabilités sont exploitées, note Zimperium, notamment CVE-2019-11708 et CVE-2019-9810 dans Firefox, CVE-2014-6332 et CVE-2016-0189 pour Internet Explorer, et CVE-2016-7200 pour Microsoft Edge.

Bien que les vulnérabilités soient couramment utilisées pour installer des logiciels malveillants Windows, l'extension Cloud9 peut voler les cookies d'un navigateur, permettant aux pirates de prendre le contrôle de sessions utilisateur valides.

De plus, le logiciel malveillant est livré avec un enregistreur de frappe – un logiciel qui peut essentiellement envoyer toutes vos pressions sur les touches aux attaquants. Un module "clipper" a également été découvert dans l'extension, qui permet au PC d'accéder aux mots de passe copiés ou aux cartes de crédit.

"Les attaques de couche 7 sont généralement très difficiles à détecter car la connexion TCP ressemble beaucoup à des requêtes légitimes", a déclaré Zimperium. "Le développeur utilise probablement ce botnet pour fournir un service permettant d'effectuer des DDOS."

Une autre façon dont les acteurs de la menace derrière Cloud9 génèrent encore plus de revenus illicites consiste à injecter des publicités, puis à charger ces pages Web en arrière-plan pour accumuler des impressions publicitaires.

Cloud9 étant repéré sur des forums de cybercriminalité, les opérateurs pourraient vendre son extension malveillante aux parties intéressées. Dans cet esprit, vérifiez toujours si vous installez quoi que ce soit sur votre navigateur à partir d'une source non officielle et activez l'authentification à deux facteurs si possible.