- Des hackers russes vendent un service d’extensions Chrome capable de contourner la modération du Google Store
- Un module malveillant usurpe des sites légitimes via des iframes en plein écran pour voler des identifiants
- Varonis recommande un allowlisting strict en entreprise et des audits d’extensions côté grand public pour se protéger
Des hackers russes commercialisent un service permettant à d’autres cybercriminels d’usurper l’apparence de sites légitimes, afin d’inciter les victimes à divulguer leurs identifiants de connexion, voire à effectuer des virements frauduleux.
Un acteur malveillant opérant sous l’alias « Stenli » (Stanley) a récemment commencé à proposer un service garantissant qu’une extension Chrome malveillante « passera la modération du Google Store » et sera intégrée au catalogue officiel des modules du navigateur.
Une telle promesse s’accompagne toutefois d’un tarif élevé, compris entre 2 000 et 6 000 dollars.
Une avalanche de notifications push
Dans une analyse approfondie, les chercheurs en cybersécurité de Varonis expliquent que l’extension fonctionne en recouvrant des sites légitimes à l’aide d’une iframe en plein écran, affichant un contenu de phishing conçu sur mesure.
La barre d’adresse, en revanche, reste intacte. Ainsi, une victime peut se rendre sur un site parfaitement légitime, comme Coinbase par exemple, alors que la page réelle est dissimulée derrière une iframe en plein écran imitant Coinbase et destinée à dérober les identifiants de connexion.
Pour aggraver la situation, l’extension est également capable d’envoyer des notifications push. Celles-ci apparaissent comme provenant directement du navigateur Chrome (ce qui est techniquement le cas), renforçant la crédibilité de l’attaque et la rendant encore plus difficile à détecter.
Habituellement, les experts en cybersécurité recommandent de n’installer que des extensions issues de sources réputées. La possibilité de faire passer un logiciel malveillant sur le Chrome Web Store rend toutefois ce conseil « insuffisant », selon Varonis.
Les entreprises devraient plutôt se concentrer sur un allowlisting strict. « Chrome Enterprise et Edge for Business permettent aux administrateurs de bloquer toutes les extensions, à l’exception de celles explicitement approuvées. Cette approche implique davantage de contraintes (gestion d’une liste autorisée, évaluation des nouvelles demandes, traitement des exceptions), mais elle empêche les menaces qui parviennent à passer la modération des boutiques », précise Varonis.
Les particuliers, de leur côté, sont invités à auditer régulièrement les extensions installées et à supprimer celles qui ne sont pas réellement utilisées. Une attention particulière portée aux demandes d’autorisations constitue également un bon moyen de repérer les logiciels malveillants : toute extension réclamant l’accès à « tous les sites web » ou à « l’historique de navigation » devrait faire l’objet d’une analyse approfondie.