Au mois de décembre, les chercheurs en sécurité d’Avast nous alertaient sur un malware potentiellement dangereux abrité dans une trentaine d’extensions pour les navigateurs Google Chrome et Microsoft Edge. Au total, ces 28 extensions vérolées auraient infecté près de 3 millions de PC à travers le monde — et plus particulièrement en France, en en Ukraine et au Brésil — leur affichant des publicités intrusives jusqu’à des vols de données personnelles. D’après Avast, certaines extensions semblaient être actives depuis le mois d’octobre 2017, ce qui aurait largement laissé le temps au malware d’accomplir ses méfaits. Avast précise aujourd’hui la façon dont celui-ci s’est immiscé dans ces extensions, et comment les personnes à l’origine de son déploiement s’y sont pris pour masquer sa présence aux yeux des utilisateurs.
Un malware indétectable
La grande particularité de ce malware, c’est qu’il est en effet pratiquement indétectable, même pour un utilisateur aguerri. Celui-ci va en effet chercher à analyser le comportement de l’hôte infecté, afin de déterminer s’il s’agit d’un développeur web qui pourrait le débusquer plus facilement qu’un autre. « Le virus détecte si l’utilisateur est un développeur Web. Si tel est le cas, il n’exécutera aucune activité malveillante sur son navigateur » expliquait Avast en décembre. Ce mercredi, les chercheurs en sécurité d’Avast ont déclaré avoir découvert un autre moyen qui permettait aux développeurs de ces extensions de masquer le trafic envoyé de l’utilisateur infecté vers un serveur distant. Plus concrètement, le malware contenu dans ces extensions utilisaient en effet CacheFlow, permettant de masquer le trafic sortant en le faisant passer dans un canal secret de l’en-tête HTTP Cache-Control. Le cache du trafic était camouflé pour apparaître sous forme de données liées à Google Analytics, que les sites Web utilisent principalement pour mesurer le nombre de visiteurs. Ni vu, ni connu, et donc d’autant plus dangereux sur le long terme.
La liste des extensions vérolées
Concernant ces extensions vérolées, il semblerait qu’elles aient toutes été retirées des stores d’extensions de Google et de Microsoft. Néanmoins, si vous les aviez téléchargées préalablement, elles représentent toujours une grande menace pour l’intégrité de vos informations personnelles et de votre expérience de navigation sur le web. On vous conseille donc d’aller jeter un œil dans vos extensions installées sur votre navigateur et de désinstaller de toute urgence les extensions suivantes, dont les noms ont été communiqués par Avast :
- App Phone for Instagram
- Direct Message for Instagram
- DM for Instagram
- Downloader for Instagram
- Instagram App with Direct Message DM
- Instagram Download Video & Image
- Invisible mode for Instagram Direct Message
- Odnoklassniki UnBlock. Works quickly.
- Pretty Kitty, The Cat Pet
- SoundCloud Music Downloader
- Spotify Music Downloader
- Stories for Instagram
- The New York Times News
- Universal Video Downloader
- Upload photo to Instagram
- Video Downloader for FaceBook
- Video Downloader for YouTube
- Vimeo™ Video Downloader
- VK UnBlock. Works fast.
- Volume Controller
- Zoomer for Instagram and FaceBook
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.