Passer au contenu

Une extension Chrome siphonne les comptes Gmail

Un nouveau mode opératoire a été créé par des pirates nord-coréens pour espionner des PC du monde entier, notamment aux États-Unis et en Europe. Surveillez vos extensions Chrome de très près !

Des pirates travaillant pour le compte de la Corée du Nord ont imaginé un moyen astucieux pour obtenir l’accès aux messages Gmail de leurs victimes. Via une campagne d’hameçonnage élaborée, ils parviennent à faire installer une extension nommée SHARPEXT pour Chrome et pour Edge, tous deux pouvant accueillir les mêmes extensions (ce sont deux navigateurs fonctionnant avec le moteur Chromium).

Les installations nucléaires premières visées

Une fois l’extension téléchargée et installée, la charge virale du malware peut se propager dans le PC. Ce dernier exécute en particulier un script Powershell qui lui permet d’exécuter du code arbitraire via l’activation des DevTools, un ensemble d’outils normalement destinés aux développeurs.

Le logiciel malveillant est en mesure de détecter tous les processus liés aux navigateurs web, notamment les onglets et leurs titres. Dès qu’un mot-clé apparaît dans le titre de l’onglet, le malware peut extraire tout ce qui trouve dans la page web. D’après Volexity qui a le premier repéré le logiciel, celui-ci cherche à collecter les informations de connexion aux comptes Gmail.

Il est par ailleurs en mesure de s’éviter l’effort de fouiller dans une page web grâce à l’ajout d’adresses sur une liste noire. Selon les chercheurs en sécurité, l’extension existe depuis plus d’un an, et vise en particulier des agences gouvernementales en Corée du Sud, aux États-Unis et en Europe. Les pirates s’intéressent plus précisément aux installations nucléaires…

L’extension en question n’est évidemment pas disponible dans le magasin officiel de Chrome. La campagne de phishing vise justement à pousser les victimes à l’installer de leur plein gré. Pour ces raisons, il est difficile de s’en prémunir, alors comme toujours la prudence et la méfiance sont donc plus que jamais de mise !

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

13 commentaires
  1. Bonjour,

    Sinon au lieu de crier au loup seulement, il serait probant de donner le nom de cette extension…
    Faire peur à le communauté web qui ne s’y connais pas dans le domaine sans dire de quoi il retourne revient à dire “tu vas mourir demain, c’est soignable mais je ne te dirai pas de quoi tu es atteint”.

  2. Bonjour,
    Vous êtes bien gentils de parler (pour ne rien dire) de menace via une extension de Chrome mais quelle est le nom de cette extension ?
    Max

  3. Serait-il possible UNE FOIS DE TEMPS EN TEMPS de donner le nom des extensions malveillantes…. Histoire de pouvoir vérifier si oui ou non nous sommes infectés !!!!
    D’avance merci

  4. Ça aurait été intéressant de nommer cette extension, histoire de sois ne pas l’installer, sois là supprimer…

  5. C’est une blague ! Le nom de l’extension en question n’est jamais cité, merci infiniment pour cette perte de temps. Vous avez gagné un clic mais perdu un lecteur.

  6. Pour ceux qui veulent connaitre le nom de l’extension c’est SHARPEXT

    Ne la télécharger surtout pas évidemment !!!!!

  7. Perso moi je trouve que bien souvent se sont des fausses rumeurs..pour nous faire lire l’article au complet, qui au final ne divulgue pas la fameuse apps a pas installer..tous les jours bla, bla, bla,

  8. Les mecs qui chialent pour le nom de l’extension vous savez lire ou à part chialer comme des demeurés vous faites rien d’autre ?

    « ils parviennent à faire installer une extension nommée SHARPEXT pour Chrome et pour Edge »

  9. tout simplement changez de moteur de recherche installer “Brave” ou il n’y a pas de pub et autres logiciels il bloque tout et de plus c’est gratuit cela fonctionne plus rapidement je l’ai installe depuis environ 2mois quelle tranquilité!

  10. “vise en particulier des agences gouvernementales en Corée du Sud, aux États-Unis et en Europe.” “l’extension existe depuis plus d’un an, et vise en particulier des agences gouvernementales en Corée du Sud, aux États-Unis et en Europe. Les pirates s’intéressent plus précisément aux installations nucléaires…”… Ha oui ? Ces agences gouvernementales et ces installations nucléaires utilisent donc gmail ? Et pourquoi pas caramail ? 😀

Les commentaires sont fermés.

Mode