Nous avons détecté 17 extensions VPN malveillantes affectant 840 000 utilisateurs
TL;DR
Des chercheurs ont découvert 17 extensions malveillantes pour des navigateurs comme Firefox, Chrome et Edge, infectant plus de 840 000 utilisateurs. La campagne, nommée GhostPoster, cache des codes malveillants à l'intérieur de fichiers image.
Des chercheurs ont découvert 17 extensions malveillantes pour des navigateurs comme Firefox, Chrome et Edge, qui ont infecté plus de 840 000 utilisateurs. La campagne, appelée GhostPoster, cache des codes malveillants dans des fichiers image. La vulnérabilité se trouve dans le processus de révision des extensions.
Le mois dernier, l'entreprise Koi Security a publié un rapport sur une extension pour Firefox, nommée Free VPN Forever. L'étude a souligné que bien que chaque extension ait un logo pour la reconnaissance, nous considérons rarement ce qui est caché à l'intérieur de ce fichier.
Comment GhostPoster cache des malwares dans les extensions
Les cybercriminels ont utilisé une technique connue sous le nom de stéganographie, qui est l'art de cacher des informations dans des fichiers apparemment innocents. Ils ont inséré un code JavaScript malveillant après les données de l'image PNG, rendant l'icône visuellement normale, mais fonctionnant comme une porte d'entrée pour les attaquants.
Après l'exposition initiale par Koi Security, l'entreprise LayerX a enquêté et a découvert que le problème était plus vaste. En traçant l'infrastructure des extensions, ils ont identifié 17 extensions supplémentaires utilisant les mêmes serveurs et tactiques.
Ces extensions, collectivement, ont été installées plus de 840 000 fois. Certaines sont restées actives sur les appareils pendant presque cinq ans passivement, mettant en évidence les limites des méthodes de sécurité actuelles.
Les VPN gratuits sont les principales cibles des infections par malware
La campagne n'a pas commencé sur Firefox ; ses activités initiales ont été suivies sur Microsoft Edge et se sont étendues à Chrome et Firefox au fil du temps. L'expansion progressive suggère une opération à long terme qui privilégie la persistance plutôt que les profits immédiats.
Bien que GhostPoster n'utilise pas de techniques révolutionnaires, il combine plusieurs couches d'évasion qui rendent sa détection difficile. Le code malveillant était caché après le marqueur "===" dans le fichier PNG du logo. Les outils d'analyse statique qui examinent les codes JavaScript ne prennent tout simplement pas en compte le contenu des fichiers image.
Le code supplémentaire n'était pas le malware final, mais un loader, un petit programme dont la fonction était de rechercher le payload réel sur des serveurs contrôlés par les attaquants. Cette structure signifie que le malware n'existe jamais comme un fichier statique, devenant invisible à des analyses traditionnelles.
Le malware présente un comportement trompeur
De plus, le malware a été conçu pour être incohérent. Il attend 48 heures entre les tentatives de connexion, télécharge le payload réel seulement 10 % du temps et attend 6 jours après l'installation pour être activé. Cette aléatoire complique la détection par les systèmes antivirus.
Lorsque le payload parvient enfin au serveur, il est codé avec un schéma unique qui échange des lettres majuscules et minuscules, inverse des numéros et crypte à l'aide d'une clé spécifique pour chaque navigateur.
Une fois installé, GhostPoster se connecte silencieusement à plusieurs plateformes et surveille la navigation des utilisateurs, en particulier sur les sites de commerce électronique. Il remplace les codes de commission des liens d'affiliés, permettant aux opérateurs du malware de recevoir des profits aux dépens de l'affilié légitime.
En outre, le malware a injecté un code de suivi Google Analytics sur toutes les pages visitées. Il crée également des éléments HTML invisibles avec des données d'installation et d'interactions des utilisateurs, tout en supprimant les en-têtes de sécurité HTTP de toutes les réponses, rendant les utilisateurs vulnérables à d'autres attaques.
Le malware a encore des méthodes pour contourner les défis CAPTCHA, essentiels pour éviter la détection par les systèmes de sécurité.
La menace croissante des extensions malveillantes
GhostPoster n'est pas un cas isolé. Des semaines auparavant, LayerX avait exposé une autre extension, Urban VPN Proxy, qui a affecté plus de 8 millions d'utilisateurs en collectant des données de conversations avec des Intelligences Artificielles. Avant cela, l'extension FreeVPN.One, avec plus de 100 000 installations, avait également été découverte en capturant des captures d'écran d'informations sensibles des utilisateurs.
Après la publication de ces informations, Mozilla et Microsoft ont retiré les extensions identifiées de leurs boutiques, mais celles-ci ont été supprimées uniquement pour les nouveaux téléchargements. Celles qui sont déjà installées continuent de fonctionner, ce qui indique que des centaines de milliers d'utilisateurs pourraient rester désinformés et vulnérables.
Les effets de la découverte de ces extensions malveillantes soulignent le besoin urgent de processus de révision plus robustes pour protéger les utilisateurs et l'intégrité des plateformes.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
