La société de cybersécurité Koi Security révèle l’existence d’une campagne de cyberespionnage qui affecte 2,3 millions navigateurs Chrome et Edge.

Koi donne en exemple une extension de sélection de couleurs pour Chrome et Edge baptisée « Geco ». Celle-ci a été téléchargée plus de 100.000 fois via le Chrome Web Store et le Microsoft Edge Add-ons Store. L’extension affiche le badge ‘vérifié’ de Google. Cependant, Koi avertit que cette extension remplit non seulement sa fonction officielle mais ouvre également des portes dérobées sur les navigateurs web de ses victimes. L’extension Geco a obtenu des centaines de commentaires positifs sur la boutique en ligne de Chrome et une note de 4,2 étoiles sur 5. « Il s’agit d’un cheval de Troie conçu avec beaucoup de soin », avertit Idan Dardikman, analyste chez Koi Security.

17 autres extensions – désormais malveillantes – ont été découvertes par Koi. « Il s’agit d’une vaste campagne de piratage des navigateurs Chrome et Edge que nous avons baptisée RedDirection », précise Idan Dardikman. « A elles toutes, ces 18 extensions ont infecté plus de 2,3 millions utilisateurs ».

Les 18 extensions en question offrent des fonctionnalités reconnues par Google et Microsoft : claviers emoji, prévisions météo, contrôleurs de vitesse vidéo, proxys VPN, thèmes sombres, sélecteurs de couleurs, amplificateurs de volume ou encore modules liés à YouTube. Cependant, en plus de remplir leur fonction officielle, elles surveillent illégalement les activités de navigation, copient les URLs et envoient les informations recueillies à un serveur distant contrôlé par l’attaquant avec un identifiant de suivi de chaque victime.

L’équipe de Koi rappelle que le code de départ de ces 18 extensions était propre. Les logiciels malveillants se sont introduits au fur et à mesure des mises à jour.

« Nul hameçonnage. Nul recours à de l’ingénierie sociale. Ces extensions ‘de confiance’ se sont transformées en logiciels espions lors de changements de version. Ces outils de productivité sont ainsi devenus des logiciels malveillants », conclut Koi Security dans un post où les extensions concernées sont listées afin de pouvoir les désinstaller.