Une nouvelle alerte de cybersécurité met en lumière une campagne massive visant le navigateur Google Chrome. Selon les chercheurs en sécurité de Socket, 108 extensions malveillantes ont été identifiées comme compromises et utilisées pour voler des données sensibles, détourner des sessions et injecter du contenu malveillant. Les utilisateurs sont invités à les supprimer immédiatement.
Une campagne coordonnée à grande échelle
Les 108 extensions identifiées par Socket ne sont pas des cas isolés. Elles font partie d’une opération coordonnée utilisant une infrastructure C2 (command and control) commune hébergée sur cloudapi[.]stream. Les extensions seraient publiées sous plusieurs identités de développeurs, notamment Yana Project, GameGen, SideGames, Rodeo Games et InterAlt.
Au total, environ 20 000 installations seraient concernées, avec une partie spécifique visant les utilisateurs de Telegram et de services Google.
Vol de comptes Google et données personnelles
Parmi les extensions identifiées, 54 d’entre elles sont conçues pour voler les identités Google via OAuth2. Les utilisateurs ayant cliqué sur un bouton de connexion auraient vu leurs données sensibles exfiltrées, notamment :
- Adresse email Google
- Nom complet
- Photo de profil
- Identifiant de compte Google (sub)
Ce dernier identifiant est particulièrement problématique, car il reste inchangé même si l’utilisateur modifie son mot de passe ou son adresse email.
Des attaques ciblant aussi Telegram
Une extension particulièrement critique, “Telegram Multi-account”, est capable d’exfiltrer les sessions web Telegram toutes les 15 secondes lorsqu’un utilisateur visite web.telegram.org avec l’extension active. Cela permet à un attaquant d’accéder aux messages, contacts et comptes liés, sans mot de passe ni authentification à deux facteurs.
D’autres extensions comportent également des mécanismes de backdoor capables d’exécuter des commandes à chaque démarrage du navigateur, même sans interaction de l’utilisateur. Une liste de 108 extensions à supprimer immédiatement
Voici les extensions identifiées comme malveillantes ou compromises :
- Telegram Multi-account
- Web Client for Telegram - Teleside
- YouSide - Youtube Sidebar
- Web Client for Youtube - SideYou
- Web Client for TikTok
- Text Translation
- Page Locker
- Page Auto Refresh
- Web Client for Rugby Rush - SideGame
- Formula Rush Racing Game
- Piggy Prizes - Slot Machine
- Slot Arabian
- Frogtastic
- Black Beard Slot Machine
- Indian - Slot Machine
- Mahjong Deluxe
- Crazy Freekick
- Slot Car Racing
- Clear Cache Plus
- Galactica Delux - Slot Machine
- Speed Test for Chrome - WiFi SpeedTest
- Game SkySpeedster
- Master Chess
- Hockey Shootout
- Odds Of The Gods - Slot Machine
- Billiards Pro
- Three Card Poker
- Donuts - Slot Machine
- Archer - Slot Machine
- Rugby Rush
- Bingo
- Web Client for game Cricket Batter Challenge
- Slot Machine Zeus Treasures
- Horse Racing
- Aztec - Slot Machine
- Straight 4
- Slot The Gold Pot
- American Roulette Royale
- Asia Slot
- Web Client for game Drive Your Car
- Jurassic Giants - Slot Machine
- Street Basketball
- Tarot Side Panel
- Dragon Slayer - Slot Machine
- Best Blackjack
- Book Of Magic - Slot Machine
- Snake - Slot Machine
- Dice King - Classic Craps And Roll Game
- Slot Ramses
- Battleship War
- Gold Miner 2
- Greyhound Racing - Dog Race Simulator
- Hercules: Sports Legend
- Flicking Soccer
- Voodoo Magic - Slot Machine
- Web Client for Hockey Shootout - SideGame
- MASTER CHECKERS
- Watercraft Rush
- Car Rush
- Video Poker Deuces Wild
- Slot Machine Ultimate Soccer
- Christmas Eve - Slot Machine
- Columbus Voyage - Slot Machine
- High or Low Casino Game
- Goalkeeper Challenge
- Tropical Beach - Slot Machine
- BlackJack 3D
- Web Client for game Classic Bowling
- Raging Zeus Mines
- Classic Backgammon
- Slot Machine The Fruits
- Baccarat
- Mini Golf World
- Gold Rush - Slot Machine
- Pirat Slot
- 40 Imperial Crown - Slot Machine
- 3D Soccer Slot Machine
- Premium Horse Racing
- Tanks Game
- Caribbean Stud Poker
- Wild Buffalo - Slot Machine
- Aqua - Slot Machine
- Game Crypto Merge
- Sherwood Forest - Slot Machine
- Web Client for game Fatboy Dream
- Lone Star Jackpots - Slot Machine
- Hidden Kitty Game
- Keno
- Jokers Bonanza - Slot Machine
- Penalty Kicks
- Pai Gow Poker
- Metal Calculator
- Farm - Slot Machine
- Rail Maze Puzzle
- RED DOG CARD GAME
- Coin Miner 2
- Black Ninja - Slot Machine
- Pyramid Solitaire
- Chrome Client for Downhill Ski - SideGame
- Slot Machine Mr Chicken
- Web Client for French Roulette - SideGame
- 3D Roulette Casino Game
- Slot Machine Space Adventure
- Whack 'em All
- Video Poker Jacks or Better
- Swimming Pro
- InterAlt
- Gold of Egypt - Slot Machine
Une menace toujours active
Les chercheurs indiquent que ces extensions sont toujours disponibles sur le Chrome Web Store au moment de l’analyse. Des demandes de suppression ont été envoyées à Google, mais le risque reste immédiat pour les utilisateurs installés.
La campagne est particulièrement préoccupante car elle combine plusieurs techniques : vol d’identifiants Google, exfiltration de sessions Telegram, injection de scripts et porte dérobée persistante.
Les utilisateurs sont donc fortement invités à vérifier leurs extensions Chrome et à supprimer immédiatement toute extension suspecte figurant dans cette liste.
