Une campagne baptisée ShadyPanda a permis à des cybercriminels de piéger plus de 4,3 millions d’utilisateurs en diffusant des extensions pour Google Chrome et Microsoft Edge. Ces extensions légitimes ont été modifiées pour muter en véritables malwares.
ShadyPanda : une stratégie étalée sur plusieurs années
La campagne ShandyPanda regroupe un ensemble de 145 extensions malveillantes, dont 20 pour Google Chrome et 125 pour Microsoft Edge. C’est une opération de longue date, puisque les premiers signes de publication d’extensions remontent à 2018, avec de premières activités malveillantes repérées en 2023. Au fil de ces dernières années, les extensions légitimes ont fait leur mutation pour devenir des extensions malveillantes.
Exemple concret : en 2024, cinq extensions jusque-là considérées comme fiables et ayant acquis la confiance des utilisateurs (dont trois mises en ligne entre 2018 et 2019) ont été discrètement modifiées. En effet, une mise à jour a introduit une porte dérobée permettant l’exécution de code à distance, transformant des extensions saines en véritables vecteurs d’attaque.
“Chaque navigateur infecté exécute un framework d’exécution de code à distance. Toutes les heures, il vérifie api.extensionplay[.]com pour obtenir de nouvelles instructions, télécharge un JavaScript arbitraire et l’exécute avec un accès complet à l’API du navigateur.”, précisent les chercheurs de Koi Security à propos de cette porte dérobée.
L’extension Clean Master visible ci-dessous, bien évaluée et adoptée par plus de 200 000 utilisateurs, est pourtant malveillante car elle intègre la porte dérobée évoquée précédemment. Il est important de noter la présence des tags “Featured” et “Verified”, preuve que Google n’y a vu que du feu.
Source : Koi Security
Toutes ces extensions malveillantes n’ont pas le même rôle. Dans certains cas, ces extensions inséraient leurs propres codes de suivi dans des liens pointant vers eBay, Booking.com ou Amazon. Leur objectif : toucher des commissions sur les transactions réalisées par les internautes, via le mécanisme d’affiliation.
L’espionnage de 4 millions d’utilisateurs
Le rapport de Koy Security évoque une campagne menée au cours des 7 dernières années, et surtout la phase 5 surnommée “The Spyware Empire”. Il s’avère que 5 extensions pour Microsoft Edge, qui accumulent 4 millions d’installations, sont en réalité des logiciels espions. Par exemple, l’extension WeTab collecte et exfiltre des données massivement vers 17 domaines différents, sur des serveurs situés en Chine pour la grande majorité.
Parmi les informations collectées :
Chaque page visitée depuis le navigateur, soit votre historique de navigation complet.
Toutes les recherches effectuées
Tous les clics effectués à l’écran (avec les coordonnées et l’identification de l’élément)
Prise d’empreinte (fingerprint) du navigateur
Temps passé sur les pages
Accès au stockage local, y compris à tous les cookies
Cela ressemble à des actions effectuées par Google Analytics, mais de façon plus agressive.
Vous pouvez consulter le rapport de Koy Security pour prendre connaissance de la liste des extensions malveillantes et des domaines associés à la campagne ShandyPanda.
Désormais, d’après Koy Security, Google a fait le nécessaire pour nettoyer son Chrome Web Store. À l’inverse, ce n’est pas le cas du côté de la plateforme d’extensions de Microsoft Edge où les extensions sont toujours actives, dont une extension avec 3 millions d’installations actives.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.