Les chercheurs en sécurité d’Awake ont détecté 111 extensions de navigateur malveillantes sur le Chrome Web Store. En apparence, elles proposaient des fonctionnalités bénignes comme la sécurité ou la lecture de PDF. En réalité, elles siphonnaient les données du navigateur et du presse-papier, où elles pouvaient récupérer des cookies ou des identifiants. Ces logiciels, qui ont été téléchargés presque 33 millions de fois et que Google a depuis supprimé de sa boutique, étaient également capables de renvoyer des copies d’écran.
Ces opérations de cyberespionnage étaient faites en lien avec des serveurs de commande et contrôle qui s’appuyaient sur pas moins de 15 000 domaines différents, tous enregistrés auprès d’une société israélienne, Galcomm. Awake estime que cette société est probablement complice de ces activités. Des accusations que Galcomm, interrogée par The Register, rejette en bloc.
En tous cas, les pirates ont fait dans la dentelle. Pour éviter de se faire pincer par les logiciels de sécurité, ils ont intégré un système de filtrage. Si le poste infecté accédait au web depuis un environnement professionnel — par un proxy, un VPN ou un datacenter — l’extension ne communiquait qu’avec des domaines bénins. Si la connexion provenait directement d’un fournisseur d’accès, elle se mettait en relation avec des domaines malveillants. Le but de cet espionnage n’est pas clair à l’heure actuelle.
Source: Awake
