Huit extensions Chrome piratées – dont deux VPN!

Les experts en sécurité de Proofpoint ont publié des informations sur un récent piratage qui a affecté au total deux réseaux privés virtuels (VPN) et huit applications Chrome. Les VPN impliqués étaient Betternet et TouchVPN. Il est possible que leurs abonnés aient été victimes de popups malveillants et de vol de données au cours de l'attaque présumée de juin..


La découverte a été faite par Kafeine, un groupe de chercheurs de la firme de cybersécurité Proofpoint en Californie. Ces experts ont découvert qu'un exploit relativement simple impliquant un système de phishing avait donné aux pirates le contrôle d'un certain nombre de comptes de développeurs Chrome. Voici une liste complète de toutes les applications concernées:

  • Copyfish
  • Développeur web
  • Chrometana 1.1.3 [source]
  • Infinity New Tab 3.12.3
  • Web Paint 1.2.1 [source]
  • Social Fixer 20.1.1 [source]
  • TouchVPN
  • VPN Internet

Vecteur d'attaque simple

Selon les chercheurs, les pirates ont utilisé une technique de phishing simple, qui a redirigé les développeurs d'applications vers une fausse copie de la page de connexion du compte Google. Sur cette fausse page de connexion, ils ont été privés de leurs informations de connexion, permettant ainsi aux cybercriminels d'accéder au fonctionnement interne des applications. Du blog de Kafeine:

"Fin juillet et début août, plusieurs extensions Chrome ont été compromises après le vol des informations d'identification de leur auteur sur le compte Google via un système de phishing. Cela a entraîné le détournement de trafic et exposé les utilisateurs à des fenêtres contextuelles potentiellement malveillantes et au vol d'informations d'identification. »

Des informations ont commencé à circuler sur la cyberattaque le 12 août, lorsque Chris Pederick a annoncé sur Twitter que des pirates avaient pénétré son extension populaire, Web Developer for Chrome..

Pederick Tweet

À ce stade, les chercheurs de Proofpoint ont téléchargé la version 0.4.9 compromise afin d'isoler le code néfaste que l'acteur de la menace avait injecté. Les chercheurs ont découvert qu'une fois l'extension Chrome compromise installée, elle avait attendu dix minutes avant de communiquer via HTTPS avec un serveur de commande et de contrôle distant.

À partir de ce serveur, les cybercriminels ont injecté plus de code malveillant (un fichier appelé ga.js) dans l'extension Chrome compromise. Les domaines en question étaient sur Cloudflare, et les chercheurs ont noté qu'ils ont été supprimés immédiatement lorsque Proofpoint les a signalés.

In It for the Money

Comme c'est le plus souvent le cas lors d'un piratage, cet incident impliquait de l'argent comptant froid. Les pirates ont utilisé leur position au sein des huit extensions Chrome compromises pour injecter du code qui a ajouté du Javascript indésirable. Qui à son tour a chargé des publicités sur des pages Web afin de créer un flux de revenus.

Piratage d'argent

Selon les chercheurs, la plupart des substitutions d'annonces pour lesquelles ils ont découvert du code visaient des sites Web pour adultes, bien qu'il soit probable que des publicités sur d'autres sites aient également été remplacées..

Cependant, de nombreuses personnes ont également reçu une invite javascript les informant de «réparer» leur PC. En cliquant sur l'alerte d'apparence officielle, les victimes ont été redirigées vers les services du programme d'affiliation dont les pirates pourraient bénéficier. Voici ce que le blog de Kafeine avait à dire sur la cyberattaque:

«Les acteurs de la menace continuent de rechercher de nouvelles façons de générer du trafic vers les programmes d'affiliation et de signaler efficacement les publicités malveillantes aux utilisateurs..

"Dans les cas décrits ici, ils exploitent des extensions Chrome compromises pour détourner le trafic et remplacer les publicités sur les navigateurs des victimes."

Il est également possible que les consommateurs aient subi une perte de données en raison de la pénétration.

Betternet Logo 320 80

Betternet

Pour les utilisateurs de Betternet - un VPN bien connu pour servir ses utilisateurs avec des publicités - cela a eu pour conséquence que les utilisateurs reçoivent des publicités des pirates. Un utilisateur de Betternet passant par la poignée kburton07 sur le site Web LinusTechTips, a déclaré qu'il s'était réveillé le matin du 25 juin à un déluge d'annonces dans Chrome:

«Donc, (jusqu'à aujourd'hui), j'utilise Betternet VPN pour pouvoir accéder aux sites bloqués au collège, mais aujourd'hui, quand j'ai chargé mon ordinateur portable, j'avais des publicités partout.

"J'ai ouvert Chrome en tant qu'invité et ils y sont allés. Alors naturellement, j'ai désactivé toutes les extensions et les ai activées une par une pour trouver le problème. Et à ma grande surprise, c'était Betternet.

"Si vous regardez les avis dans le Chrome Web Store, tout le monde semble avoir le même problème, donc si vous l'avez installé, désinstallez-le.

"Je ne sais pas si c'était intentionnel ou s'ils ont été piratés, mais jusqu'à présent, ils semblent avoir été réputés. »

D'autres utilisateurs de Betternet ont également signalé que leur Chrome était inondé de publicités inhabituelles, ce qui permettait à Betternet d'identifier le problème avec l'extension Chrome. J'ai contacté Betternet pour un commentaire et ils ont confirmé qu'ils avaient en effet subi le piratage mal publicisé:

«Nous avons identifié et corrigé ce problème le jour même de son apparition, le 25 juin.»

Éloignez-vous des VPN qui diffusent des publicités

Cela met encore une fois en évidence les problèmes liés à l'utilisation de VPN gratuits avec des politiques de confidentialité non sécurisées. Les services VPN sont censés protéger la confidentialité de leurs utilisateurs. Ils le font en leur permettant de cacher leur emplacement et en chiffrant leur trafic Web.

Les VPN gratuits comme Betternet, HotSpot Shield, TouchVPN et bien d'autres spécifient dans leurs politiques de confidentialité qu'ils collectent des données de leurs utilisateurs afin de mieux cibler les publicités sur eux. C'est très peu sûr et c'est l'opposé de ce qu'un VPN devrait faire. L'intérêt d'un VPN est que les consommateurs obtiennent une confidentialité numérique, donc l'utilisation d'un service qui informe expressément les consommateurs dans la politique qu'ils collectent et partagent des données est contre-intuitive à leur objectif.

Adware

Malheureusement, l'industrie des VPN est saturée de VPN qui ont de mauvaises pratiques et se soucient plus de l'argent que de la confidentialité de leurs abonnés. C'est pour cette raison que sur ProPrivacy.com, nous examinons attentivement les VPN. C'est aussi pourquoi les consommateurs doivent faire très attention lors de la sélection d'un fournisseur VPN.

Cela dit, les VPN comme Betternet ont un objectif. Pour les personnes qui ont désespérément besoin de contourner la censure et qui ne peuvent pas se permettre un meilleur service, par exemple, ces types de VPN gratuits peuvent être une aubaine. Cependant, les consommateurs doivent être parfaitement conscients de ce qu'est un VPN et ne le font pas pour eux. Tous les VPN n'ont pas été créés de la même manière, et les personnes qui souhaitent une confidentialité solide doivent réfléchir sérieusement avant de se contenter d'un service inférieur.

Enfin, il convient de noter que les VPN fonctionnant en tant qu'extension de navigateur ne sont pas considérés comme aussi sécurisés que les VPN fonctionnant sur un logiciel VPN personnalisé. En tant que tel, si votre VPN a un client personnalisé, nous vous recommandons de l'utiliser pour vous connecter au VPN. Cela vous protégera contre des incidents comme celui de cet article. En fait, les extensions de navigateur sont un cauchemar pour la sécurité en général, vous devez donc toujours en utiliser le moins possible - et assurez-vous de n'en utiliser que de bonnes.!

Les opinions sont celles de l'auteur.

Crédit image titre: Evan Lorne / Shutterstock.com

Crédits image: vectorfusionart / Shutterstock.com, Amirul Syaidi / Shutterstock.com

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me