Depuis quelques années, les spammeurs et les cybercriminels achetaient des extensions Web de la part des développeurs et les mettaient à jour sans informer leurs utilisateurs d’injecter de la publicité en masse dans toutes les visites des utilisateurs de sites Web afin de générer des revenus importants.
Mais maintenant, ils ont changé leur modèle d’affaires - au lieu d’investir, les spammeurs ont lancé une nouvelle vague d’attaques de phishing visant à détourner des extensions de navigateur populaires.
Il y a deux jours à peine, nous avons signalé comment des cybercriminels ont réussi à compromettre le compte Chrome Web Store d'une équipe de développeurs allemands et à pirater l'extension Copyfish.
Hier encore, des attaquants inconnus ont détourné une autre extension populaire de Chrome, «Web Developer», qui a mis à jour le logiciel pour injecter directement des publicités dans le navigateur Web de plus d’un million d’utilisateurs.
Chris Pederick, le créateur de l’extension Web Developer Chrome qui propose divers outils de développement Web à ses utilisateurs, a averti mercredi dernier que certains pirates inconnus avaient apparemment bloqué son compte Google, mis à jour l’extension vers la version 0.4.9. .
Dans les deux cas, les cybercriminels ont d’abord utilisé le phishing pour accéder aux comptes Google des développeurs, ont piraté leurs extensions respectives, puis ont mis à jour l’extension pour exécuter des tâches malveillantes.
Cependant, la version de Firefox des deux extensions n’a pas été modifiée.
Selon le développeur, le logiciel malveillant a extrait le code JavaScript du Web et l'a lancé dans les navigateurs Web des utilisateurs pour injecter de force des publicités sur des pages Web.
Le plugin a accès à quasiment tout ce qui se passe sur le navigateur d'un utilisateur, qu'il s'agisse de lire tout le contenu du site Web pour intercepter le trafic, capturer des séquences de touches ou toute tâche imaginable.
Ainsi, le détournement de l'extension Web Developer pourrait être un cauchemar pour les utilisateurs, en particulier pour ceux qui sont des concepteurs professionnels et qui accèdent à leurs comptes officiels (site Web, hébergement ou courrier électronique) à l'aide du même navigateur.
Pederick a déclaré que la version 0.4.9 du logiciel aurait pu être pire, mais dans les cinq à six heures qui ont suivi son compromis, il en est venu à la connaissance de cette version malveillante, a corrigé l’extension environ une heure plus tard.
Cependant, le code compromis aurait permis aux scélérats de faire une commission considérable à partir des publicités pendant les quelques heures où le javascript était actif.
Il est fortement recommandé aux utilisateurs de Web Developer de mettre à jour leur extension à la version 0.5 immédiatement.
Les utilisateurs doivent également envisager de modifier leurs mots de passe pour tous les comptes Web, ainsi que d’annuler les jetons de connexion et les cookies utilisés sur les sites Web visités lors de l’utilisation de l’extension infectée.