Aller au contenu

Google Chrome victime d’une attaque d’ampleur

Attaque massive sur Google Chrome

extentions chrome piratéesDes extensions compromises volent les données des utilisateurs. Dès hackers ont orchestré une vaste campagne de piratage ciblant de nombreuses extensions Chrome, dont celle développée par la société de cybersécurité Cyberhaven, la veille de Noël 2024. Cette attaque a permis aux cybercriminels de mettre en ligne des versions malveillantes de ces extensions, programmées pour dérober les données des utilisateurs.

Déroulement de l’attaque

Le 24 décembre 2024, les pirates ont réussi à compromettre l’extension Chrome de Cyberhaven en menant une attaque de phishing.
Un employé de l’entreprise est tombé dans le piège d’un e-mail frauduleux, permettant aux hackers d’obtenir ses identifiants pour le Google Chrome Web Store.
Avec ces informations, ils ont pu publier une version malveillante de l’extension, qui s’est installée automatiquement sur les navigateurs configurés pour les mises à jour automatiques.

Ampleur de l’attaque

Cette offensive ne se limite pas à Cyberhaven. Au total, 18 extensions Chrome populaires ont été compromises, totalisant plus de 380 000 téléchargements.

Parmi les extensions affectées, on trouve Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, Primus, AI Shop Buddy, Sort by Oldest, Earny, ChatGPT Assistant, Keyboard History Recorder, Email Hunter, Internxt VPN, VPNCity, Uvoice, et ParrotTalks.

Données ciblées

Les extensions piratées visaient principalement les utilisateurs de plateformes publicitaires et d’intelligence artificielle des médias sociaux, en particulier Facebook Ads.
Les données dérobées incluaient des identifiants, des jetons d’accès, des cookies de navigation et d’autres informations liées aux comptes publicitaires.

Réaction et recommandations

Cyberhaven a rapidement réagi en supprimant la version frauduleuse de son extension et en déployant un correctif.
Cette attaque souligne l’importance de la prudence lors de l’utilisation d’extensions de navigateur et la nécessité d’une vigilance accrue, particulièrement pendant les périodes de fêtes où les cybercriminels peuvent profiter de la baisse de surveillance.
Suite à cette attaque, les utilisateurs de Google Chrome sont invités à la vigilance zt à suivre les conseils suivants.

Les mesures de sécurité immédiates à prendre :

Extension Google Chrome infecté

  • Désinstallez immédiatement les extensions compromises de votre navigateur Chrome
  • Isolez les systèmes potentiellement affectés en les déconnectant d’Internet et du réseau local pour éviter la propagation de l’attaque
  • Alertez rapidement votre support informatique ou votre prestataire IT pour qu’ils prennent en charge l’incident
  • Ne réutilisez pas les équipements potentiellement compromis tant que la situation n’est pas résolue
  • Changez tous vos mots de passe, en particulier ceux liés aux comptes Facebook Ads et autres plateformes publicitaires ciblées
  • Vérifiez que les correctifs fournis par les développeurs des extensions ont bien été installés
  • Recherchez toute activité suspecte sur vos comptes, notamment ceux liés à la publicité en ligne
  • Prévenez vos collègues de l’attaque en cours pour qu’ils prennent également des mesures de protection
  • Constituez une équipe de gestion de crise pour coordonner les actions des différents services (technique, RH, communication, juridique)
  • Tenez un registre détaillé des événements et des actions entreprises pour faciliter l’enquête ultérieure.
  • Préservez toutes les preuves de l’attaque (messages reçus, machines touchées, journaux de connexion) sans les modifier.

En suivant ces mesures, vous pourrez limiter les dégâts causés par l’attaque et faciliter le processus de récupération et d’enquête.

Quels sont les premiers signes d’une cyberattaque

Les premiers signes d’une cyberattaque peuvent inclure :

  • Ralentissement extrême du système informatique ou du réseauExtention chrome attaquées
  • Apparition de messages inhabituels ou erreurs à répétition
  • Accès non autorisés à des comptes
  • Chiffrement de fichiers difficiles à ouvrir sans une clé spécifique (ransomware)
  • Modifications suspectes dans les applications ou paramètres système
  • Trafic réseau inhabituellement élevé
  • Tentatives de connexion échouées répétées
  • Présence de logiciels inconnus installés sur les appareils
  • Pop-ups fréquents
  • Connexions fréquentes à des pays inhabituels depuis le réseau
  • Pics d’utilisation inexpliqués ou connexions inhabituelles
  • Écrans noirs ou serveurs inaccessibles

Il est crucial de surveiller attentivement ces signes et d’agir rapidement en cas de suspicion d’attaque pour limiter les dégâts potentiels.

Source : BLEEPINGCOMPUTER