Des extensions Chrome malveillantes usurpent l’identité de Fortinet, YouTube et des VPN pour voler vos données

Une campagne de cyberattaques récemment découverte a mis en lumière une menace grandissante : plus de 100 extensions Chrome malveillantes ont été identifiées, se faisant passer pour des outils légitimes tels que Fortinet, YouTube, DeepSeek AI et divers services VPN. Ces extensions, bien que semblant fiables, sont conçues pour exfiltrer des données sensibles, manipuler le trafic réseau et accorder aux attaquants un contrôle sur les sessions de navigation.
Une campagne basée sur l’usurpation d’identité
Ces extensions malveillantes sont distribuées via un réseau de domaines soigneusement élaborés, imitant des produits ou services authentiques. Des domaines tels que forti-vpn[.]com
, youtube-vision[.]com
et deepseek-ai[.]link
sont utilisés pour instaurer la confiance en s’associant à des marques et outils réputés. Les utilisateurs, en quête de services VPN améliorés ou d’outils d’IA plus performants, sont attirés par ces sites professionnels et les fiches du Chrome Web Store.
Fonctionnement des extensions malveillantes
Une fois installées, ces extensions établissent une communication avec des serveurs distants contrôlés par les attaquants. Elles commencent alors à collecter des cookies de navigation, des jetons de session et d’autres informations précieuses. Grâce à ces données, les attaquants peuvent usurper l’identité des utilisateurs, détourner des sessions et accéder à des comptes sensibles.
De plus, ces extensions peuvent recevoir et exécuter des commandes en temps réel, permettant aux attaquants de : Moyens+3HFRANCE+3Le Crabe Info+3
- Rediriger le trafic vers des sites de phishing
- Injecter des publicités malveillantes ou des pop-ups
- Agir comme un proxy pour canaliser le trafic via l’appareil infecté
- Mener des attaques de type « man-in-the-browser »
Un danger pour les entreprises et les particuliers
Ce type d’attaque est particulièrement préoccupant dans les environnements professionnels, où un navigateur compromis peut servir de porte d’entrée vers des applications métiers, des systèmes de messagerie, des plateformes de données clients, etc. De nombreuses organisations ne gèrent pas strictement les extensions de navigateur, permettant aux employés d’installer des plugins apparemment utiles, mais potentiellement dangereux.
Comment se protéger ?
Pour atténuer les risques posés par ces extensions malveillantes, il est recommandé de :
- Limiter l’installation d’extensions : Utilisez les politiques d’entreprise de Chrome pour n’autoriser que les extensions pré-approuvées.
- Auditer régulièrement les extensions installées : Examinez périodiquement les extensions présentes sur les navigateurs des employés.
- Surveiller l’activité réseau : Détectez les anomalies dans le trafic sortant, en particulier vers des domaines suspects ou peu réputés.
- Former les employés : Sensibilisez votre équipe aux risques liés à l’installation d’extensions tierces et à la reconnaissance des outils frauduleux.
Notre conclusion
Cette campagne souligne que les extensions de navigateur, autrefois considérées comme de simples outils de productivité, peuvent désormais représenter une menace sérieuse. Les attaquants deviennent de plus en plus sophistiqués, exploitant la confiance des utilisateurs envers des produits apparemment légitimes.
Il est essentiel de rester vigilant et de considérer la sécurité du navigateur comme une composante intégrale de la stratégie de cybersécurité globale.