En juillet dernier une campagne d’hameçonnage (phishing) a ciblé les comtes de développeurs d’extensions Chrome dans le but de récolter leurs données d’identification. Le mail d’hameçonnage enjoignait les développeurs à se connecter afin de régler un problème de conformité de leurs applications avec la politique de Google.
Exemple de mail d’hameçonnage (phishing). Source : Proofpoint
Après avoir obtenu les données d’identification, les cybercriminels ont injecté un code malveillant dans le code légitime des extensions.
Une fois l’extension compromise installée, le code malveillant restait inactif durant 10 minutes afin d’éviter les systèmes de détections. Puis, celui-ci détournait le trafic de site légitime vers des sites proposant des pseudo solutions de réparation de PC.
Des extensions populaires telles que Web Developer, Chrometana, Infinity New Tab, CopyFish, Web Paint, Social Fixer, TouchVPN ou Betternet VPN ont été victime de cette attaque.
Source : Security Affairs