https://www.01net.com/actualites/alerte-chrome-edge-firefox-empire-espionnage-chinois-decouvert.html

DarkSpectre, le groupe d’espionnage chinois, a inondé les boutiques de 18 extensions de Chrome, Edge et Firefox, en apparence légitimes, mais taillées pour siphonner vos données (historique, cookies et recherches web).

L’opération “ShadyPanda” s’est étalée sur plus de 7 ans.
Plus de 5,6 millions d’utilisateurs ont été touchés.
145 extensions Chrome et Edge

Deux autres campagnes, “GhostPoster” et “The Zoom Stealer”, visent les navigateurs Google Chrome, Microsoft Edge et Mozilla Firefox, pour collecter des informations sur des réunions d’entreprises en ligne.

Le groupe maintient plus de 300 extensions dormantes et légitimes pendant des années, avant de déployer des mises à jour malveillantes qui vont lui permettre de siphonner des données sensibles.

Les informations exfiltrées : URL de réunion (avec mot de passe intégré), identifiants de réunion, sujet, description, heure programmée, informations sur les participants : noms, titres/postes, biographies, photos de profil, affiliations professionnelles, logos d’entreprise, métadonnées de session des intervenants… pour l’espionnage industriel, le renseignement et l’ingénierie sociale (manipuler les victimes).

Plus de 2 millions de victimes.

Il s’agissait d’outils « fonctionnels qui apportaient une réelle valeur ajoutée », ce qui complique encore la détection par les internautes. Ce sont surtout des téléchargeurs de vidéos, des minuteurs de réunion ou encore des outils d’admission automatique des participants. Voici la liste de toutes les extensions épinglées :

• Capture audio Chrome, plus de 800 000 installations, toujours sur le Chrome Web Store.
• ZED : Easy Zoom Downloader
• X (Twitter) Video Downloader
• Google Meet Auto Admit
• Zoom.us Always Show “Join From Web”
• Timer for Google Meet
• CVR : Chrome Video Recorder
• GoToWebinar & GoToMeeting Download Recordings
• Meet Auto Admit
• Google Meet Enhancement (Emojis, Text, Camera Effects)
• Mute on Meet
• Google Meet Push-To-Talk
• Photo Downloader for Facebook, Instagram, +
• Zoomcoder Extension
• Auto Join for Google Meet
• Edge Audio Capture
• Twitter X Video Downloader
• x-video-downloader

Les extensions liées à Zoom Stealer n’ont pas toutes disparu des boutiques d’extensions. Certaines extensions ont été signalées et bloquées, d’autres restent toujours disponibles.

Une fois installées, les extensions demandaient un accès « à plus de 28 plateformes de vidéoconférence », comme Zoom, Microsoft Teams, Google Meet, Cisco WebEx, ON24, sans aucune raison.

De même pour des outils de téléchargement de vidéos. Un minuteur pour Google Meet n’est pas censé demander un accès à d’autres plateformes de communication.

« DarkSpectre a constitué une base de données susceptible d’alimenter des opérations d’usurpation d’identité à grande échelle, en offrant aux attaquants : des identifiants pour rejoindre des appels confidentiels, des listes de participants pour savoir qui incarner et tout le contexte nécessaire pour rendre ces impostures crédibles », met en garde Koi.

• Prenez le temps de vous renseigner sur celle-ci et sur son développeur.
• Consultez systématiquement les avis et les commentaires.