Chrome : 500 extensions malveillantes

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Chrome : 500 extensions malveillantes

par Parisien_entraide »

Les jours se suivent.. et se ressemblent :-)

Entre les applications Android vérolées et les extensions malveillantes il devient difficile de faire un choix et le tri entre ce qui ne pose pas de problème et ce qui est malveillants
La règle étant d'éviter de surcharger son navigateur quel qu''il soit de barres d'outils et modules complémentaires

Rappel sur les extensions https://www.malekal.com/installer-suppr ... efox-edge/

Extensions.jpg



Cette fois-ci ce sont pas moins de 500 extensions malveillantes mises en avant par CISCO Duo Security" et leur outil CRXcavator https://crxcavator.io/ et dont la découverte revient à la chercheuse en cybersécurité Jamila Kaya
Jamila Kaya.jpg
C’est elle, en collaboration avec la société Duo Security, et leur outil CRXcavator, qui a découvert initialement les 71 premières extensions malveillantes sur Google Chrome.
Les 71 premières extensions malveillantes de Chrome avaient été installées plus de 1,7 million de fois depuis un an

Code : Tout sélectionner

Mapstrek.com 	Plugin Domain
Mapsscout.com 	Plugin Domain
Deluxequiz.com 	Plugin Domain
Gameschill.com 	Plugin Domain
Packtrackplus.com 	Plugin Domain
Mapsvoyage.com 	Plugin Domain
Mapsfrontier.com 	Plugin Domain
Yoyoquiz.com 	Plugin Domain
Recipeally.com 	Plugin Domain
Supersimpletools.com 	Plugin Domain
playziz.com 	Plugin Domain
jumboquiz.com 	Plugin Domain
mapspilot.com 	Plugin Domain
expressdirections.com 	Plugin Domain
freeweatherapp.com 	Plugin Domain
gofreeradio.com 	Plugin Domain
lovetestpro.com 	Plugin Domain
playthunder.com 	Plugin Domain
quizflavor.com 	Plugin Domain
gamedaddio 	Plugin Domain
packagetrak.com 	Plugin Domain
Froovr 	Plugin Domain
classifiedsnearme.com 	Plugin Domain
gamezooks.com 	Plugin Domain
quicknewsplus.com 	Plugin Domain
playpopgames.com 	Plugin Domain
easytoolonline.com 	Plugin Domain
greatarcadehits.com 	Plugin Domain
crusharcade.com 	Plugin Domain
promediaconverter.com 	Plugin Domain
Arcadeyum.com 	Plugin Domain
dtsince.com 	Control Domain
comvng.com 	Control Domain
elsticsr.com 	Control Domain
gdprcountryrestriction.com 	Deterministic Domain
rowams.com 	Redirector Domain
glaulb.com 	Redirector Domain
rodmnd.com 	Redirector Domain
arpdmn.com 	Redirector Domain
fulamz.com 	Redirector Domain
rdrdmn.com 	Redirector Domain
rnddmn.com 	Redirector Domain
srvnmdom.com 	Redirector Domain
rdcnew.com 	Redirector Domain
rndmdmn.com 	Redirector Domain
amdaws.com 	Redirector Domain
fmtaws.com 	Redirector Domain
hometailer.com 	Redirector Domain
rdraws.com 	Redirector Domain
srvtop.com 	Redirector Domain
globlb.com 	Redirector Domain
frshdmn.com 	Redirector Domain
rawdws.com 	Redirector Domain
reddmn.com 	Redirector Domain
reqaws.com 	Redirector Domain
gleglb.com 	Redirector Domain
newdmn.com 	Redirector Domain
gluedc.com 	Redirector Domain
tmntho.com 	Redirector Domain
srvalgo.com 	Redirector Domain
wrrpam.com 	Redirector Domain
dmnamz.com 	Redirector Domain
rddmns.com 	Redirector Domain
Multiext.com 	Local Storage Exfil Domain
ticsync.com 	End Domain
usavisitorco.com 	End Domain
usavisitorcenter.com 	End Domain
sponsergift.pro 	End Domain
3f6i9.com 	End Domain
usaconsumerperks.com 	End Domain
rewardsecure.com 	End Domain
jenrx2u.com 	End Domain
runslin.com 	End Domain
securedgift.com 	End Domain
usasecureconsumer.com 	End Domain
usavisitorrewards.com 	End Domain
usavisitors.org 	End Domain
usapremiumclub.com 	End Domain
usaperkscenter.com 	End Domain
usagiftscenter.com 	End Domain
premiumclubusa.com 	End Domain
usaclub.vip 	End Domain
.com 	TLD
.net 	TLD
.pro 	TLD
.vip 	TLD
PackageTrak Promos 	Plugin Name
ProMediaConverter Promotions 	Plugin Name
EasyToolOnline Promos 	Plugin Name
CrushArcade Ads 	Plugin Name
GreatArcadeHits Ads 	Plugin Name
ArcadeFrontier Ads 	Plugin Name
MapsFrontier Advertising 	Plugin Name
SuperSimpleTools Promos 	Plugin Name
Advertisements by ArcadeYum 	Plugin Name
PackTrackPlus Promos 	Plugin Name
EasyToolOnline Promos 	Plugin Name
PlayPopGames Ads 	Plugin Name
QuickNewsPlus Promos 	Plugin Name
GameZooks Advertisements 	Plugin Name
PackTrackPlus Promotions 	Plugin Name
PackTrackPlus Promotions 	Plugin Name
MapsFrontier Advertisement Offers 	Plugin Name
ExpressDirections Promos 	Plugin Name
MapsTrek Promos 	Plugin Name
ClassifiedsNearMe Promos 	Plugin Name
MapsTrek Promos 	Plugin Name
ClassifiedsNearMe Promos 	Plugin Name
ExpressDirections Promos 	Plugin Name
MapsTrek Offers 	Plugin Name
MapsVoyage Promotions 	Plugin Name
FreeWeatherApp Promotions 	Plugin Name
EarthViewDirections Promotions 	Plugin Name
MapsFrontier Advertisements 	Plugin Name
ArcadeCookie Offers 	Plugin Name
RecipeAlly Promos 	Plugin Name
MapsTrek Promotions 	Plugin Name
Offers by MapsFrontier 	Plugin Name
GamesChill Ads 	Plugin Name
PackTrackPlus Promotions 	Plugin Name
MapsVoyage Ads 	Plugin Name
Advertising by MapsFrontier 	Plugin Name
PlayZiz Advertisements 	Plugin Name
Advertising Offers by MapsVoyage 	Plugin Name
MapsFrontier Advertising Offers 	Plugin Name
FreeWeatherApp Promos 	Plugin Name
FreeWeatherApp Advertisement Offers 	Plugin Name
ExpressDirections Ads 	Plugin Name
YoYoQuiz Promotions 	Plugin Name
MapsVoyage Advertising 	Plugin Name
MapsPilot Ad Offers 	Plugin Name
GoFreeRadio Promos 	Plugin Name
Advertising Offers by FreeWeatherApp 	Plugin Name
Advertisement Offers by QuizKicks 	Plugin Name
Ads by MapsVoyage 	Plugin Name
JumboQuiz Advertising 	Plugin Name
MapsScout Advertising Offers 	Plugin Name
DeluxeQuiz Advertising 	Plugin Name
SuperSimpleTools Promos 	Plugin Name
Advertising by MapsPilot 	Plugin Name
Advertisements by MapsScout 	Plugin Name
PackageTrak Promos 	Plugin Name
Ad offers by Froovr 	Plugin Name
PackageTrak Promos 	Plugin Name
GameDaddio Marketing 	Plugin Name
DearQuiz Advertising 	Plugin Name
Offers by MapsScout 	Plugin Name
YoYoQuiz Advertisements 	Plugin Name
Advertisment Offers by GameDaddio 	Plugin Name
QuizFlavor Advertising 	Plugin Name
Advertisements by QuizDiamond 	Plugin Name
QuizPremium Advertisements 	Plugin Name
CouponRockstar Offers 	Plugin Name
MapsFrontier Promos 	Plugin Name
Advertising Offers by MapsPilot 	Plugin Name
PlayThunder Offers 	Plugin Name
LoveTestPro Ad Offers 	Plugin Name
oanbpfkcehelcjjipodkaafialmfejmi 	Plugin ID
lhfibgclamcffnddoicjmoopmgomknmb 	Plugin ID
ilcbbngkolbclhlildojhgjdbkkehfia 	Plugin ID
pnhjnmacgahapmnnifmneapinilajfol 	Plugin ID
ocifcogajbgikalbpphmoedjlcfjkhgh 	Plugin ID
peglehonblabfemopkgmfcpofbchegcl 	Plugin ID
aaeohfpkhojgdhocdfpkdaffbehjbmmd 	Plugin ID
lidnmohoigekohfmdpopgcpigjkpemll 	Plugin ID
jmbmildjdmppofnohldicmnkojfhggmb 	Plugin ID
jdoaaldnifinadckcbfkbiekgaebkeif 	Plugin ID
ogjfhmgoalinegalajpmjoliipdibhdm 	Plugin ID
lebmkjafnodbnhbahbgdollaaabcmpbh 	Plugin ID
gjammdgdlgmoidmdfoefkeklnhmllpjp 	Plugin ID
kdkpllchojjkbgephbbeacaahecgfpga 	Plugin ID
jaehldonmiabhfohkenmlimnceapgpnp 	Plugin ID
pmhlkgkblgeeigiegkmacefjoflennbn 	Plugin ID
ofdfbeanbffehepagohhengmjnhlkich 	Plugin ID
mjchijabihjkhmmaaihpgmhkklgakinl 	Plugin ID
poppendnaoonepbkmjejdfebihohaalo 	Plugin ID
eogoljjmndnjfikmcbmopmlhjnhbmdda 	Plugin ID
gdnkjjhpffldmfljpbfemliidkeeecdj 	Plugin ID
gelcjfdfebnabkielednfoogpbhdeoai 	Plugin ID
ofpihhkeakgnnbkmcoifjkkhnllddbld 	Plugin ID
pjjghngpidphgicpgdebpmdgdicepege 	Plugin ID
nchdkdaknojhpimbfbejfcdnmjfbllhj 	Plugin ID
blcfpeooekoekehdpbikibeblpjlehlh 	Plugin ID
looclnmoilplejheganiloofamfilbcd 	Plugin ID
oehimkphpeeeneindfeekidpmkpffkgc 	Plugin ID
eebbihndkbkejmlgfoofigacgicamfha 	Plugin ID
faopefnnleiebimhkldlplkgkjpbmcea 	Plugin ID
obcfkcpejehknjdollnafpebkcpkklbl 	Plugin ID
jepocknhdcgdmbiodbpopcbjnlgecdhf 	Plugin ID
dehhfjanlmglmabomenmpjnnopigplae 	Plugin ID
ekijhekekfckmkmbemiijdkihdibnbgh 	Plugin ID
pjpjefgijnjlhgegceegmpecklonpdjp 	Plugin ID
nlhocomjnfjedielocojomgfldbjmdjj 	Plugin ID
opooaebceonakifaacigffdhogdgfadg 	Plugin ID
ojofdaokgfdlbeomlelkiiipkocneien 	Plugin ID
gpaaalbnkccgmmbkendiciheljgpdhob 	Plugin ID
almfnpjmjpnknlgpipillhfmchjikkno 	Plugin ID
eeacchjlmkcleifpppcjbmahcnlihamj 	Plugin ID
lojgkcienjoiogbfkbjiidpfnabhkckf 	Plugin ID
gkemhapalomnipjhminflfhjcjehjhmp 	Plugin ID
icolkoeolaodpjogekifcidcdbgbdobc 	Plugin ID
abjbfhcehjndcpbiiagdnlfolkbfblpb 	Plugin ID
bbjilncoookdcjjnkcdaofiollndepla 	Plugin ID
igpcgjcdhmdjhdlgoncfnpkdipanlida 	Plugin ID
nfhpojfdhcdmimokleagkdcbkmcgfjkh 	Plugin ID
jfnlkmaledafkdhdokgnhlcmeamakham 	Plugin ID
dibjpjiifnahccnokciamjlfgdlgimmn 	Plugin ID
fjclfmhapndgeabdcikbhemimpijpnah 	Plugin ID
jpnamljnefhpbpcofcbonjjjkmfjbhdp 	Plugin ID
iggmbfojpkfikoahlfghaalpbpkhfohc 	Plugin ID
fkllfgoempnigpogkgkgmghkchmjcjni 	Plugin ID
dealfjgnmkibkcldkcpbikenmajlglmc 	Plugin ID
abghmipjfclfpgmmelbgolfgmhnigbma 	Plugin ID
dcbfmglfdlgpnolgdjoioeocllioebpe 	Plugin ID
obmbmalbahpfbckpcfbipooimkldgphm 	Plugin ID
gbkmkgfjngebdcpklbkeccelcjaobblk 	Plugin ID
ehibgcefkpbfkklbpahilhicidnhiboc 	Plugin ID
gmljddfeipofcffbhhcpohkegndieeab 	Plugin ID
dajgdhiemoaecngkpliephmheifopmjb 	Plugin ID
fdbmoflclpmkmeobidcgmfamkicinnlg 	Plugin ID
obbfndpanmiplgfcbeonoocobbnjdmdc 	Plugin ID
lgljionbhcfbnpjgfnhhoadpdngkmfnh 	Plugin ID
ddenjpheppdmfimooolgihimdgpilhfo 	Plugin ID
bblkckhknhmalchbceidkmjalmcmnkfa 	Plugin ID
fhkmacopackahlbnpcfijgphgoimpggb 	Plugin ID
eohnfgagodblipmmalphhfepaonpnjgk 	Plugin ID
emkkigmmpfbjmikfadmfeebomholoikg 	Plugin ID
fekjbjbbdopogpamkmdjpjicapclgamj 	Plugin ID
ff6f8c062bb9b4b66de6929ff2921f5fd9eff4b013b32842e9e7e51f609c1f0f 	SHA256 Hash
0c1a8ca8ad72db5c0c3babc8d2488cc4ac7815d8158d170c5fd4c1056cd7dd87 	SHA256 Hash
68707cfc2c7bfe721e22f681c86480c012ce7b28f442c2e0090fde95663b6f13 	SHA256 Hash
Maps 	Plugin Name Pattern
Promos 	Plugin Name Pattern
Pack 	Plugin Name Pattern
Plus 	Plugin Name Pattern
Ad 	Plugin Name Pattern
Advertising 	Plugin Name Pattern
Offers 	Plugin Name Pattern
Quiz 	Plugin Name Pattern
Marketing 	Plugin Name Pattern
Promotions 	Plugin Name Pattern
Advertisements 	Plugin Name Pattern
Scz?p= 	Redirector URI Pattern
Fzs?p=

Après avoir informé Google de ce scandale, le géant américain a identifié en collaboration avec Duo Security, 430 autres extensions qui collectaient les données personnelles de leurs utilisateurs sans leur dire. À ce jour, il semblerait qu’elles aient toutes été supprimées.

Les extensions distantes ont injecté des publicités malveillantes dans la session du navigateur de l'utilisateur.

Le code malveillant s'est activé dans certaines circonstances et a redirigé la victime vers des sites Web dangereux. Dans certains cas, il s'agissait de liens d'affiliation assez inoffensifs vers les ressources Macys, Dell ou BestBuy.
domaines.jpg
Cependant, le plus souvent, une redirection a conduit les utilisateurs vers un site malveillant ou une page de phishing.

Selon le rapport d' expert publié , les centaines d'extensions font partie d'une opération cyber majeure qui existe au moins depuis janvier 2019 et qu’elle a connu une croissance rapide, notamment entre mars et juin.
Les chercheurs n’excluent pas l’éventualité que cette supercherie existe depuis de nombreuses années et que le gang criminel derrière cette campagne mène des activités similaires depuis... 2010.



Le rapport https://duo.com/labs/research/crxcavato ... ising-2020 précise que :

“Ce qui a rendu le système malveillant et frauduleux était le grand volume de contenu publicitaire, la dissimulation délibérée de la plupart des publicités aux utilisateurs finaux, ainsi que l’utilisation des flux de redirection publicitaire pour envoyer les navigateurs infectés vers des sites de malware et de phishing.
Deux échantillons de logiciels malveillants liés aux sites de plugins ont été recensés :

ARCADEYUMGAMES.exe https://www.hybrid-analysis.com/sample/ ... 2189510e23
et
MapsTrek.exe. https://www.hybrid-analysis.com/sample/ ... mentId=100

Si les 500 extensions semblent bien différentes, elles contiennent étrangement un code source quasiment identique





Et pour le reste qu'en est il ?


Duo a analysé 120463 extensions et applications Chrome en janvier 2019 et a constaté que de nombreux développeurs n'assuraient pas systématiquement la sécurité de leurs bibliothèques tierces, réduisant leur accès aux données utilisateur au minimum nécessaire pour que l'extension fonctionne, ou fournissant des informations sur la confidentialité et implications de leurs extensions.

Plus précisément, Duo a constaté que

38 289 extensions (31,8%) utilisent des bibliothèques tierces qui contiennent des vulnérabilités connues du public. U

102 029 extensions (84,7%) n'ont pas de politique de confidentialité répertoriée

93 080 (77,3%) n'ont pas de site d'assistance répertorié.

Sur les 95 000 extensions de la boutique en ligne qui prennent en charge les politiques de sécurité du contenu

74 403 (78,3%) n'avaient pas de CSP défini et, au-delà, 94 059 extensions (99%) n'ont pas de valeur par défaut. src ou connect-src dans le CSP défini.

Ce sont les parties du CSP qui donnent aux développeurs la possibilité de restreindre les ressources externes auxquelles les extensions peuvent accéder et où les extensions peuvent envoyer les données qu'elles collectent.
Les stats 1.jpg

Le plugin "Suspicions Site Reporter" permet de dénoncer les sites web frauduleux à Google Safe Browsing.

https://siecledigital.fr/2019/06/19/une ... rauduleux/

Complément de lecture : https://arstechnica.com/information-tec ... 4m-people/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Malekal_morte
Messages : 107216
Inscription : 10 sept. 2005 13:57

Re: Chrome : 500 extensions malveillantes

par Malekal_morte »

C'est toutes les merdes Ask et Mindspark, ça j'ai l'impression.
Ils pissent des barres d'outils sous la forme de logiciels (convertisseur, tester la vitesse de connexion, lecteur PDF, etc).
Qui sont en réalité des Browser Hijacker
MapsVoyage Advertising
easytoolonline.com Plugin Domain
greatarcadehits.com Plugin Domain
crusharcade.com Plugin Domain
promediaconverter.com Plugin Domain
Google avait interdit l'installation d'extension hors son store (fichier de l'extension qu'on balance comme cela).
Du coup les pubs chargent une page avec une iframe du store et des popups autour en disant de cliquer là ou là (ou l'inverse).
Des fois c'est vraiment bien foutus.
Genre là, tu as pas le titre de la page et URL du store de Google.
Image

Adwares et PUPs: Extension malveillante sur Chrome et Firefox
Tu arrives à des extensions avec des dizaines de milliers de téléchargements.

Bref c'est la même problématique que le store d'android.
Ils doivent avoir des algo auto de vérifications et ça passe au travers.
En plus pour les Browser Hijacker, c'est assez souple, tant que tu ajoutes et enregistre le moteur dans les options et qu'on peut le supprimer.
L'extension est acceptée.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »