Entre les applications Android vérolées et les extensions malveillantes il devient difficile de faire un choix et le tri entre ce qui ne pose pas de problème et ce qui est malveillants
La règle étant d'éviter de surcharger son navigateur quel qu''il soit de barres d'outils et modules complémentaires
Rappel sur les extensions https://www.malekal.com/installer-suppr ... efox-edge/
Cette fois-ci ce sont pas moins de 500 extensions malveillantes mises en avant par CISCO Duo Security" et leur outil CRXcavator https://crxcavator.io/ et dont la découverte revient à la chercheuse en cybersécurité Jamila Kaya
C’est elle, en collaboration avec la société Duo Security, et leur outil CRXcavator, qui a découvert initialement les 71 premières extensions malveillantes sur Google Chrome.
Les 71 premières extensions malveillantes de Chrome avaient été installées plus de 1,7 million de fois depuis un an
Code : Tout sélectionner
Mapstrek.com Plugin Domain
Mapsscout.com Plugin Domain
Deluxequiz.com Plugin Domain
Gameschill.com Plugin Domain
Packtrackplus.com Plugin Domain
Mapsvoyage.com Plugin Domain
Mapsfrontier.com Plugin Domain
Yoyoquiz.com Plugin Domain
Recipeally.com Plugin Domain
Supersimpletools.com Plugin Domain
playziz.com Plugin Domain
jumboquiz.com Plugin Domain
mapspilot.com Plugin Domain
expressdirections.com Plugin Domain
freeweatherapp.com Plugin Domain
gofreeradio.com Plugin Domain
lovetestpro.com Plugin Domain
playthunder.com Plugin Domain
quizflavor.com Plugin Domain
gamedaddio Plugin Domain
packagetrak.com Plugin Domain
Froovr Plugin Domain
classifiedsnearme.com Plugin Domain
gamezooks.com Plugin Domain
quicknewsplus.com Plugin Domain
playpopgames.com Plugin Domain
easytoolonline.com Plugin Domain
greatarcadehits.com Plugin Domain
crusharcade.com Plugin Domain
promediaconverter.com Plugin Domain
Arcadeyum.com Plugin Domain
dtsince.com Control Domain
comvng.com Control Domain
elsticsr.com Control Domain
gdprcountryrestriction.com Deterministic Domain
rowams.com Redirector Domain
glaulb.com Redirector Domain
rodmnd.com Redirector Domain
arpdmn.com Redirector Domain
fulamz.com Redirector Domain
rdrdmn.com Redirector Domain
rnddmn.com Redirector Domain
srvnmdom.com Redirector Domain
rdcnew.com Redirector Domain
rndmdmn.com Redirector Domain
amdaws.com Redirector Domain
fmtaws.com Redirector Domain
hometailer.com Redirector Domain
rdraws.com Redirector Domain
srvtop.com Redirector Domain
globlb.com Redirector Domain
frshdmn.com Redirector Domain
rawdws.com Redirector Domain
reddmn.com Redirector Domain
reqaws.com Redirector Domain
gleglb.com Redirector Domain
newdmn.com Redirector Domain
gluedc.com Redirector Domain
tmntho.com Redirector Domain
srvalgo.com Redirector Domain
wrrpam.com Redirector Domain
dmnamz.com Redirector Domain
rddmns.com Redirector Domain
Multiext.com Local Storage Exfil Domain
ticsync.com End Domain
usavisitorco.com End Domain
usavisitorcenter.com End Domain
sponsergift.pro End Domain
3f6i9.com End Domain
usaconsumerperks.com End Domain
rewardsecure.com End Domain
jenrx2u.com End Domain
runslin.com End Domain
securedgift.com End Domain
usasecureconsumer.com End Domain
usavisitorrewards.com End Domain
usavisitors.org End Domain
usapremiumclub.com End Domain
usaperkscenter.com End Domain
usagiftscenter.com End Domain
premiumclubusa.com End Domain
usaclub.vip End Domain
.com TLD
.net TLD
.pro TLD
.vip TLD
PackageTrak Promos Plugin Name
ProMediaConverter Promotions Plugin Name
EasyToolOnline Promos Plugin Name
CrushArcade Ads Plugin Name
GreatArcadeHits Ads Plugin Name
ArcadeFrontier Ads Plugin Name
MapsFrontier Advertising Plugin Name
SuperSimpleTools Promos Plugin Name
Advertisements by ArcadeYum Plugin Name
PackTrackPlus Promos Plugin Name
EasyToolOnline Promos Plugin Name
PlayPopGames Ads Plugin Name
QuickNewsPlus Promos Plugin Name
GameZooks Advertisements Plugin Name
PackTrackPlus Promotions Plugin Name
PackTrackPlus Promotions Plugin Name
MapsFrontier Advertisement Offers Plugin Name
ExpressDirections Promos Plugin Name
MapsTrek Promos Plugin Name
ClassifiedsNearMe Promos Plugin Name
MapsTrek Promos Plugin Name
ClassifiedsNearMe Promos Plugin Name
ExpressDirections Promos Plugin Name
MapsTrek Offers Plugin Name
MapsVoyage Promotions Plugin Name
FreeWeatherApp Promotions Plugin Name
EarthViewDirections Promotions Plugin Name
MapsFrontier Advertisements Plugin Name
ArcadeCookie Offers Plugin Name
RecipeAlly Promos Plugin Name
MapsTrek Promotions Plugin Name
Offers by MapsFrontier Plugin Name
GamesChill Ads Plugin Name
PackTrackPlus Promotions Plugin Name
MapsVoyage Ads Plugin Name
Advertising by MapsFrontier Plugin Name
PlayZiz Advertisements Plugin Name
Advertising Offers by MapsVoyage Plugin Name
MapsFrontier Advertising Offers Plugin Name
FreeWeatherApp Promos Plugin Name
FreeWeatherApp Advertisement Offers Plugin Name
ExpressDirections Ads Plugin Name
YoYoQuiz Promotions Plugin Name
MapsVoyage Advertising Plugin Name
MapsPilot Ad Offers Plugin Name
GoFreeRadio Promos Plugin Name
Advertising Offers by FreeWeatherApp Plugin Name
Advertisement Offers by QuizKicks Plugin Name
Ads by MapsVoyage Plugin Name
JumboQuiz Advertising Plugin Name
MapsScout Advertising Offers Plugin Name
DeluxeQuiz Advertising Plugin Name
SuperSimpleTools Promos Plugin Name
Advertising by MapsPilot Plugin Name
Advertisements by MapsScout Plugin Name
PackageTrak Promos Plugin Name
Ad offers by Froovr Plugin Name
PackageTrak Promos Plugin Name
GameDaddio Marketing Plugin Name
DearQuiz Advertising Plugin Name
Offers by MapsScout Plugin Name
YoYoQuiz Advertisements Plugin Name
Advertisment Offers by GameDaddio Plugin Name
QuizFlavor Advertising Plugin Name
Advertisements by QuizDiamond Plugin Name
QuizPremium Advertisements Plugin Name
CouponRockstar Offers Plugin Name
MapsFrontier Promos Plugin Name
Advertising Offers by MapsPilot Plugin Name
PlayThunder Offers Plugin Name
LoveTestPro Ad Offers Plugin Name
oanbpfkcehelcjjipodkaafialmfejmi Plugin ID
lhfibgclamcffnddoicjmoopmgomknmb Plugin ID
ilcbbngkolbclhlildojhgjdbkkehfia Plugin ID
pnhjnmacgahapmnnifmneapinilajfol Plugin ID
ocifcogajbgikalbpphmoedjlcfjkhgh Plugin ID
peglehonblabfemopkgmfcpofbchegcl Plugin ID
aaeohfpkhojgdhocdfpkdaffbehjbmmd Plugin ID
lidnmohoigekohfmdpopgcpigjkpemll Plugin ID
jmbmildjdmppofnohldicmnkojfhggmb Plugin ID
jdoaaldnifinadckcbfkbiekgaebkeif Plugin ID
ogjfhmgoalinegalajpmjoliipdibhdm Plugin ID
lebmkjafnodbnhbahbgdollaaabcmpbh Plugin ID
gjammdgdlgmoidmdfoefkeklnhmllpjp Plugin ID
kdkpllchojjkbgephbbeacaahecgfpga Plugin ID
jaehldonmiabhfohkenmlimnceapgpnp Plugin ID
pmhlkgkblgeeigiegkmacefjoflennbn Plugin ID
ofdfbeanbffehepagohhengmjnhlkich Plugin ID
mjchijabihjkhmmaaihpgmhkklgakinl Plugin ID
poppendnaoonepbkmjejdfebihohaalo Plugin ID
eogoljjmndnjfikmcbmopmlhjnhbmdda Plugin ID
gdnkjjhpffldmfljpbfemliidkeeecdj Plugin ID
gelcjfdfebnabkielednfoogpbhdeoai Plugin ID
ofpihhkeakgnnbkmcoifjkkhnllddbld Plugin ID
pjjghngpidphgicpgdebpmdgdicepege Plugin ID
nchdkdaknojhpimbfbejfcdnmjfbllhj Plugin ID
blcfpeooekoekehdpbikibeblpjlehlh Plugin ID
looclnmoilplejheganiloofamfilbcd Plugin ID
oehimkphpeeeneindfeekidpmkpffkgc Plugin ID
eebbihndkbkejmlgfoofigacgicamfha Plugin ID
faopefnnleiebimhkldlplkgkjpbmcea Plugin ID
obcfkcpejehknjdollnafpebkcpkklbl Plugin ID
jepocknhdcgdmbiodbpopcbjnlgecdhf Plugin ID
dehhfjanlmglmabomenmpjnnopigplae Plugin ID
ekijhekekfckmkmbemiijdkihdibnbgh Plugin ID
pjpjefgijnjlhgegceegmpecklonpdjp Plugin ID
nlhocomjnfjedielocojomgfldbjmdjj Plugin ID
opooaebceonakifaacigffdhogdgfadg Plugin ID
ojofdaokgfdlbeomlelkiiipkocneien Plugin ID
gpaaalbnkccgmmbkendiciheljgpdhob Plugin ID
almfnpjmjpnknlgpipillhfmchjikkno Plugin ID
eeacchjlmkcleifpppcjbmahcnlihamj Plugin ID
lojgkcienjoiogbfkbjiidpfnabhkckf Plugin ID
gkemhapalomnipjhminflfhjcjehjhmp Plugin ID
icolkoeolaodpjogekifcidcdbgbdobc Plugin ID
abjbfhcehjndcpbiiagdnlfolkbfblpb Plugin ID
bbjilncoookdcjjnkcdaofiollndepla Plugin ID
igpcgjcdhmdjhdlgoncfnpkdipanlida Plugin ID
nfhpojfdhcdmimokleagkdcbkmcgfjkh Plugin ID
jfnlkmaledafkdhdokgnhlcmeamakham Plugin ID
dibjpjiifnahccnokciamjlfgdlgimmn Plugin ID
fjclfmhapndgeabdcikbhemimpijpnah Plugin ID
jpnamljnefhpbpcofcbonjjjkmfjbhdp Plugin ID
iggmbfojpkfikoahlfghaalpbpkhfohc Plugin ID
fkllfgoempnigpogkgkgmghkchmjcjni Plugin ID
dealfjgnmkibkcldkcpbikenmajlglmc Plugin ID
abghmipjfclfpgmmelbgolfgmhnigbma Plugin ID
dcbfmglfdlgpnolgdjoioeocllioebpe Plugin ID
obmbmalbahpfbckpcfbipooimkldgphm Plugin ID
gbkmkgfjngebdcpklbkeccelcjaobblk Plugin ID
ehibgcefkpbfkklbpahilhicidnhiboc Plugin ID
gmljddfeipofcffbhhcpohkegndieeab Plugin ID
dajgdhiemoaecngkpliephmheifopmjb Plugin ID
fdbmoflclpmkmeobidcgmfamkicinnlg Plugin ID
obbfndpanmiplgfcbeonoocobbnjdmdc Plugin ID
lgljionbhcfbnpjgfnhhoadpdngkmfnh Plugin ID
ddenjpheppdmfimooolgihimdgpilhfo Plugin ID
bblkckhknhmalchbceidkmjalmcmnkfa Plugin ID
fhkmacopackahlbnpcfijgphgoimpggb Plugin ID
eohnfgagodblipmmalphhfepaonpnjgk Plugin ID
emkkigmmpfbjmikfadmfeebomholoikg Plugin ID
fekjbjbbdopogpamkmdjpjicapclgamj Plugin ID
ff6f8c062bb9b4b66de6929ff2921f5fd9eff4b013b32842e9e7e51f609c1f0f SHA256 Hash
0c1a8ca8ad72db5c0c3babc8d2488cc4ac7815d8158d170c5fd4c1056cd7dd87 SHA256 Hash
68707cfc2c7bfe721e22f681c86480c012ce7b28f442c2e0090fde95663b6f13 SHA256 Hash
Maps Plugin Name Pattern
Promos Plugin Name Pattern
Pack Plugin Name Pattern
Plus Plugin Name Pattern
Ad Plugin Name Pattern
Advertising Plugin Name Pattern
Offers Plugin Name Pattern
Quiz Plugin Name Pattern
Marketing Plugin Name Pattern
Promotions Plugin Name Pattern
Advertisements Plugin Name Pattern
Scz?p= Redirector URI Pattern
Fzs?p=Après avoir informé Google de ce scandale, le géant américain a identifié en collaboration avec Duo Security, 430 autres extensions qui collectaient les données personnelles de leurs utilisateurs sans leur dire. À ce jour, il semblerait qu’elles aient toutes été supprimées.
Les extensions distantes ont injecté des publicités malveillantes dans la session du navigateur de l'utilisateur.
Le code malveillant s'est activé dans certaines circonstances et a redirigé la victime vers des sites Web dangereux. Dans certains cas, il s'agissait de liens d'affiliation assez inoffensifs vers les ressources Macys, Dell ou BestBuy.
Cependant, le plus souvent, une redirection a conduit les utilisateurs vers un site malveillant ou une page de phishing.
Selon le rapport d' expert publié , les centaines d'extensions font partie d'une opération cyber majeure qui existe au moins depuis janvier 2019 et qu’elle a connu une croissance rapide, notamment entre mars et juin.
Les chercheurs n’excluent pas l’éventualité que cette supercherie existe depuis de nombreuses années et que le gang criminel derrière cette campagne mène des activités similaires depuis... 2010.
Le rapport https://duo.com/labs/research/crxcavato ... ising-2020 précise que :
“Ce qui a rendu le système malveillant et frauduleux était le grand volume de contenu publicitaire, la dissimulation délibérée de la plupart des publicités aux utilisateurs finaux, ainsi que l’utilisation des flux de redirection publicitaire pour envoyer les navigateurs infectés vers des sites de malware et de phishing.
Deux échantillons de logiciels malveillants liés aux sites de plugins ont été recensés :
ARCADEYUMGAMES.exe https://www.hybrid-analysis.com/sample/ ... 2189510e23
et
MapsTrek.exe. https://www.hybrid-analysis.com/sample/ ... mentId=100
Si les 500 extensions semblent bien différentes, elles contiennent étrangement un code source quasiment identique
Et pour le reste qu'en est il ?
Duo a analysé 120463 extensions et applications Chrome en janvier 2019 et a constaté que de nombreux développeurs n'assuraient pas systématiquement la sécurité de leurs bibliothèques tierces, réduisant leur accès aux données utilisateur au minimum nécessaire pour que l'extension fonctionne, ou fournissant des informations sur la confidentialité et implications de leurs extensions.
Plus précisément, Duo a constaté que
38 289 extensions (31,8%) utilisent des bibliothèques tierces qui contiennent des vulnérabilités connues du public. U
102 029 extensions (84,7%) n'ont pas de politique de confidentialité répertoriée
93 080 (77,3%) n'ont pas de site d'assistance répertorié.
Sur les 95 000 extensions de la boutique en ligne qui prennent en charge les politiques de sécurité du contenu
74 403 (78,3%) n'avaient pas de CSP défini et, au-delà, 94 059 extensions (99%) n'ont pas de valeur par défaut. src ou connect-src dans le CSP défini.
Ce sont les parties du CSP qui donnent aux développeurs la possibilité de restreindre les ressources externes auxquelles les extensions peuvent accéder et où les extensions peuvent envoyer les données qu'elles collectent.
Le plugin "Suspicions Site Reporter" permet de dénoncer les sites web frauduleux à Google Safe Browsing.
https://siecledigital.fr/2019/06/19/une ... rauduleux/
Complément de lecture : https://arstechnica.com/information-tec ... 4m-people/
