Avast nous alerte de la présence d’une trentaine d’extensions vérolées sur les navigateurs Chrome et Edge. Ces extensions abritaient un malware indétectable pour l’utilisateur infecté, et ayant pour but de vous extorquer des informations personnelles et de vous afficher de la publicité.

Au mois de décembre, les chercheurs en sécurité d’Avast nous alertaient sur un malware potentiellement dangereux abrité dans une trentaine d’extensions pour les navigateurs Google Chrome et Microsoft Edge. Au total, ces 28 extensions vérolées auraient infecté près de 3 millions de PC à travers le monde — et plus particulièrement en France, en en Ukraine et au Brésil — leur affichant des publicités intrusives jusqu’à des vols de données personnelles. D’après Avast, certaines extensions semblaient être actives depuis le mois d’octobre 2017, ce qui aurait largement laissé le temps au malware d’accomplir ses méfaits. Avast précise aujourd’hui la façon dont celui-ci s’est immiscé dans ces extensions, et comment les personnes à l’origine de son déploiement s’y sont pris pour masquer sa présence aux yeux des utilisateurs.

Un malware indétectable

La grande particularité de ce malware, c’est qu’il est en effet pratiquement indétectable, même pour un utilisateur aguerri. Celui-ci va en effet chercher à analyser le comportement de l’hôte infecté, afin de déterminer s’il s’agit d’un développeur web qui pourrait le débusquer plus facilement qu’un autre. « Le virus détecte si l’utilisateur est un développeur Web. Si tel est le cas, il n’exécutera aucune activité malveillante sur son navigateur » expliquait Avast en décembre. Ce mercredi, les chercheurs en sécurité d’Avast ont déclaré avoir découvert un autre moyen qui permettait aux développeurs de ces extensions de masquer le trafic envoyé de l’utilisateur infecté vers un serveur distant. Plus concrètement, le malware contenu dans ces extensions utilisaient en effet CacheFlow, permettant de masquer le trafic sortant en le faisant passer dans un canal secret de l’en-tête HTTP Cache-Control. Le cache du trafic était camouflé pour apparaître sous forme de données liées à Google Analytics, que les sites Web utilisent principalement pour mesurer le nombre de visiteurs. Ni vu, ni connu, et donc d’autant plus dangereux sur le long terme.

La liste des extensions vérolées

Concernant ces extensions vérolées, il semblerait qu’elles aient toutes été retirées des stores d’extensions de Google et de Microsoft. Néanmoins, si vous les aviez téléchargées préalablement, elles représentent toujours une grande menace pour l’intégrité de vos informations personnelles et de votre expérience de navigation sur le web. On vous conseille donc d’aller jeter un œil dans vos extensions installées sur votre navigateur et de désinstaller de toute urgence les extensions suivantes, dont les noms ont été communiqués par Avast :

App Phone for Instagram

Direct Message for Instagram

DM for Instagram

Downloader for Instagram

Instagram App with Direct Message DM

Instagram Download Video & Image

Invisible mode for Instagram Direct Message

Odnoklassniki UnBlock. Works quickly.

Pretty Kitty, The Cat Pet

SoundCloud Music Downloader

Spotify Music Downloader

Stories for Instagram

The New York Times News

Universal Video Downloader

Upload photo to Instagram

Video Downloader for FaceBook

Video Downloader for YouTube

Vimeo™ Video Downloader

VK UnBlock. Works fast.

Volume Controller

Zoomer for Instagram and FaceBook