LayerX a identifié plus de 40 extensions de navigateur malveillantes qui font partie de trois campagnes de phishing distinctes.
La détection initiale de cette campagne a été effectuée par le DomainTools Intelligence (DTI) équipe, qui identifié une liste de domaines suspects qui communiquaient avec des extensions de navigateur se faisant passer pour des marques légitimes. Cependant, si l'étude du DTI a fourni une liste des domaines malveillants, il n'a pas identifié la liste complète des extensions malveillantes individuelles.
S'appuyant sur les recherches initiales du DTI, LayerX a analysé les URL signalées pour découvrir les métadonnées réelles des extensions Chrome. En analysant les pages d'extension associées, LayerX a pu identifier :
- ID d'extension
- Noms d'extension
- Les éditeurs derrière eux
- Métadonnées d'extension telles que la date de publication, la dernière mise à jour du logiciel, etc.
Cette enquête a révélé Plus de 40 extensions malveillantes, dont beaucoup sont toujours disponibles sur le Google Chrome Store.
La liste complète des extensions est fournie au bas de cet article.
Principales conclusions de l'analyse LayerX
Après une analyse plus approfondie des pages d'extension et des comportements, LayerX a découvert plusieurs modèles et informations importants :
1. Pages d'extension générées par l'IA
Les pages d'extension malveillantes présentaient une structure, un formatage et un langage très similaires, ce qui suggérait qu'elles avaient probablement été générées automatiquement par des outils d'IA. Cette tactique a permis aux acteurs malveillants d'étendre rapidement leurs efforts à des dizaines de faux outils avec un minimum d'intervention manuelle.
2. Usurpation d'identité d'outils et de marques populaires
Les extensions ont été soigneusement conçues pour imiter des plateformes bien connues, notamment :
- Fortinet / FortiVPN
- IA DeepSeek
- Calendly
- Outils d'aide YouTube
- Utilitaires cryptographiques comme DeBank
En s’appuyant sur la confiance de noms établis, ces outils malveillants ont efficacement contourné les soupçons des utilisateurs et échappé à tout contrôle lors de l’installation.
3. Masquage de marque sophistiqué
Ce n'est pas seulement qu'ils ont essayé de se faire passer pour des extensions et/ou des marques légitimes connues, ils ont essayé de se faire ressembler :
- Noms de domaine enregistrés qui semblaient similaires (par exemple, calendlydaily[.]world et calendly-director[.com], pour imiter Calendly)
- Pour toutes les extensions faisant partie de cette campagne, l'éditeur et le domaine de contact e-mail n'étaient pas un compte Gmail privé, mais un domaine indépendant, pour le rendre plus crédible.
- Les adresses e-mail de contact suivaient un format standard de « support@nom-de-domaine », ce qui donnait encore plus de crédibilité et donnait l'impression qu'il y avait un éditeur légitime derrière.
Ces extensions accordent aux attaquants un accès persistant aux sessions utilisateur, permettant le vol de données, l'usurpation d'identité et l'entrée potentielle dans les environnements d'entreprise.
Comment les organisations peuvent réagir
La vague actuelle d'extensions malveillantes met en lumière un point faible majeur dans la sécurité de nombreuses organisations : le navigateur lui-même. Voici comment les organisations peuvent prendre des mesures proactives pour atténuer les risques :
1. Bloquer les extensions malveillantes par ID d'extension
Les organisations peuvent bloquer manuellement les extensions malveillantes via la gestion des appareils mobiles (MDM) ou l'application des politiques de navigateur. Cependant, cette méthode est souvent fastidieuse et oblige les équipes de sécurité à suivre les identifiants des extensions, à surveiller les nouvelles menaces et à réagir en temps quasi réel.
2. Appliquer les règles d'hygiène en vulgarisation
Adoptez des politiques d’hygiène de base pour les extensions de navigateur :
- Bloquer les extensions provenant d'éditeurs inconnus ou non vérifiés
- Restreindre l'installation de jeunes extensions (récemment publié)
- Signaler les extensions avec un faible nombre d'avis ou des demandes d'autorisation inhabituelles
- Évitez les outils associés à des domaines suspects ou usurpant l'identité de la marque
3. Bloquer les extensions même si elles ont été retirées du Chrome Store
Bien que certaines extensions compromises aient déjà été supprimées du Google Chrome Store, leur suppression ne supprime pas les installations actives des navigateurs des utilisateurs. Par conséquent, les utilisateurs et les organisations doivent les supprimer manuellement.
Comment LayerX peut vous aider
LayerX fournit une plateforme de sécurité de navigateur spécialement conçue pour surveiller et évaluer les extensions en temps réel. Elle offre une détection complète de toutes les extensions, une classification automatique des risques et des options d'application granulaires pour bloquer les extensions malveillantes.
Entre autres capacités, il peut :
- Bloquer automatiquement les extensions malveillantes ou à haut risque
- Détectez les extensions qui effectuent des actions suspectes telles que le vol de cookies, l'injection de scripts, etc.
- Autoriser les administrateurs à définir et à appliquer des politiques d'extension à l'échelle de l'organisation
- Suivez le rythme des menaces en évolution rapide grâce à la télémétrie et aux renseignements sur les menaces
Pour les entreprises soucieuses de la menace que représentent les extensions de navigateur, LayerX propose un audit gratuit des extensions de navigateur. Cet audit comprend la découverte de toutes les extensions de navigateur installées dans votre environnement, la cartographie des utilisateurs disposant de quelles extensions, ainsi que des recommandations concrètes pour réduire l'exposition aux extensions malveillantes.
Cliquez ici pour vous inscrire à l'audit d'extension complémentaire.
Liste des identifiants d'extension malveillants :
| ID de poste | Nom du poste | Publisher |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Assistant IA gratuit | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Statistiques du site | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Générateur de noms de marques de vêtements | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Actifs numériques | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Secteur AML | Vérificateur AML crypto gratuit | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Vision des Crypto Whales | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Logiciel gratuit de planification de réunions | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Logiciel gratuit de planification de réunions | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Outil gratuit pour Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Twin Web | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | ÉvénementSphère | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | Navigateur SQLite | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | Chat IA DeepSeek | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | Réécrivain de phrases IA | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Convertir PDF en JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | Validateur HTML | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | Vérificateur CMS | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Calculateur de salaire horaire | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | Validateur CSS | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Vérificateur d'e-mails – vérifiez l'adresse e-mail en 1 clic | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Alerte Crypto Whale – Données de transaction Blockchain | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Analyse Web – Vérificateur de trafic et de référencement de sites Web | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Outil d'espionnage publicitaire gratuit pour Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – La super application pour les méta-annonceurs | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Vérificateur de trafic et de référencement de sites Web | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Outil d'espionnage publicitaire gratuit pour Facebook | https://meta-spy[.]help |
| nejfdccopmppimplhmmdfjobodgeaoihd | VPN gratuit – Raccoon | VPN illimité | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | VPN gratuit – Orchid | VPN illimité | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN gratuit – Proxy VPN illimité Soul VPN | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Surveillance de site Web | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffmousse | Écrivain AI | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | Générateur de publicités IA | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Générateur de titres | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Veille Web | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Vision YouTube | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Web Metrics – Vérificateur de trafic et de référencement de sites Web | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Cours du bitcoin en direct | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Raccourcisseur de lien | https://u99[.]pro |
