Accueil Blog RolyPoly VPN : L’extension VPN « gratuite » malveillante qui ne cesse de revenir

RolyPoly VPN : L’extension VPN « gratuite » malveillante qui ne cesse de revenir

 

Préface 

Des chercheurs en sécurité de LayerX Security ont mis au jour une campagne utilisant des extensions VPN et de blocage de publicités malveillantes, conçues pour dérober des données sensibles d'utilisateurs. Cette campagne tente sans cesse de réapparaître, même après avoir été neutralisée à plusieurs reprises. Alors que les extensions impliquées dans cette nouvelle version de la campagne comptent actuellement 31 000 installations actives, les versions précédentes avaient totalisé plus de 9 millions d'installations.

À l'instar d'un jouet à bascule qui se redresse sans cesse, ces extensions malveillantes (et les cybercriminels qui les manipulent) semblent déterminées à revenir en force, malgré leurs nombreuses suppressions. Cette campagne met en lumière les risques liés aux extensions « gratuites », notamment celles qui donnent accès à des données sensibles, et souligne la nécessité de mettre en place des systèmes de défense permettant de surveiller et d'analyser en permanence les extensions afin de détecter tout comportement malveillant.

 

Détails supplémentaires :

Les extensions VPN gratuites promettent confidentialité, rapidité et accès mondial en un seul clic. Pour des millions d'utilisateurs, elles constituent un moyen simple de contourner les restrictions ou de masquer leur adresse IP sans abonnement. Mais cette promesse cache souvent un revers : si le produit est gratuit, vos données deviennent le produit.

Au cours des dernières années, un groupe d'extensions Chrome faisant la publicité « VPN gratuit et illimité » services collectivement accumulés plus de 9 millions d'installationsLeurs noms, icônes et descriptions semblaient parfaitement légitimes, voire professionnels. Pourtant, derrière cette façade impeccable, deux de ces extensions se sont révélées par la suite contenir un code profondément intrusif. disponible sur le Chrome Web Store depuis près de six ans avant d'être signalé et supprimé dans Mai 2025.

Plus que Deux mois après troisième extensionUn produit quasiment identique en termes de description, de style d'icône et de fonctionnement interne, est apparu dans la boutique. Il est toujours disponible à l'heure où nous écrivons ces lignes.

Ces extensions faisaient bien plus que simplement relayer les requêtes réseau. Elles récupéraient des fichiers de configuration cachés sur des serveurs distants, modifiaient les paramètres de proxy en temps réel et interceptaient les événements de navigation du navigateur, fonctionnant ainsi comme redirecteurs de proxy contrôlés à distance avec des canaux de mise à jour dissimulés. Ce qui semblait être un simple VPN gratuit était, en réalité, un véritable système de surveillance au niveau du navigateur.

Dans cette analyse, nous décrirons l'évolution de ces extensions, mettrons en évidence leurs points communs techniques et détaillerons les techniques spécifiques utilisées pour intercepter, rediriger et persister au sein du navigateur. Nos conclusions montrent comment des autorisations telles que webRequest, proxy et declarativeNetRequest peuvent donner des avantages aux acteurs malveillants. visibilité et contrôle complets du trafic de navigation d'un utilisateur.

Si elles sont installées, ces extensions pourraient :

  • Intercepter et rediriger chaque page que vous visitez.
  • Collecter des données de navigation et une liste des extensions installées.
  • Modifier ou désactiver autres outils de proxy ou de sécurité.
  • Faire transiter le trafic par des serveurs contrôlés par l'attaquantexposant ainsi les activités privées à une surveillance potentielle.


Image 1 : Un des VPN « gratuits et illimités » malveillants disponibles en magasin

Vous trouverez ci-dessous une analyse détaillée de leurs métadonnées, du comportement de leur code et des risques associés. 

Tableau 1 : Métadonnées d'extension

Champ Extension A Poste B Poste C
ID de poste foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Pseudo VPN Professional - Extension Chrome VPN Proxy gratuite, sécurisée et illimitée VPN-free.pro - VPN gratuit et illimité VPN illimité gratuit
Description  Débloquez tous les sites web et restez protégé avec VPN Professional. Utilisation simple grâce à l'activation en un clic. VPN Professional : le meilleur VPN ! Débloquez n'importe quel site web et restez en sécurité avec VPN-free.proUtilisation facile avec activation en un clic. VPN-free.pro - Le meilleur VPN ! Débloquez tous les sites web et restez protégé avec Free Unlimited VPN. Utilisation simple grâce à son activation en un clic. Free Unlimited VPN : le meilleur VPN !
Soutien email [email protected] [email protected] [email protected]
Date de création 21 Sep 2019 09 mai 2020 21 Jul 2025
Dernière mise à jour 07 Jul 2024 14 février 2025 22 août 2025
Supprimé du magasin 21 mai 2025 (supprimé) 21 mai 2025 (supprimé) En magasin (non retiré)
Remarques Le partage prend en charge le domaine free-vpn.pro avec B ; retiré de la boutique. Le partage prend en charge le domaine free-vpn.pro avec A ; retiré de la boutique. Adresse électronique différente (Gmail) ; même formulation et style d'icône ; pas encore supprimée.

 

Alors qu'un VPN de navigateur légitime ne nécessite qu'un contrôle proxy avec une configuration généralement statique ou récupérée à partir d'une API bien connue et appartenant à la marque via HTTPS, l'analyse des extensions décrites a révélé des configurations contrôlées à distance, des mises à jour de code dynamiques et une interception complète de la navigation, permettant aux attaquants de rediriger, bloquer ou modifier silencieusement le trafic utilisateur et de changer le comportement de l'extension après son installation.

Analyse technique approfondie : ancienne version vs nouvelle version 

Ancienne version (parties suspectes notables)

Détournement de méthode

L'extension remplace String.prototype.trim pour supprimer les barres obliques inverses des chaînes décodées — utilisées pour désobfusquer silencieusement et suivre les URL distantes.

Récupération de la configuration à distance (fichier config.txt multi-URL)

L'extension récupère périodiquement une configuration multi-URL pour mettre à jour son comportement et ses charges utiles.

Installation PAC à distance

Cette extension configure un proxy Chrome via un script PAC téléchargé depuis une configuration distante. En installant un script PAC distant et en contrôlant les points de terminaison du proxy, un attaquant peut acheminer le trafic utilisateur via des serveurs qu'il contrôle, permettant ainsi une surveillance passive (journalisation), une injection active (modification HTML/JS), le vol d'identifiants ou le remplacement ciblé de contenu.

Interception de la navigation

L'extension enregistre un écouteur chrome.webRequest.onBeforeRequest pour " « Ciblant les requêtes du système principal, l'extension peut intercepter chaque chargement de page et rediriger les onglets vers les destinations définies dans sa configuration distante. »

Mises à jour dynamiques du DNR

L'extension utilise declarativeNetRequest.updateDynamicRules pour modifier le filtrage/routage à la volée.

falsification de l'historique

L'extension utilise history.replaceState("", "", 'https://${location.host}') pour supprimer les traces des URL de redirection d'origine.

Désinstallation pilotée par le serveur

L'extension déclenche une désinstallation automatique basée sur une vérification effectuée par un serveur distant (« Cloudflare »), utilisée pour contourner l'analyse ou le retrait ciblé. 

Vérification des autorisations et auto-suppression

 Dans le cas où L'autorisation ayant été supprimée, l'extension s'est désinstallée automatiquement.

persévérance des travailleurs de service

L'extension injecte un script keepalive dans les onglets pour maintenir le processus en arrière-plan actif (éviter les déchargements de MV3).

Messagerie prioritaire

 Cette extension envoie des messages à d'autres extensions pour obtenir la priorité sur la navigation.

Paramètres d'interface utilisateur factices

L'extension stocke le pays/la version/l'UID mais pas de véritable code de tunnel VPN local ; il s'agit probablement d'un choix cosmétique ou dépendant du serveur.

 

2025 la version

La nouvelle version, publiée le 21 juillet 2025, est nettement plus avancée et furtive que la précédente : elle supprime certains codes ouvertement suspects tout en ajoutant des mécanismes plus discrets, tels que l’activation différée du proxy, le téléchargement dynamique de code et la possibilité de désactiver d’autres extensions. De ce fait, elle est plus difficile à détecter tout en offrant un contrôle à distance encore plus étendu sur le navigateur et le trafic de l’utilisateur. Les éléments suspects les plus notables sont :

 

Récupération de configuration multi-URL à distance

Comme ses extensions de version précédente, celle-ci récupère également périodiquement une configuration multi-URL pour mettre à jour le comportement et les charges utiles.

 

Script PAC distant 

L'extension configure un proxy Chrome via un script PAC téléchargé depuis une configuration distante, qui achemine le trafic via les serveurs de l'attaquant. Cependant, dans les versions plus récentes, le script PAC introduit un délai de deux secondes avant son activation, probablement utilisé pour contourner le sandbox. De plus, la logique de routage du proxy, incluant les variables d'installation et de configuration, est téléchargée à l'exécution et exécutée dynamiquement.

Interception de la navigation

L'extension enregistre un écouteur chrome.webRequest.onBeforeRequest pour " « Ciblant les requêtes du système principal, l'extension peut intercepter chaque chargement de page et rediriger les onglets vers les destinations définies dans sa configuration distante. »

Mises à jour dynamiques du DNR

L'extension utilise declarativeNetRequest.updateDynamicRules pour modifier le filtrage/routage à la volée.

persévérance des travailleurs de service

L'extension injecte un script keepalive dans les onglets pour maintenir le processus en arrière-plan actif (éviter les déchargements de MV3).

Désactive les autres extensions de proxy 

L'extension recherche les autres extensions disposant d'autorisations de proxy et, le cas échéant, les désactive, accordant ainsi un contrôle exclusif du routage.

exfiltration

L'extension énumère les extensions installées et envoie une liste au serveur distant.

Hachage et téléchargement d'URL

L'extension hache les URL visitées et les envoie périodiquement au serveur de commande et de contrôle (C2) à des fins de profilage et de ciblage.

Risque et impact

  • Interception complète du traficEn installant un script PAC distant et en contrôlant les points de terminaison proxy, un attaquant peut acheminer le trafic utilisateur via des serveurs qu'il contrôle, permettant ainsi une surveillance passive (journalisation), une injection active (modification HTML/JS), le vol d'identifiants ou le remplacement ciblé de contenu.
  • Redirection sélective et furtiveGrâce aux mises à jour onBeforeRequest + DNR, l'opérateur peut rediriger les victimes vers des pages d'hameçonnage, des pages de téléchargement ciblées ou des fermes publicitaires, puis modifier ultérieurement le contenu sans interaction de l'utilisateur.
  • Télécommande persistante: La récupération du code/de la configuration d'exécution + les mises à jour DNR + l'injection keepalive permettent à l'opérateur de modifier le comportement de l'extension après l'installation, en contournant la vérification du magasin après la publication initiale.
  • Évasion des analyses et des traces: temporisation (direction du trafic pendant 2 secondes), history.replaceState, désinstallation dynamique en cas de détection. Toutes ces tactiques réduisent les preuves numériques et la détection en environnement isolé.
  • expansion de la surface d'attaque: la désactivation d'autres extensions de proxy ou l'énumération des extensions installées permet la désactivation ciblée des outils de défense.
  • Confidentialité et profilageLa collecte d'URL hachées, de listes d'extensions et potentiellement de cookies/jetons de session (s'ils sont transmis à des serveurs d'attaquants) constitue une grave violation de la vie privée et peut permettre des attaques ciblées ultérieures.

Conclusion

Ces extensions montrent avec quelle facilité un module complémentaire de navigateur de confiance peut évoluer en un système proxy contrôlé à distance : pendant six ans, deux extensions « VPN gratuit » presque identiques ont redirigé silencieusement le trafic, mis à jour leur comportement via des canaux de configuration cachés et exfiltré des données utilisateur avant d’être supprimées, pour qu’un troisième clone apparaisse deux mois plus tard, démontrant que même les outils commercialisés pour la protection de la vie privée peuvent devenir des instruments de surveillance durables lorsqu’ils bénéficient de larges autorisations et d’un contrôle minimal.

Il convient de mentionner que, lors de notre enquête, nous avons découvert six extensions supplémentaires, presque identiques. Cependant, celles-ci étaient bloqueurs de publicité et Téléchargeurs de musique.

COI

Identifiants des extensions - Extensions actives actuelles

  • fgpecemjbefkjlcgnhjohdonijdkfooj - actif - 30 000 utilisateurs (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc - 131 445 utilisateurs (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid - actif - 1 000 utilisateurs
  • hfofhoffdcfcjgmilkpnhkamcgemaban - 100 000 utilisateurs

Identifiants des anciennes extensions (désormais inactives) :

  • foiopecknacmiihiocgdjgbjokkpkohc - 5 000 utilisateurs
  • bibjcjfmgapbfoljiojpipaooddpkpai - 5 000 utilisateurs
  • ngahaphlngmdfhbhkplbglnfhehnpgdb - 5 000 utilisateurs 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk - 5 000 utilisateurs
  • anlhakiodmebohjmkbciohpglnjifjaa - 5 000 utilisateurs

Courriels/domaines d'assistance

Noms / marques

  • « VPN Professional - Extension Chrome VPN Proxy gratuite, sécurisée et illimitée »
  • « VPN-free.pro - VPN gratuit et illimité »
  • « VPN gratuit et illimité »
  • « VPN Professionnel - Proxy VPN gratuit et illimité »
  • « Bloqueur de publicités »
  • "OKmusic - télécharger de la musique et des vidéos pour les classiques | OK.ru Music Downloader"
  • « Nettoyeur de publicités pour Facebook »
  • « Numérotation rapide | Signets | Nouvel onglet | Accès rapide | Recherche personnalisée »
  • « Скачать музыку » (« Télécharger de la musique »)

 

 

Remédiation et atténuation

Actions immédiates pour les utilisateurs finaux :

  1. Désinstallez toute extension correspondant aux IOC ci-dessus.
  2. Effacez les cookies du navigateur, le stockage local et toutes les informations d'identification enregistrées qui auraient pu être capturées pendant que l'extension était active.
  3. Changez régulièrement les mots de passe de vos comptes sensibles (surtout si vous avez utilisé le navigateur pour vous connecter alors que l'extension était active).
  4. Effectuez une analyse anti-malware/anti-adware en local.

Actions de l'entreprise / du SOC :

  1. Bloquez les domaines de support et les hôtes C2 identifiés au niveau du périmètre réseau (DNS + proxy + pare-feu) pendant l'investigation.
  2. Interroger la télémétrie pour les installations d'extensions et les modifications de PAC (EDR/MDM : rechercher les modifications du registre ou des préférences utilisées pour définir les PAC).
  3. Révoquer les sessions des services critiques si du trafic a transité par les hôtes de l'attaquant.
  4. Avertir les utilisateurs et exiger, le cas échéant, la réinstallation des navigateurs ou la réinitialisation des profils pour les terminaux concernés.
  5. Signalez l'extension (ou les extensions) au Chrome Web Store en fournissant des IOC détaillés et des preuves à l'appui.