Un chercheur en cybersécurité a découvert une extension Google Chrome malveillante dans la nature en abusant du processus de synchronisation Chrome qui peut aider les pirates à voler les données des utilisateurs. Les pirates peuvent utiliser la fonction de synchronisation de Google Chrome pour envoyer des commandes aux navigateurs infectés et voler les données des systèmes infectés, en contournant les pare-feu traditionnels et autres défenses réseau.

Le chercheur en sécurité croate Bojan Zdrnja a trouvé une extension Chrome malveillante qui peut communiquer avec un serveur de commande et de contrôle à distance (C&C) et comme moyen d’exfiltrer les données des navigateurs infectés, rapporte ZDNet. La synchronisation Chrome est une fonctionnalité du navigateur Web Chrome qui stocke des copies des signets Chrome, de l’historique de navigation, des mots de passe et des paramètres du navigateur et des extensions d’un utilisateur sur les serveurs cloud de Google.

Selon Zdrnja, l’objectif était d’utiliser l’extension pour « manipuler des données dans une application Web interne à laquelle la victime avait accès ». « Bien qu’ils voulaient également étendre leur accès, ils ont en fait limité les activités sur ce poste de travail à celles liées aux applications Web, ce qui explique pourquoi ils n’ont abandonné que l’extension Chrome malveillante, et pas d’autres binaires », a déclaré Zdrnja dans le rapport.

La base de cette attaque était des extensions malveillantes que l’attaquant avait déposées sur le système compromis. « Désormais, les extensions malveillantes n’ont rien de nouveau – il y a eu de nombreuses analyses sur ces extensions et Google en supprime régulièrement des dizaines du Chrome Web Store, qui est l’endroit où aller pour télécharger des extensions », a déclaré le chercheur en sécurité.