Alors, Meta, on a du mal à contrôler l'authenticité de ses annonceurs ?
Si vous utilisez Bitwarden et Facebook, prudence. Une nouvelle campagne active de malvertising circule en ce moment sur le réseau social et cache bien son jeu. Repérées en début de mois par les équipes de Bitdefender Labs, de vraies publicités pour un faux Bitwarden fleurissent pour vous pousser à mettre à jour votre gestionnaire de mots de passe. Derrière, une entourloupe classique d’intrusion sur la machine et de vols de données privées transmises à un serveur distant.
Une attaque technique, mais bien ficelée
Les usurpations d’identité ne concernent pas que les particuliers, et Bitwarden en fait les frais depuis le 3 novembre dernier. Selon les observations de Bitdefender, une campagne d’annonces malicieuses cible actuellement les 18-65 ans sur Facebook et les enjoint à effectuer une mise à jour de sécurité du gestionnaire de mots de passe.
Dans les faits, le processus est plutôt bien réalisé. Les publicités semblent légitimes, le message d’alerte suscite une urgence à laquelle il est difficile de résister – « Attention : vos mots de passe sont en danger ! ». Mais quelques indices trahissent déjà les mauvaises intentions des annonceurs frauduleux. L’utilisation non justifiée de majuscules à chaque début de mot dans la phrase, pour commencer, mais surtout la nature du lien associé au téléchargement. Non seulement il semble renvoyer vers une extension Chrome, mais en plus l’URL du Chrome Web Store est ouvertement fallacieuse.
Malgré tout, la diversité des tranches d’âges et des profils ciblés suffit à penser que de nombreux internautes pourraient tomber dans le panneau. Derrière le lien vérolé, une fausse page du Chrome Web Store, parfaitement exécutée, invitant les utilisateurs et utilisatrices piégés à ajouter la fausse extension Bitwarden à leur navigateur.
L’installation du plugin génère le téléchargement d’un fichier ZIP hébergé sur Google Drive, que les victimes sont invitées à décompresser et installer en suivant des instructions précises : activation du mode développeur dans Chrome, chargement manuel de l’extension désarchivée.
Une fois installée, l’extension demande des autorisations étendues pour pouvoir intercepter et manipuler les activités en ligne des internautes. Et tout, ou presque, y passe : cookies Facebook, y compris le c_user contenant l’identifiant de l’utilisateur, adresse IP, géolocalisation, informations personnelles relatives au compte (identifiant et nom d’utilisateur), informations de carte de crédit et de facturation associées aux comptes publicitaires. Le tout est envoyé vers une URL Google Script qui fait office de serveur de commande et de contrôle (C2).
Conseils pour ne plus se faire avoir
Alors bien évidemment, cette campagne de malvertising n’est ni la première, ni la dernière de ce type. À toutes fins utiles, on rappellera qu’il vaut mieux éviter de cliquer sur des publicités ciblées diffusées sur les réseaux sociaux, à plus forte raison quand elles concernent des services aussi sensibles que des gestionnaires de mots de passe.
Gardez aussi toujours à l’esprit que les mises à jour d’extension doivent directement se faire depuis les stores de plugins officiels ou les sites web des éditeurs, et non depuis des annonces en ligne. Si jamais vous préférez jouer avec le feu, contrôlez toujours la composition de l’URL.
Lorsque vous installez une extension, tout le processus est automatisé par le navigateur. Si l’on vous demande de télécharger et d’exécuter un fichier indépendant en bidouillant les paramètres du navigateur, ce n’est plus une anguille sous roche, mais une baleine sous gravillon.
De manière générale, et ce même pour les extensions téléchargées via les stores officiels, contrôlez les autorisations demandées. Un module qui souhaite accéder à vos cookies, aux requêtes réseau ou à toutes les données d’un site web doit éveiller vos soupçons.
Une bonne protection intégrée au système, doublée d’un antivirus capable d’identifier les comportements malveillants dans le navigateur, peut enfin vous épargner bien des déconvenues.
Source : Bitdefender Labs
01 décembre 2024 à 11h06
29 novembre 2024 à 08h50