Récemment, les utilisateurs de la communauté cryptographique ont subi d'importantes pertes de propriété en raison du téléchargement de l'extension malveillante Chrome Aggr, qui a attiré une large attention. Afin d'aider les utilisateurs à mieux comprendre les risques liés aux extensions de navigateur et à améliorer leurs propres capacités de protection de sécurité, l'équipe de sécurité SlowMist 23pds a analysé en détail le fonctionnement de cette extension malveillante et a fourni des suggestions de sécurité pratiques.

(Pour plus de détails, veuillez consulter l'article original : Slow Mist : l'extension malveillante Chrome a volé des millions de dollars pour résoudre le mystère)

L'avertissement de la communauté attire l'attention

Le 3 juin 2024, l'utilisateur de Twitter @CryptoNakamao a publié un article sur son expérience de vol d'un million de dollars en raison du téléchargement de l'extension malveillante Chrome Aggr. Cet incident a rapidement suscité de larges discussions au sein de la communauté crypto, les utilisateurs exprimant leurs inquiétudes quant aux risques d’expansion et à la sécurité de leurs actifs cryptographiques.

(Le logiciel d'extension de Google a causé des problèmes ! Le million de dollars qui a disparu du compte Binance sera difficile à récupérer même si vous restez assis)

Analyse par l'équipe de sécurité SlowMist

Dès le 31 mai, l'équipe de sécurité de SlowMist a publié un rapport d'analyse détaillé sur l'expansion d'Aggr, révélant ses méthodes maléfiques. Cet article aide les utilisateurs à comprendre les connaissances de base et les risques potentiels des extensions Chrome à travers six questions et réponses, et fournit des suggestions de contre-mesures.

1. Que sont les extensions Chrome ?

Les extensions Chrome sont des plug-ins conçus pour le navigateur Google qui étendent les fonctionnalités et le comportement du navigateur. Ils sont généralement construits avec des technologies Web telles que HTML, CSS et JavaScript. Les principales parties comprennent :

– Manifest.json : fichier de configuration étendu qui définit les informations de base.

– Script d'arrière-plan : gère les tâches en arrière-plan.

– Scripts de contenu : interagissez avec les pages Web.

– Interface utilisateur : comme les boutons de la barre d’outils, les fenêtres contextuelles, etc.

2. À quoi sert l'extension Chrome ?

Les extensions Chrome servent à diverses fins, notamment :

– Blocage des publicités : améliorez la vitesse de chargement des pages Web et l’expérience utilisateur, comme AdBlock.

– Confidentialité et sécurité : améliorez la confidentialité et la sécurité des utilisateurs comme Privacy Badger.

– Outils de productivité : augmentez votre productivité, comme Todoist.

– Outils de développement : fournit des outils de débogage et de développement, tels que les outils de développement React.

– Médias sociaux et communications : notifications pratiques sur les réseaux sociaux comme Grammarly.

– Personnalisation de la page Web : personnalisez l'apparence et le comportement de la page Web, par exemple Élégant.

– Automatiser les tâches : aide à automatiser les tâches répétitives comme les iMacros.

– Traduction linguistique : traduisez du contenu Web en temps réel, comme Google Translate.

– Assistance crypto-monnaie : Facilite le trading de crypto-monnaie, comme MetaMask.

3. De quelles autorisations dispose l'extension Chrome une fois installée ?

Les extensions Chrome peuvent demander les autorisations suivantes :

– <all_urls> : accédez à tout le contenu du site Web.

– onglets : accédez aux informations des onglets du navigateur.

– activeTab : accédez temporairement à l’onglet actuellement actif.

– stockage : utilisez l’API de stockage de Chrome.

– Cookies : accédez et modifiez les cookies dans votre navigateur.

– webRequest : intercepter et modifier les requêtes réseau.

– favoris : accéder et modifier les favoris du navigateur.

– historique : accéder et modifier l’historique du navigateur.

– notifications : afficher les notifications du bureau.

– contextMenus : ajoutez des éléments de menu personnalisés.

– géolocalisation : accéder aux informations de localisation géographique de l’utilisateur.

– clipboardRead et clipboardWrite : lisent et écrivent le contenu du presse-papiers.

– téléchargements : gérer les téléchargements.

– gestion : Gérer d’autres extensions et applications.

– en arrière-plan : exécutez des tâches en arrière-plan.

– webNavigation : surveillez et modifiez le comportement de navigation du navigateur.

Bien que ces autorisations offrent des fonctionnalités puissantes, elles peuvent également potentiellement accéder aux données sensibles d'un utilisateur.

4. Pourquoi les extensions Chrome malveillantes peuvent-elles voler les autorisations des utilisateurs ?

Les extensions malveillantes utilisent les autorisations demandées pour voler les informations utilisateur et les données d'authentification. Les méthodes spécifiques incluent :

– Demander des autorisations larges : telles que l’accès à tous les sites, lire et modifier les balises, accéder au stockage, etc.

– Manipuler les requêtes réseau : intercepter et modifier les requêtes réseau et voler les informations d’authentification.

– Lire et écrire le contenu de la page : lire et modifier les données de la page via le code intégré.

– Accéder au stockage du navigateur : accédez aux données locales contenant des informations sensibles.

– Manipuler le presse-papiers : lire et falsifier les informations copiées et collées par l’utilisateur.

– Faire semblant d’être un site Web légitime : inciter les utilisateurs à saisir des informations sensibles.

– Fonctionnement en arrière-plan à long terme : surveillez en permanence les activités des utilisateurs et collectez des données.

– Téléchargement opérationnel : télécharger et exécuter des fichiers malveillants, menaçant la sécurité du système.

5. Comment les extensions malveillantes volent-elles les droits et les fonds des utilisateurs ?

L'extension malveillante Aggr profite d'un large éventail d'autorisations (telles que les cookies, les onglets, <all_urls>, le stockage) pour voler les autorisations et les fonds des utilisateurs des manières suivantes :

– Simulez la connexion de l’utilisateur au compte de la plateforme de trading.

– Transactions et transferts de fonds sans consentement.

– Accéder et collecter des informations sensibles.

– Modifiez les paramètres du compte et contrôlez les comptes d’utilisateurs.

– Mener des attaques d’ingénierie sociale pour obtenir davantage d’informations sensibles.

6. Que peut faire une extension malveillante après avoir volé des cookies ?

Des extensions malveillantes peuvent utiliser des cookies volés pour :

– Accéder aux informations du compte.

– Effectuer des transactions non autorisées.

– Contournez la vérification en 2 étapes et retirez des fonds.

– Accéder et collecter des informations sensibles.

– Modifier les paramètres du compte.

– Usurpation d’identité d’utilisateur pour mener des attaques d’ingénierie sociale.

Réponses

Contre-mesures pour les utilisateurs individuels

– Augmenter la sensibilisation à la sécurité personnelle : rester sceptique.

– Installez uniquement des extensions provenant de sources fiables : lisez les avis des utilisateurs et les demandes d’autorisation.

– Utilisez un environnement de navigateur sécurisé : évitez d’installer des extensions provenant de sources inconnues.

– Vérifiez régulièrement l’activité du compte : agissez immédiatement si vous remarquez un comportement suspect.

– Utilisez des portefeuilles matériels : stockez de grandes quantités d’actifs.

– Paramètres du navigateur et outils de sécurité : réduisez le risque d’extensions malveillantes.

– Utilisez un logiciel de sécurité : détectez et prévenez les logiciels malveillants.

Suggestions de contrôle des risques pour la plateforme

– Appliquer l’utilisation de l’authentification à deux facteurs (2FA) : assurez la sécurité des comptes d’utilisateurs.

– Gestion et sécurité des sessions : gérez les appareils connectés et mettez en œuvre des politiques d’expiration de session.

– Renforcez les paramètres de sécurité du compte : envoyez des notifications de sécurité et fournissez des fonctions de gel de compte.

– Renforcer les systèmes de surveillance et de contrôle des risques : surveiller le comportement des utilisateurs et identifier les transactions anormales.

– Fournir aux utilisateurs une formation et des outils en matière de sécurité : vulgariser les connaissances en matière de sécurité et fournir des outils de sécurité officiels.

La sécurité et les activités commerciales doivent être équilibrées. Tout en protégeant la sécurité des comptes et des actifs des utilisateurs, les plateformes doivent également prendre en compte l'expérience utilisateur. L'équipe de sécurité de SlowMist recommande aux utilisateurs de se demander si c'est sécuritaire avant d'installer un logiciel ou des plug-ins pour éviter que des histoires ne se transforment en accidents. Pour plus de connaissances sur la sécurité, veuillez lire le « Manuel d'auto-sauvetage Blockchain Dark Forest » produit par SlowMist.

Cet article, Information Security Company Slow Mist révèle : La vérité sur le logiciel d’extension malveillant de Chrome qui vole des millions de dollars, paru pour la première fois sur Chain News ABMedia.