Les cyberattaques ne cessent de se multiplier et Google Chrome n’est pas épargné. Récemment, le gang de ransomware Qilin a orchestré une vaste opération de vol de données via une extension malveillante. Cette dernière vise surtout les informations d’identification stockées dans le célèbre navigateur Chrome. Détenant environ 75 % du marché, Chrome est une cible de choix pour les pirates informatiques, notamment ceux qui se spécialisent dans l’extorsion. Cette attaque met en lumière la nécessité de renforcer la sécurité des logiciels de navigation web et les dangers liés à l’utilisation imprudente des plugins.
Le gang de ransomware Qilin et ses méthodes
Connu pour ses méthodes agressives, le gang Qilin s’est fait un nom dans le paysage de la cybercriminalité. En service depuis deux ans, cette organisation se focalise sur les attaques de double extorsion. Le mode opératoire du groupe est simple, mais redoutablement efficace.
En plus de chiffrer les données des victimes, les hackers volent aussi des renseignements sensibles. Une fois exfiltrées, ces datas sont utilisées pour menacer et demander une rançon. Dans le cas de l’attaque du laboratoire Synnovis à Londres, Qilin a pénétré le système en exploitant des failles de sécurité. Après avoir contourné un VPN mal protégé, il a réussi à accéder aux informations d’identification sauvegardées dans Chrome.
Chrome, une cible de choix pour les pirates informatiques
Vu que Chrome est le navigateur le plus utilisé par les internautes, il est dans la ligne de mire de nombreux cybercriminels. Selon des experts au sein de la société Sohpos, le vol massif à partir d’une extension sur Chrome est le principal point faible de l’application. Pour rappel, le navigateur permet aux utilisateurs d’enregistrer leurs identifiants et mots de passe sur la plateforme. Même si cette fonctionnalité est pratique, elle facilite la tâche des hackers. Ces derniers ont donc collecté des centaines de comptes personnels en une seule attaque sur un grand réseau.
Comment se déroule l’attaque ?
En juin 2024, les pirates ont obtenu un accès initial au réseau informatique de la société Synnovis via des identifiants VPN compromis. Profitant de l’absence de la double authentification, ils ont pu se déplacer latéralement dans le système durant plus de 15 jours sans être détectés.
Une fois à l’intérieur, ils ont dérobé le contrôleur de domaine et y ont déployé un script malveillant qui extrait les données dans Google Chrome. Cela a ainsi permis à Qilin de rassembler une montagne de data précieux, en particulier des logins utilisés sur divers sites tiers. Cette intrusion a été suivie du déploiement d’un ransomware qui bloque l’accès aux fichiers critiques du laboratoire.
Les dangers d’une extension malveillante sur Chrome
Suite à cette cyberattaque de Synnovis, les spécialistes ont compris les dangers liés à l’installation d’extensions non sécurisées sur Chrome. Bien que ces plugins améliorent l’expérience utilisateur, ils peuvent devenir un vecteur de piratage informatique lorsqu’ils ne sont pas vérifiés.
Étant donné que cet outil fonctionne en arrière-plan, personne ne se rend compte de son activité. Afin de se protéger de ces types de menaces, il est crucial d’installer un antivirus et de mettre en œuvre l’authentification à deux facteurs. En ce qui concerne la gestion des mots de passe, le mieux est d’utiliser un gestionnaire plus sécurisé.