Les cybercriminels volent des données Gmail via Chrome et Microsoft Edge

Un groupe de cybercriminels utilise une extension compatible avec les navigateurs Google Chrome , Microsoft Edge et Brave pour voler des informations dans les e-mails, selon des rapports d'institutions gouvernementales allemandes et sud-coréennes.

Selon l'Office fédéral allemand pour la protection de la Constitution (BfV) et le Service national de renseignement de la République de Corée du Sud (NIS), identifié le programme auquel ils se réfèrent sous le nom « AF », serait axé sur une opération d' espionnage auquel certains hauts fonctionnaires de différents gouvernements du monde pourraient être vulnérables.

Selon le document, ces types de personnes seraient les principales cibles de ces attaques.

Comment fonctionne l'extension "AF"

La cyberattaque commence par un e-mail de phishing qui arrive dans la boîte de réception avec des liens malveillants qui redirigent les utilisateurs vers des sites Web où ils sont invités à télécharger et à installer des extensions pour leurs navigateurs.

Après avoir terminé ce processus, la victime pourrait démarrer sa session dans le service Gmail , ce qui déclencherait l'activation de l'extension malveillante, dont la mission est de voler tout le contenu disponible dans les e-mails et de les envoyer dans un endroit sûr où ils n'ont accès qu'à par le cybercriminel et ses complices.

Cette méthodologie pour exécuter des cyberattaques peut être dirigée vers les téléphones portables puisque les applications peuvent être installées à distance sur ces appareils.

Les criminels initient leur intervention via un e-mail de phishing qui a accès aux fonctionnalités de Google Play Store telles que la synchronisation des appareils.

En exécutant cette fonction, le cybercriminel indiquera au système de la boutique d'applications qu'un programme supplémentaire sera installé, mais qu'il s'agit en fait d' un logiciel malveillant qui a un objectif similaire à l'exemple mentionné ci-dessus : voler les données de l'appareil et le courrier électronique.

Les utilisateurs peuvent ne pas réaliser que ces nouveaux programmes sont installés sur leurs appareils car ces tâches s'exécutent en arrière-plan et ne sont disponibles que si le système du téléphone est recherché.

C'est pourquoi les institutions chargées de réaliser le rapport indiquent qu'il convient de procéder à un examen approfondi des applications présentes sur le téléphone portable pour confirmer que toutes celles qui font partie de la liste sont connues.

Bien que ce type de cyberattaque serait dédié à l'extraction d'informations sensibles auprès de certaines autorités, il n'est pas improbable qu'il puisse être utilisé dans le cadre d'une campagne de cyberattaque susceptible d'affecter davantage de personnes.

Des mesures de prévention

C'est pourquoi, pour éviter ces violations de la sécurité et de la confidentialité des comptes, il est recommandé de suivre certaines ou toutes les options :

- Vérifiez soigneusement que la page Web a été consultée via un lien envoyé par courrier. Ceux promus par les cybercriminels peuvent présenter certaines différences, comme une mauvaise orthographe ou le remplacement de certaines lettres par d'autres pour semer la confusion chez les utilisateurs (goog1e au lieu de google).

- L'activation d'une méthode de vérification d'identité est également recommandée. Cela peut se faire par SMS (bien que ce ne soit pas complètement sécurisé car des applications malveillantes pourraient également accéder aux textes envoyés), ainsi qu'en utilisant une application d'authentification telle que Google Authenticator, qui émet des clés dynamiques pour valider cet accès à l'appareil ou à une plateforme spécifique .

- En cas d'installation d'applications , il est recommandé de ne pas le faire à partir de plateformes non sécurisées ou de crédibilité douteuse. Ceux-ci pourraient en fait être des logiciels malveillants .