L’extension du navigateur Chrome ‘SearchBlox’, installée par plus de 200 000 joueurs, s’est avérée contenir une backdoor permettant de voler les informations d’identification et les actifs des joueurs de Roblox.
Le site BleepingComputer a pu analyser le code source de l’extension et a confirmé la présence d’une backdoor, introduite intentionnellement par le développeur ou par un pirate informatique.
L’extension Chrome cible les joueurs de Roblox
Les extensions ‘SearchBlox’ trouvées sur le Chrome Web Store semblent être compromises, a observé BleepingCompuer.
Il existe à ce jour deux extensions nommées ‘SearchBlox’ sur le Chrome store. Ces extensions proposent de réaliser des recherches ultra-rapides sur les serveurs Roblox. Or, ces ceux extensions sont en réalité des malwares.
Les identifiants de ces extensions dangereuses sont :
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
La semaine dernière, des soupçons ont surgi parmi les membres de la communauté Roblox.
⚠️ WARNING ⚠️
Popular plug-in SearchBlox has been COMPROMISED / BACKDOORED – if you have it, your account may be at risk. Please change your passwords IF YOU HAVE IT – and credentials, so that way your account is secure again. pic.twitter.com/DVQpiZ9Pr0
— RTC (@Roblox_RTC) November 23, 2022
Après analyse de la première extension ( blddohgncmehcepnokognejaaahehncd ) téléchargée par plus de 200 000 utilisateurs, la porte dérobée apparaît être à la ligne 3 du fichier ‘content.js :
Pour la deuxième extension ( ccjalhebkdogpobnbdhfpincfeohonni ) avec seulement 959 téléchargements, la porte dérobée résidait dans le fichier ‘button.js.
L’URL incriminée dans les deux cas est : hxxps://searchblox [. ] site/image.png/image.txt
Loin d’être la première fois
Il semble que ce ne soit pas la première fois qu’une extension malveillante nommée «SearchBlox» cible les utilisateurs de Roblox.
En octobre, Google aurait a supprimé un autre «SearchBlox» présent sur le Chrome Web Store depuis le 28 juin 2022.
Il n’est pas encore clairement établi que la porte dérobée ait été injectée dans l’extension par un pirate isolé ou introduite intentionnellement par le développeur ..
Certains membres de la communauté Roblox [1, 2, 3, 4] ont remarqué que l’inventaire du compte ‘Unstoppablelucent’, identifié comme étant le développeur de l’extension, aurait été multiplié du jour au lendemain.
After around a year or so with the plugin being up, he decided that it would be time to put malicious code into the plugin after 200k+ users have downloaded it and try to hack into as many accounts as he could.
— Utiba (@UtibaOfficial) November 23, 2022
Autant dire que toute personne qui a installé ‘SearchBlox’ devrait supprimer l’extension immédiatement, effacer ses cookies et changer ses mots de passe sur Roblox ou sur d’autres sites Web auxquels ils se sont connectés pendant que l’extension était utilisée.
BleepingComputer a informé Google de la présence de ces extensions malveillantes sur le Chrome Store. Un porte-parole de Google a confirmé plus tard que ces extensions avaient été supprimées et seraient automatiquement supprimées des PC sur lesquelles elles avaient été installées.
Source : Bleeping Computer
