Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Failles dans l’éditeur Cursor : des dépôts malveillants peuvent déclencher du code silencieusement
Extensions malveillantes « Madgicx Plus » et « SocialMetrics » : prise de contrôle ciblée des comptes Meta Business
SessionReaper (CVE-2025-54236) : vulnérabilité critique dans Adobe Commerce et Magento Open Source

Extensions malveillantes « Madgicx Plus » et « SocialMetrics » : prise de contrôle ciblée des comptes Meta Business

Des chercheurs en cybersécurité ont dévoilé deux campagnes distinctes utilisant des extensions de navigateur frauduleuses pour détourner les comptes professionnels Meta. Ces malwares sont distribués via des publicités malveillantes et des sites factices, et visent notamment à voler des informations sensibles, des jetons de session, et à prendre le contrôle des comptes d’annonceurs Facebook/Instagram.
(bitdefender) The Hacker News

Mode opératoire des attaques

  1. Publicités malveillantes et tutoriels vidéo
    Les campagnes démarrent par des annonces en ligne supposées promouvoir des services attrayants, comme l’obtention du badge de vérification « bleu » (Meta Verified) ou l’amélioration de la performance des annonces. Un tutoriel vidéo incite l’utilisateur à télécharger une extension de navigateur, tel que SocialMetrics Pro. The Hacker News

  2. Hébergement via des services légitimes
    Pour donner une apparence de crédibilité, ces extensions sont hébergées sur des plateformes de confiance (par exemple Box). Cela contribue à tromper les utilisateurs et les générations d’alerte automatique de sécurité. The Hacker News

  3. Vol de cookies et usurpation de session
    Une fois l’extension installée, elle peut accéder aux cookies de session Facebook, puis les envoyer à un bot Telegram contrôlé par les attaquants. Certains variants exploitent également l’API Graph de Facebook pour extraire des données supplémentaires liées aux comptes compromis. The Hacker News

  4. Extension du périmètre d’attaque
    Parallèlement, une autre campagne cible les annonceurs Meta via des plateformes factices se présentant comme des outils d’optimisation publicitaire basés sur l’IA, sous le nom de Madgicx Plus. Ces extensions malveillantes affichent des fonctionnalités prétendues utiles, mais servent en réalité à compromettre les comptes business, voler des identifiants, des jetons d’accès, etc. The Hacker News

Extensions compromises identifiées

Voici quelques extensions observées dans ces campagnes, avec leur nombre d’installations :

Nom de l’extensionDate de publicationInstallations
Madgicx Plus – The SuperApp for Meta AdvertisersFévrier 2025~28 The Hacker News
Meta Ads SuperToolMars 2025~11 The Hacker News
Madgicx X Ads – The SuperApp for Meta AdvertisersMars 2025~3 The Hacker News

Bien que le nombre d’installations semble modeste pour certaines, l’impact demeure élevé puisque les utilisateurs ciblés sont des annonceurs Meta Business, dont les comptes ont une forte valeur.

Objectifs et conséquences attendus

  • Vente de comptes compromis : les comptes Meta Business récupérés via ces malwares sont revendues sur les forums clandestins ou utilisés pour d’autres campagnes frauduleuses. The Hacker News

  • Réseau malvertising étendu : les comptes volés peuvent appuyer de nouvelles annonces malveillantes ou amplifiées, perpétuant une boucle de compromission et de fraude publicitaire. The Hacker News

  • Collecte d’informations d’identité : les extensions poussent les utilisateurs à lier leurs comptes Google ou Facebook pour accéder aux « fonctionnalités promises », ce qui permet de récolter plus de données personnelles ou de compte. The Hacker News

Profil des attaquants et indicateurs spécifiques

  • Ces campagnes présentent des indices linguistiques suggérant qu’elles seraient orchestrées par des acteurs parlant vietnamien : tutoriels en vietnamien, commentaires dans le code source, etc. The Hacker News

  • On observe aussi une approche industrielle du malvertising : génération de nombreux liens, tutoriels, publicités, renouvellement fréquent des campagnes. The Hacker News

Recommandations de sécurité

Pour se prémunir contre ce type d’attaque, voici des mesures conseillées :

  • Ne jamais installer d’extension navigateur promettant des fonctionnalités trop belles pour être vraies (badge de vérification, augmentation automatique de performance publicitaire, etc.) sans vérifier sa crédibilité.

  • Vérifier les permissions demandées par l’extension, notamment celles qui permettent d’accéder aux cookies de session ou à tous les sites visités.

  • Surveiller l’activité de vos comptes Meta Business : logs, sessions actives, changements d’IP suspects.

  • Utiliser des outils de sécurité (antivirus, pare-feux, extensions de sécurité) capables de détecter les extensions malveillantes ou les abus de permissions.

  • Maintenance et audit régulier pour supprimer les extensions non essentielles ou peu utilisées, et tenir les navigateurs à jour.

Conclusion

Ces campagnes montrent que les extensions de navigateur restent un vecteur puissant de compromission des comptes à forte valeur, comme les comptes Meta Business. Les attaquants utilisent non seulement des astuces de distribution (malvertising, plateformes légitimes, faux outils), mais aussi des techniques de vol de session et usurpation. La clé est la vigilance — tant du côté des utilisateurs que de celui des équipes sécurité — et la mise en place de contrôles rigoureux des extensions et permissions.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.