Des chercheurs en cybersécurité de Huntress ont identifié une campagne malveillante orchestrée par le groupe KongTuke. L’attaque repose sur une extension pour Chrome et Edge, NexShield, qui usurpe l’identité de uBlock Origin Lite. Elle fait intentionnellement planter le navigateur pour ensuite proposer une solution de réparation.
Une technique d’ingénierie sociale CrashFix
L’extension NexShield, une fois installée, n’agit pas immédiatement afin de ne pas éveiller les soupçons. Elle attend une heure avant de déclencher sa charge utile, avec une attaque par déni de service dirigée contre le navigateur de la victime.
L’extension » crée des connexions de port ‘ chrome.runtime ‘ dans une boucle infinie « , épuisant rapidement les ressources système. Cette consommation excessive de ressources entraîne le gel des onglets et le blocage complet du navigateur, forçant l’utilisateur à le fermer.
Au redémarrage, une fenêtre pop-up apparaît, affichant une fausse alerte de sécurité. Elle prétend que le navigateur a cessé de fonctionner de manière anormale et propose un soi-disant scan pour corriger le problème.
Quel est le but de cette attaque ?
L’objectif de KongTuke est de pousser la victime à exécuter des commandes malveillantes.
La prétendue fenêtre de réparation demande à l’utilisateur d’ouvrir l’invite de commandes Windows et d’y coller une instruction qui a été secrètement copiée dans le presse-papiers par l’extension. Cette commande déclenche l’exécution d’un script PowerShell obfusqué qui télécharge la charge utile finale.
Les attaquants font une distinction entre leurs cibles. Pour les machines connectées à un domaine d’entreprise, ils déploient ModeloRAT, un cheval de Troie d’accès à distance (RAT). Pour les particuliers, la charge utile finale semble par contre encore en développement.
Pourquoi les entreprises sont-elles la cible prioritaire ?
Le déploiement sélectif de ModeloRAT uniquement sur les postes de travail intégrés à un domaine d’entreprise révèle la stratégie de KongTuke.
Ces environnements sont plus lucratifs pour les cybercriminels, car un seul point d’entrée peut leur donner accès à l’Active Directory, à des ressources internes et à des données sensibles, ouvrant la voie à des mouvements latéraux au sein du réseau.
Les utilisateurs ayant installé NexShield sont invités à nettoyer leur système en profondeur, parce que la simple désinstallation de l’extension ne suffit pas à supprimer les malwares.