Un nouveau malware russe s’attaque à Chrome. Ce logiciel malveillant, baptisé Stanley, est capable de piéger les utilisateurs les plus prudents. Le virus cherche à voler vos identifiants et mots de passe.
Les chercheurs de Varonis ont découvert un nouveau malware russe sur Internet. Le logiciel malveillant est massivement vendu dans le cadre d’un abonnement de type « malware-as-a-service » sur des forums cybercriminels russophones depuis quelques semaines. Moyennant le paiement d’un abonnement dont le prix varie entre 2 000 et 6 000 dollars, n’importe quel hacker peut avoir accès au kit qui permet d’exploiter le malware. Varonis l’a baptisé Stanley, d’après le pseudonyme du vendeur sur la plateforme criminelle. Les chercheurs le décrivent comme « une solution clé en main pour le vol d’identifiants ».
À lire aussi : Chrome n’arrête pas de planter ? Une extension malveillante est peut-être en train de vous pirater
Une extension Chrome capable de berner Google
Il se présente comme une extension Chrome légitime baptisée « Notely ». Comme son nom l’indique, il s’agit d’une extension de prise de notes. Les développeurs à l’origine du malware assurent que la fausse extension est capable de contourner les mécanismes de sécurité du Chrome Web Store. L’extension frauduleuse peut donc se retrouver disponible au téléchargement sur la boutique, aux côtés d’autres extensions Chrome légitimes, approuvées par Google.
Comme c’est souvent le cas, les pirates russes s’appuient sur le système de mises à jour pour berner Google. Les développeurs vont d’abord soumettre une version propre de l’extension. Cette version inoffensive va passer sous les radars. Ensuite, ils vont déployer une mise à jour malveillante de l’extension qui ajoute le malware Stanley. Les mises à jour d’extensions se font en grande partie en arrière‑plan et de manière automatique, ce qui permet de duper Google.
À lire aussi : Désinstallez vite ces 17 extensions Chrome, Edge et Firefox, ce sont des mouchards chinois
Le mode opératoire de Stanley
Une fois l’extension installée, le malware va s’activer dès qu’une page web est chargée sur le navigateur. Le virus va surveiller en permanence les sites visités par l’internaute. Le logiciel ne passera à l’action que lorsqu’un site considéré comme intéressant est repéré, comme celui d’une banque ou d’une messagerie. La liste des sites ciblés est déterminée à distance par les cybercriminels par le biais d’un panneau de contrôle.
Stanley va alors intercepter le chargement de la page web. Concrètement, le virus va empêcher Chrome d’afficher la véritable page web que l’internaute souhaite consulter. En lieu et place du site légitime, le malware va obliger Chrome à afficher en plein écran un faux site hébergé par les attaquants.
Cerise sur le gâteau, les pirates prennent soin de ne pas modifier l’adresse URL. De facto, l’internaute est persuadé de se trouver sur le bon site, car l’URL visible dans la barre d’adresses de Chrome est la bonne. Rassurée par l’URL, la victime est susceptible de vouloir se connecter à son compte. Il va alors fournir ses identifiants et ses mots de passe. Ces informations sont alors récupérées par les cybercriminels. Les pirates vont pouvoir s’en servir pour se connecter au compte à la place de l’internaute. Dans le cadre d’une attaque contre les banques, les hackers vont pouvoir réaliser des virements frauduleux. Notez que Stanley est aussi taillé pour s’en prendre à des plateformes crypto, comme Binance et Coinbase.
Des données volées toutes les 10 secondes
Les chercheurs expliquent que l’extension envoie aussi en continu des informations sur chaque victime aux cybercriminels. Parmi les données exfiltrées en permanence, on trouve l’adresse IP, le statut en ligne et la dernière période d’activité. L’extension envoie automatiquement, toutes les 10 secondes, un petit rapport au serveur des pirates. Ces informations permettent aux pirates de déterminer le moment idéal pour passer à l’action. Avec ces données, les cybercriminels gardent aussi une liste complète de leurs victimes à portée de main.
Des cyberattaques plus agressives sur Chrome
Pour Varonis, le virus Stanley illustre le fait que « les attaques sur navigateur sont entrées dans une nouvelle phase, plus agressive, plus coordonnée et plus dangereuse » en l’espace de quelques mois. L’outil a déjà compromis des milliers d’utilisateurs dans le monde et devrait continuer à faire des ravages. Pour éviter de tomber dans le piège tendu par Stanley, on vous recommande de limiter le nombre d’extensions installées sur Chrome. Ne gardez que celles dont vous avez vraiment besoin sur votre navigateur. Par exemple, on se cantonne à deux ou trois extensions.
« Moins vous avez d’extensions, plus votre surface d’attaque est réduite », souligne Varonis dans son rapport, ajoutant que « les extensions de navigateur malveillantes constituent désormais un vecteur d’attaque majeur ».
Avant d’installer une extension sur Chrome, vérifiez toujours qui en est l’éditeur et fuyez celles qui réclament des permissions disproportionnées, comme le droit de « lire et modifier toutes vos données sur tous les sites Web ». Enfin, si une extension change soudainement de comportement, et affiche des pubs ou des redirections, on vous encourage à la désinstaller. C’est souvent le signe qu’une mise à jour silencieuse, et potentiellement malveillante, a été déployée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.