Dans un rapport publié le 21 novembre dernier, les chercheurs en sécurité de chez Avast pointent du doigt une nouvelle version d’une extension Chrome particulièrement douée pour voler vos mots de passe et cryptomonnaies.
Nommée « VenomSoftX », l’extension Chrome en question est elle-même déployée par un logiciel malveillant tournant sous Windows et qui sévit depuis 2020 : « ViperSoftX ». Ce dernier agit comme un cheval de Troie à distance pour subtiliser les cryptomonnaies et les mots de passe de ses victimes.
93 000 tentatives d’infection en 2022
Un chiffre important qui n’est que la partie émergée de l’iceberg dans la mesure où ses 93 000 tentatives d’infection ne représentent que les clients Avast à travers le monde. D’après la carte partagée par l’éditeur du logiciel antivirus, les pays les plus touchés sont les États-Unis, le Brésil, l’Italie et l’Inde. Cependant, on peut constater que le Royaume-Uni, le Canada, l’Australie, le Pakistan et la France ne sont pas loin derrière.
D’après Avast, les logiciels ViperSoftX et VenomSoftX auraient rapporté, au 8 novembre 2022, la bagatelle de 130 000 dollars aux pirates, uniquement en détournant des transactions de cryptomonnaies sur les appareils compromis.
L’exécutable s’installe sur les machines Windows via des fichiers torrent contenant des cracks de jeux et des activateurs de logiciels piratés. Dans le fichier en question se trouve une ligne de code qui active la charge utile : ViperSoftX.
Google Chrome infecté
De plus, la nouvelle version du logiciel permet d’installer une fausse extension « Google Sheets 2.1 » qui n’a évidemment rien à voir avec la suite bureautique officielle.
L’extension malveillante est un moyen supplémentaire pour les pirates de voler des cryptomonnaies en interceptant les requêtes d’API et en copiant les adresses de portefeuilles cryptographiques depuis le presse-papier. Les plateformes d’échange de cryptos très populaires sont visées, comme Binance, Coinbase, Gate.io et Kucoin.
L’extension peut également modifier le HTML du site web pour afficher l’adresse du portefeuille de cryptomonnaie de la victime tout en manipulant les éléments en arrière-plan. Le logiciel place ensuite le montant de la transaction au maximum disponible pour siphonner tous les fonds de sa victime.
Notez que Google Sheets est normalement installé sur Chrome sous forme d’application (dans « chrome://apps/ ») et non sous forme d’extension. Si vous voyez une extension Google Sheet sur votre navigateur, nous vous conseillons de la désinstaller, puis d’effacer les données de votre navigateur pour s’assurer que l’extension malveillante est bien supprimée.
Source :
Avast